3.3 安全最佳实践

Winodow实例在创建并运行后，经常会遭受来自网络上的恶意扫描和攻击，因此对于Windows系统的安全防护是十分有必要的。下面我们介绍Windows平台上一些常见的安全防护策略。

（1）弱口令容易导致数据泄露，因为弱口令是最容易出现和最容易被利用的漏洞之一。因此，建议服务器的登录口令至少设置为8位以上，从字符种类上增加口令复杂度，如包含大小写字母、数字和特殊字符等，并且要不定时更新口令，养成良好的安全运维习惯。

（2）定期删除或锁定与设备运行、维护等无关的账户。

（3）对外网提供访问的系统，建议安装企业级防病毒软件，并开启病毒库更新及实时防御功能。

（4）默认的远程端口建议做修改，以避免被恶意扫描攻击，也可以使用云平台的安全组功能限制远程连接地址。

（5）禁用TCP/IP上的NetBIOS协议，可以关闭监听的UDP 137、UDP 138及TCP 139端口。

（6）在使用官方系统创建的自定义镜像后，建议关注云平台或者Windows官方更新的安全漏洞情报。当出现高风险漏洞时，及时更新操作系统所有补丁，并重新创建自定义镜像。更新安装补丁前，应先对服务器系统进行兼容性测试，比如可以对系统做快照备份，这样当出现异常不可用时，可快速回滚恢复。对于实际业务使用的服务器，建议设置通知并自动下载更新，但由管理员决定是否安装更新，而不是使用自动安装更新功能，这样可防止自动更新补丁对实际业务环境产生影响。

（7）对于高危漏洞且暂时无法更新补丁的情况，建议使用安全组访问控制以及应用防护策略对该服务器进行实时检测、防御，防止被黑客入侵。

（8）选择处于维护期的操作系统版本，早期的Windows Server 2003/2008已经不再更新，若有使用这些版本的主机，应尽快将操作系统更换到高版本系统。

（9）对于已自定义安装的应用服务软件（如Tomcat、Apache、Nginx等软件），建议使用官方最新版的软件，并对应用软件进行安全加固，禁止使用不必要的功能或组件，以提高整体安全能力。