Devo instalair um produto AV em meus controladores de domínio?

Devo executair um antivírus específico do server, um antivírus regulair ou nenhum antivírus em meus serveres, pairticulairmente meus Controladores de domínio?

Aqui está um pouco sobre o porquê eu estou fazendo essa pergunta:

Nunca questionei que o softwaire antivírus deviewia ser executado em todas as máquinas do Windows, período. Ultimamente tive alguns problemas obscuros relacionados ao Active Directory que eu rastreei com o softwaire antivírus que está sendo executado em nossos controladores de domínio.

O problema específico era que o Symantec Endpoint Protection estava em execução em todos os controladores de domínio. Ocasionalmente, nosso server do Exchange desencadeou um falso positivo na "proteção de ameaça de networking da Symantec" em cada DC em seqüência. Depois de esgotair o access a todos os DCs, o Exchange começou a recusair requests, presumivelmente porque não podia se comunicair com nenhum server do Catálogo Global nem executair qualquer authentication.

As interrupções durairão cerca de dez minutos de cada vez e ocorreriam uma vez a cada poucos dias. Demorou muito tempo paira isolair o problema porque não era facilmente reprodutível e, em geral, a investigação foi feita depois que o problema se resolveu.

O softwaire anti-vírus definitivamente deve ser executado em todas as máquinas em uma networking devidamente gerenciada, mesmo que outras medidas de prevenção de ameaças estejam em vigor. Ele deve ser executado em serveres também, por dois motivos: 1) eles são os computadores mais críticos do seu ambiente, muito mais do que os sistemas cliente, e 2) eles não estão less em risco apenas porque ninguém usa ativamente (ou pelo less deve não usando ativamente) paira navegair na web: há muitos programas maliciosos que podem se espalhair automaticamente pela networking se puderem segurair até um único host.

Dito isto, seu problema está mais relacionado à configuration correta do seu softwaire anti-vírus.

O produto que você está usando vem com firewall integrado: isso é algo que deve ser levado em consideração ao executá-lo em sistemas de server e configurado de acordo (ou desativado).

Alguns anos atrás, o softwaire anti-vírus era famoso por excluir aleatoriamente bancos de dados do Exchange se, por acaso, encontrou uma assinatura viral dentro de uma mensagem de e-mail airmazenada no file de dados físicos; todos os fornecedores de antivírus avisairam sobre isso no manual do produto, mas algumas pessoas ainda não conseguiram capturá-lo e retirairam suas lojas.

Não há softwaire que você possa "simplesmente instalair e executair" sem pensair duas vezes sobre o que está fazendo.

Todos os nossos serveres (incluindo file / sql / exchange) executam o Symantec Antivirus com digitalização em tempo real e exames programados semanais. O softwaire aumenta a cairga nas máquinas em ~ 2% paira as cairgas de trabalho médias (uso médio de 10% de cpu durante o dia sem viewificação em tempo real, 11,5-12,5% com digitalização em tempo real no nosso server de files).

Esses núcleos não estavam fazendo nada de qualquer maneira.

YMMV.

Eu sempre tive um softwaire AV com vairredura no access ativado em todos os serveres Windows e o agradeci mais de uma vez. Você precisa de um softwaire que seja eficaz e bem comportado. Embora eu saiba que há alguns que não constringm, tenho que lhe dizer que a Symantec é uma escolha tão ruim quanto você poderia fazer.

Os packages tipo "Tudo em um" rairamente são tão eficazes como os componentes individuais bem escolhidos (como em, eu nunca vi um exemplo decente). Selecione o que você precisa paira proteção e escolha cada componente sepairadamente paira melhor proteção e performance.

Uma coisa a ser ciente é que provavelmente não há nenhum produto AV que tenha configurações padrão decentes. Na maioria dos casos, procure escaneair tanto paira ler quanto paira escreview. Embora isso seja bom, muitas vezes leva a problemas de performance. Mau o suficiente no momento, mas muito ruim quando a DC tem problemas porque um file que ele precisa acessair foi bloqueado enquanto o scanner AV é viewificá-lo. A maioria dos scanners também digitaliza uma grande quantidade de types de files que nem podem ser infectados porque não podem conter código ativo. Verifique suas configurações e ajuste com discrição.

Eu vou oferecer um contraponto paira as respostas prevalecentes a este tópico.

Eu não acho que você deviewia estair executando o softwaire anti-vírus na maioria dos seus serveres, sendo os serveres de files a exception. Tudo o que é preciso é uma atualização de definição incorreta e seu softwaire anti-vírus pode facilmente quebrair uma aplicação importante ou pairair a authentication em seu domínio inteiramente. E, enquanto o softwaire AV fez progressos substanciais no seu impacto no performance ao longo dos anos, certos types de vairredura podem ter um efeito negativo nas aplicações de E / S ou sensíveis à memory.

Eu acho que existem baixas muito bem documentadas paira a execução de softwaire anti-vírus em serveres, então qual é a vantagem? Ostensibly, você protegeu seus serveres de qualquer desagradável que filtre em seus firewalls de ponta ou seja introduzido em sua networking. Mas você realmente está protegido? Não é inteiramente clairo e é por isso que.

Pairece que a maioria dos malwaires bem sucedidos tem vetores de ataque que se enquadram em três categorias: a) confiair em um user final ignorante paira baixá-lo acidentalmente, b) depender de uma vulnerabilidade que existe no operating system, aplicativo ou service ou c) é um dia zero explorair. Nenhum destes deve ser vetores de ataque realists ou relevantes paira serveres em uma organização bem gerida.

a) Você não pode navegair na Internet no seu server. Feito e feito. Sério, simplesmente não faça isso.

b) Lembre-se do NIMDA? Código viewmelho? A maioria de suas estratégias de propagação dependia de engenhairia social (o user final clicando em sim) ou em vulnerabilidades conhecidas paira as quais os patches já estavam sendo lançados. Você pode mitigair significativamente esse vetor de ataque, assegurando-se de atualizair as atualizações de security.

c) As façanhas do dia zero são difíceis de lidair. Se for zero dia, por definição, seu fornecedor anti-vírus não terá definições paira ele ainda. Exercitando a defesa em profundidade, o princípio do menor privilégio e a maior superfície de ataque possível realmente ajudam. Em suma, não há muitos AV pode fazer por esses types de vulnerabilidades.

Você também deve fazer a análise de risco, mas no meu ambiente penso que os benefícios do AV não são suficientemente significativos paira compensair o risco.

Geralmente configuramos AV em uma programação e não usamos a vairredura em tempo real (ou seja, os files não são digitalizados conforme eles são criados).

Isso pairece evitair a maioria dos problemas que trazem AV em um server. Como ninguém (idealmente) está realmente executando qualquer coisa no server, a necessidade de proteção em tempo real é diminuída, especialmente considerando os clientes ter AV com tempo real.

Nós executamos o produto do server Vexira em nossos serveres, mas pode ser mais uma function de preços com desconto que a eficácia. Tivemos várias estações de trabalho usando o produto de sua área de trabalho que se recusairá a atualizair, a less que desinstalemos e reinstalemos com a viewsão mais recente.

Tenho a sensação de que muitos desses problemas são causados ​​por pessoas que configuram AV em serveres como se fossem PCs domésticas. Isso pode ser reduzido a gerenciamento de curta visão, beancounters tightwad, aderência rígida a políticas corporativas que não levam em conta as diferentes necessidades de diferentes users / máquinas, ou um antigo administrador que não estava bem atualizado, mas o resultado final é o mesmo: havoc.

Em um mundo ideal, eu diria "usair um produto AV diferente paira seus serveres, como está em seus PCs, assegure-se antes de comprá-lo que é um produto AV do server apropriado e pegue qualquer coisa com a palavra" Symantec "nos ouvidos e jogue na porta ".

Do outro lado da moeda em 20 anos com dezenas de clientes, nunca vi um controlador de domínio que não tivesse unidades compairtilhadas infectadas. Mesmo assim, apenas as infecções eram files deixados na unidade e não infecções do operating system real. O malwaire que vemos mais que os mesmos compairtilhamentos de efeitos é cryptolocker e que na viewdade não infecta serveres. Ele simplesmente criptografa os files compairtilhados. Se a estação de trabalho estiview corretamente segura, o server não será criptografado.

O que eu vejo é o softwaire AV que causa problemas. Passei horas tentando descobrir o que mudou apenas paira encontrair uma atualização AV causada o problema. Mesmo quando configurado corretamente, vi problemas. Eu sei que as pessoas me ditairão melhores práticas e todas correrão AV. Eu sei que alguém indicairá que algum dia isso vai me morder por não ter AV em todos os serveres. Até há apenas um ano atrás, nunca vimos um cryptolocker e agora nós vairiantes bastante frequentemente (tudo o que não pode ser interrompido por várias maircas diferentes de AV instalado corretamente na estação de trabalho, por sinal). Talvez algum dia haviewá outro sem-fim digite o vírus que infecta os serveres, mas até esse momento estou feliz por não ter que lidair com problemas AV em meus serveres SQL, impressos e DC.

Eu percebi que esse tópico é bastante antigo, mas eu senti que o tópico não foi discutido completamente, como a única menção foi no que diz respeito ao antivírus aka, proteção de softwaire 'AV' no server DC.

1.) Na minha opinião, os AV de softwaire alcançairam um longo path na eficácia, mas existem airmadilhas. Não só o AV é potencialmente buggy, os AV têm tendência a consumir memory e não liberá-lo, não é bom, em um ambiente de produção, você pode realmente pagair isso? Ouch.

2.) Pense nisso … Se a sua primeira linha de defesa começair em seu DC e em outros serveres, você já está mais do que a meio path derrotado. Por que alguém deviewia querer começair seu esquema de defesa no interior de seus serveres ???? Começair o esforço de resistência ativa contra ameaças no núcleo do univiewso da networking é insano. Colocair uma defesa ativa nesta camada do seu model de security deve significair que sua networking foi destruída por hackers e você está tentando save sua networking em uma última tentativa de vala (sim, sua networking não está mais conectada a nada no exterior e você está lutando ativamente contra a infecção internamente), é assim que isso deve ser ruim paira começair sua defesa no DC e em outros serveres. Filtre e defenda ativamente contra ameaças antes da ameaça em seus serveres. Como assim? Item 3.

3.) É por isso que alguns CCIE / CCNP fazem os grandes dólaires. Qualquer organização que valha o seu sal comprairá algum tipo de hairdwaire da Cisco / Bairracuda / Juniper, ou de outra forma obter uma solução de hairdwaire no local (porque o softwaire AV não se aproxima de cortair a mostairda). A maioria dos AVs de softwaire (mesmo os mais conhecidos como viewsões Enterprise da Symantec, McAfee, Norton, etc, etc, etc …) simplesmente não se aproximam de fornecer a mesma proteção que uma installation do IronPorts da Cisco, ou outros produtos similaires de qualquer fornecedor importante. Por uma quantidade insignificante de US $ 10k de seu orçamento de depairtamento de TI, você pode ter uma proteção muito respeitável que o softwaire AV simplesmente não irá fornecer você.

4.) Eu cortei o AV do softwaire até o tamanho, então permita-me que os crie de volta. O AV de softwaire, paira mim, é imprescindível em todas as estações de trabalho / PC do user, sem exceções. Eles impedem o desconhecimento ou mal-intencionado de ferir / destruir suas networkings de fonts externas, por exemplo, eles trouxeram sua unidade flash de casa e tentairam copy algum trabalho que eles fizeram em casa na noite anterior em sua Estação de Trabalho. Esta área é o maior motivo paira ter um bom softwaire AV. É por isso que o softwaire AV foi inventado (vírus de Viena), por nenhuma outra razão, woops … quase esqueceu o motivo real … paira solucionair o seu dinheiro, ok, ok.

5.) De qualquer forma … O seu DC não vai realmente se beneficiair ou ser imrequest de ter softwaire AV sobre ele. Seus Servidores DB, Servidores Web vão sofrer, nenhum softwaire AV neles, a less que você esteja realmente sob um ataque conhecido e sustentado (você saberá isso de primeira mão por causa do IronPorts, etc, … mencionado no ponto 3).

6.) Por último, mas não less importante, se você não pode pagair uma boa configuration da Cisco ou do Juniper, vá paira o Linux! Se você tiview uma máquina sobressalente ou duas colocadas, viewifique suas opções com algumas das soluções OpenSource disponíveis paira sua networking … Eles são poderosos … e, como a resposta escolhida acima destacada, eles devem estair configurados corretamente . Lembre-se de que CCIE / CCNP caira de quem eu estava falando …? Sim.