深谙此图的肯定是专业人士了,不用往下看了。
此图出自 《Windows Internals 7th》,可以翻译成《深入解析Windows操作系统 第7版》,也可以翻译成《Windows操作系统原理 第7版》,双11我50多买了正版上册(目前只有英文版),下册还没发行。我在淘宝上50不到买了翻印的第6版上下册,足足好几斤重,是中文的,经典中的经典,第6版是讲Win7和2008R2的。
接下来我们步入正题。
目前来说,Win7和2008R2已经很不安全了,漏洞很多,微软2020年1月14日已经停止对Win7和2008R2的安全支持,也就是说后续发现的漏洞不会有补丁了,已经发现的性能瓶颈也不会再优化了,有新的硬件设备,驱动兼容性也很难提升了。
据专业人士透露,Win7和2008R2的性能瓶颈在Win10/2016/2019得到了显著优化(Win8~2012R2只算个过渡产品不建议使用),同配置机器在高并发场景中Win10/2016/2019的承压能力是Win7/2008R2/2012R2的2倍,但Win10/2016/2019系统本身会占用1G内存,为了除过跑操作系统自身外还能干点活,至少需要2G内存。现在随便找个智能手机大概率至少4G内存,所以我觉得跑Win10/2016/2019应该是大多数人的选择,但很奇怪的是还是有很多人用不安全的2008R2,还有大量的人用2012R2,甚至有的人虽然用了相对较为安全的高版本系统2016/2019,但却设置了Admin123、Qwe123!@#等众所周知或键盘上连续按键构成的弱密码。弱密码入侵加密勒索,可能会害得公司倒闭,这种人是怎么当上管理员的???
对比国外友商反思下,国内厂商为了易用性,弱化了安全性。世界上最方便的Windows云服务器当属微软自己的Azure云,powershell搞到控制台了。AWS的初始密码设计非常安全,需要用户自己新建私钥下载到本地,查看初始复杂密码的时候用私钥解密才能查看密码,但用户自己在服务器里手动改成弱密码这种任神仙也没辙,人的意识最难改,救不了这种侥幸心理强的人或安全意识薄弱的人,只能让安全事故来教训他长记性了。但话说回来,国内云厂商为什么要这么迁就用户?用户要自己设置弱密码,你就看着他设置吗?你就允许他设置吗?回答是为了易用性,人的意识和行为可以影响,但人的自由干涉不了。另外一个就是人的知识构成和认知基础不同,或者说弱密码的标准到底是什么不好把握。AWS没有回答什么叫弱密码,而是做了一套安全设计,在购买Windows服务器的时候只有一种密码选择,那就是先强制选择生成密钥让用户下载到本地,然后会生成一个随机的初始复杂密码,要查看密码你得拿密钥解密,操作简便,安全可靠。云厂商也做了生成随机复杂密码的设计,但是那些注定会被入侵的人鬼使神差不选这种,因为云厂商给了他们其他选项,安全隐患就出在其他选项里。
有种尴尬叫既不是你的错,也不是我的错,是产品的错。产品觉得很冤,这怪得着我吗?天下哪有管理员会用那种弱密码,可是在国内云厂商就有这种用户,而且还很多。对云产品我有自己的理解,好的产品不应该让用户费脑子,应该让用户省心省事,但便利性vs安全性,我觉得后者更重要。好的产品不应该给用户犯错的机会,但是这方面腾讯云、华为云、阿里云、国内其他云都给用户提供了机会。
就我自己而言,服务器安全主要靠我自己,把安全交给其他人是对自己的不负责任。如果你用低版本Windows系统,自己又不是安全专家,还是安装个杀毒防护软件、设置个复杂密码吧,另外,安全组不要放行所有,建议只放行外网需要访问的端口(数据库不要放行外网访问)。
注意看下图中的备注!!!
注意看下图中的备注!!!
注意看下图中的备注!!!
最后,不会生成随机密码的话,在线生成随机密码的网站很多,自己搜一下吧,在线生成随机密码的网址太多了。例如:https://www.avast.com/zh-cn/random-password-generator#pc