2020.1.14 End Of Life后，我如何把Server2008R2安全地用了4年

2020.1.14 End Of Life后，我如何把Server2008R2安全地用了4年？

以下仅作为使用经验交流，不作为建议或指导说明

1、补丁打到最全

①必须先安装KB3020369(微软要求)，再安装KB3125574，否则安装不上KB3125574。

补丁库没有的话去公网找，这2个补丁必须的

②用内网更新库和微软公网更新库分别发力

换腾讯云的更新源、微软的公网更新源，用微软的更新脚本

切源涉及写操作，先做快照，最好关机做快照。

可以先切换到腾讯云内网update源或者机器能访问公网的话优先切到公网源（先切内网源冲掉之前的配置再切公网源，切源用wusin.bat和wusout.bat这2个脚本），然后用微软官网的.vbs脚本更新。

腾讯云内网源wusin.bat 下载地址为：http://mirrors.tencentyun.com/install/windows/wusin.bat

腾讯云外网源wuout.bat 下载地址为：http://mirrors.tencentyun.com/install/windows/wusout.bat

微软官网的.vbs更新脚本：

https://learn.microsoft.com/zh-cn/windows/win32/wua_sdk/searching--downloading--and-installing-updates

脚本执行指令如下：cscript WUA_SearchDownloadInstall.vbs /RebootToComplete

注意脚本的Y/N交互，如果默认值是你想要的则直接按回车，过程中可能涉及多次交互，多操作几遍就熟悉了

2、powershell2.0搞到5.1

https://cloud.tencent.com/developer/article/2425133

3、不要用IE浏览器，安装特定版本Firefox

32位：

https://cdn.stubdownloader.services.mozilla.com/builds/firefox-esr-latest-ssl/en-US/win/b272b3845c22ee57f13201a419543c929650cea061b691e05a51f60b509f8090/Firefox%20Setup%20115.11.0esr.exe

64位：

https://cdn.stubdownloader.services.mozilla.com/builds/firefox-esr-latest-ssl/en-US/win64/5125e4561105e2b80c07d2579a34679d878c822f3159c7f3498875dd1347dc53/Firefox%20Setup%20115.11.0esr.exe

4、安装TAT，用TAT在线重置密码规避安全软件的影响

https://cloud.tencent.com/developer/article/2228199

5、安装360杀毒和赛门铁克SEP 14.3 RU4

①360的杀毒防护效果和效率，大多数情况下是优于火绒和电脑管家的

②用赛门铁克Symantec Endpoint Protection 14.3 RU3和RU4是这层考虑：RU3和RU4这2个版本是支持2008R2的最后2个版本，并且可以在2008R2-2022上安装

https://cloud.tencent.com/developer/article/1838316

6、更改默认远程端口，安全组入站规则只放行需要外网访问的端口和IP

更保守的做法，可参考https://cloud.tencent.com/developer/article/2290589

7、使用复杂密码，最好自己记不住的那种复杂随机密码

avast随机密码生成器：

https://www.avast.com/zh-cn/random-password-generator#pc

8、不用已经end of life的sqlserver产品，尽可能把sqlserver的补丁打到最新

sqlserver官方生命周期和补丁list：

https://learn.microsoft.com/zh-CN/troubleshoot/sql/releases/download-and-install-latest-updates

9、上传下载到服务器的东西在使用之前优先使用360和赛门铁克杀毒

10、安全组入站规则禁止445、53端口

示例：

11、安装腾讯云3大平台组件并在360和赛门铁克中信任，确保内网域名能正常解析

https://cloud.tencent.com/developer/article/2294795

https://cloud.tencent.com/developer/article/2272229

12、安装云平台最新的虚拟化驱动

virtio_64_1.0.9.exe

https://cloud.tencent.com/developer/article/2207789

下载后右键属性解锁再用，否则可能双击没反应

13、设置计划任务每天0点（23:59）重启服务器并确保时间服务开机时正常拉起

https://cloud.tencent.com/developer/article/2423772

14、不测试乱七八糟的软件，尤其ERP（很多中招都是通过ERP中招或开源软件，含开源网站源码）

15、不作为重要的业务服务器使用，仅作测试用，既然测试用，配置1核2g或者2核2g足够了，这样不容易被黑客盯上，盯上了估计也下不去手，肉太少了，不值当（曾经2c2g故意设置弱密码让黑客成功进来过，黑客一看傻眼了，一没啥数据可加密勒索，二没多少算力可压榨用于挖矿，算逑了，找别的），为啥不是1核1g？因为1G内存确实不够用。

tips：其实我就是作为业务服务器使用的，只不过业务不太重要，最坏的情况已经评估过了，大不了啥都不要了，我能承受，或者我本地有备份，这就足够了，一点也不担心，但为啥又要费事做这些操作？不想来回折腾系统，一劳永逸省时间。

以上仅作为使用经验交流，不作为建议或指导说明。