Следует ли мне запускать специфичный для сервера антивирус, обычный антивирус или вообще не использовать антивирус на своих серверах, особенно на контроллерах домена?
Вот некоторая предыстория того, почему я задаю этот вопрос:
Я никогда не сомневался, что антивирусное программное обеспечение должно работать на всех компьютерах с Windows. В последнее время у меня были некоторые неясные проблемы, связанные с Active Directory, которые я отследил по антивирусному программному обеспечению, работающему на наших контроллерах домена.
Конкретная проблема заключалась в том, что Symantec Endpoint Protection работал на всех контроллерах домена. Иногда наш сервер Exchange вызывал ложное срабатывание Symantec «Защита от сетевых угроз» на каждом DC последовательно. После исчерпания доступа ко всем контроллерам домена Exchange начал отклонять запросы, предположительно из-за того, что он не мог взаимодействовать с какими-либо серверами глобального каталога или выполнять какую-либо проверку подлинности.
Отключения будут длиться около десяти минут за раз и происходить один раз в несколько дней. Чтобы изолировать проблему, потребовалось много времени, потому что ее нелегко было воспроизвести, и обычно расследование проводилось после того, как проблема решалась сама собой.
Антивирусное программное обеспечение обязательно должно работать на всех машинах в правильно управляемой сети, даже если приняты другие меры по предотвращению угроз. Он также должен работать на серверах по двум причинам: 1) они являются наиболее важными компьютерами в вашей среде, намного больше, чем клиентские системы, и 2) они не менее подвержены риску только потому, что никто не использует их активно (или, по крайней мере, не должно быть активно используя) их для серфинга в Интернете: существует множество вредоносных программ, которые могут автоматически распространяться по вашей сети, если они могут захватить даже один хост.
Тем не менее, ваша проблема больше связана с правильная настройка ваше антивирусное программное обеспечение.
Продукт, который вы используете, имеет встроенный брандмауэр: это то, что следует учитывать при его запуске в серверных системах и соответствующим образом настраивать (или вообще отключать).
Несколько лет назад антивирусное программное обеспечение было (не) знаменито тем, что оно случайным образом удаляло базы данных Exchange, если случайно обнаруживало вирусную сигнатуру внутри какого-либо электронного сообщения, хранящегося в физическом файле данных; каждый производитель антивирусов предупреждал об этом в руководстве по продукту, но некоторые люди все еще не понимали этого и подвергали свои магазины ядерной атаке.
Нет программного обеспечения, которое можно «просто установить и запустить», не задумываясь дважды о том, что вы делаете.
У меня всегда было антивирусное программное обеспечение с включенным сканированием при доступе на всех серверах Windows, и я не раз был за него благодарен. Вам нужно программное обеспечение, которое одновременно является эффективным и хорошо работает. Хотя я знаю, что некоторые не согласятся с этим, я должен сказать вам, что Symantec - это настолько плохой выбор, который вы могли бы сделать.
Пакеты типа «все в одном» редко бывают столь же эффективными, как хорошо подобранные отдельные компоненты (я еще никогда не видел достойного примера). Выберите то, что вам нужно для защиты, а затем выберите каждый компонент отдельно для обеспечения наилучшей защиты и производительности.
Следует помнить, что, вероятно, не существует антивирусного продукта с приличными настройками по умолчанию. Большинство в наши дни сканируют как чтение, так и запись. Хотя это было бы хорошо, это часто приводит к проблемам с производительностью. Достаточно плохо в любое время, но очень плохо, когда у вашего DC есть проблемы, потому что файл, к которому он должен получить доступ, был заблокирован, пока AV-сканер его проверяет. Большинство сканеров также сканируют очень большое количество типов файлов, которые невозможно даже заразить, поскольку они не могут содержать активный код. Проверьте свои настройки и регулируйте их по своему усмотрению.
На всех наших серверах (включая файл / sql / exchange) работает Symantec Antivirus со сканированием в реальном времени и еженедельным плановым сканированием. Программное обеспечение увеличивает нагрузку на машины на ~ 2% для средних рабочих нагрузок (среднее использование процессора 10% в течение дня без сканирования в реальном времени, 11,5-12,5% при сканировании в реальном времени на нашем файловом сервере).
Эти ядра все равно ничего не делали.
YMMV.
Я собираюсь предложить контраргумент к преобладающим ответам на эту тему.
Я не думаю, что вам следует запускать антивирусное программное обеспечение на большинстве своих серверов, за исключением файловых серверов. Достаточно одного неверного обновления определения, и ваше антивирусное программное обеспечение может легко сломать важное приложение или полностью остановить аутентификацию в вашем домене. И хотя программное обеспечение AV за последние годы добилось значительного прогресса в снижении производительности, определенные типы сканирования могут иметь негативное влияние на приложения, чувствительные к вводу-выводу или памяти.
Я думаю, что у запуска антивирусного программного обеспечения на серверах есть довольно хорошо задокументированные недостатки, так что в чем же преимущество? Якобы вы защитили свои серверы от любых неприятностей, которые проникают через пограничные брандмауэры или вносятся в вашу сеть. Но действительно ли вы защищены? Не совсем понятно и вот почему.
Кажется, что большинство успешных вредоносных программ имеют векторы атак, которые делятся на три категории: а) полагаясь на то, что невежественный конечный пользователь случайно загрузит его, б) полагаясь на уязвимость, существующую в операционной системе, приложении или службе, или в) это эксплойт нулевого дня. Ни один из них не должен быть реалистичным или подходящим вектором атаки для серверов в хорошо управляемой организации.
а) Ты не должен выходить в Интернет на своем сервере. Готово и сделано. Серьезно, просто не делай этого.
б) Помните NIMDA? Код красный? Большинство их стратегий распространения опирались либо на социальную инженерию (конечный пользователь нажимает «да»), либо на известные уязвимости патчи для которых уже были выпущены. Вы можете значительно уменьшить этот вектор атаки, следя за обновлениями безопасности.
в) С эксплойтами нулевого дня трудно справиться. Если это нулевой день, по определению, у вашего поставщика антивируса еще не будет определений для него. Осуществление глубокой защиты, принцип наименьших привилегий и наименьшая возможная поверхность атаки действительно помогают. Короче говоря, антивирус мало что может сделать для этих типов уязвимостей.
Вы должны сами провести анализ рисков, но в моем окружении я думаю, что преимущества антивирусной защиты недостаточно значительны, чтобы компенсировать риск.
Обычно мы устанавливаем AV по расписанию и не используем сканирование в реальном времени (т.е. файлы не сканируются по мере их создания).
Похоже, это позволяет избежать большинства проблем, связанных с наличием AV на сервере. Поскольку никто (в идеале) фактически ничего не запускает на сервере, потребность в защите в реальном времени уменьшается, особенно с учетом того, что у клиентов есть AV с Real Time.
Мы запускаем серверный продукт Vexira на наших серверах, но это может быть больше связано с снижением цен, чем с эффективностью. У нас было несколько рабочих станций, использующих их настольный продукт, которые не будут обновляться, если мы не удалим и не переустановим с последней версией.
Мне кажется, что многие из этих проблем вызваны тем, что люди настраивают AV на серверах, как если бы они были домашними компьютерами. Это может быть связано с недальновидным руководством, скупыми счетчиками, жестким соблюдением корпоративных политик, которые не учитывают должным образом различные потребности разных пользователей / машин, или с бывшим администратором, который не был на высоте, но конечный результат то же: хаос.
В идеальном мире я бы сказал: «Используйте для своих серверов другой AV-продукт, как и на ваших ПК, прежде чем покупать его, убедитесь, что это правильный серверный антивирусный продукт, схватите за уши что-нибудь со словом «Symantec» и выбросьте за дверь ».
С другой стороны, за 20 лет работы с десятками клиентов я никогда не видел контроллер домена, на котором не было бы зараженных общих дисков. Даже тогда на диске оставались только файлы, а не реальные заражения ОС. Чаще всего мы видим вредоносное ПО, которое даже влияет на общие ресурсы, это cryptolocker, который на самом деле не заражает серверы. Он просто шифрует общие файлы. Если рабочая станция должным образом защищена, сервер не будет зашифрован.
Я действительно вижу, что программное обеспечение AV вызывает проблемы. Я потратил часы, пытаясь выяснить, что изменилось, только чтобы найти обновление AV, вызвавшее проблему. Даже при правильной настройке я видел проблемы. Я знаю, что люди подскажут мне лучшие практики, и все должны запускать AV. Я знаю, что кто-то укажет, что когда-нибудь меня укусит за то, что на каждом сервере нет AV. Примерно год назад мы ни разу не видели крипто-локер, а теперь мы довольно часто его варианты (кстати, все они не могут быть остановлены несколькими разными антивирусами, правильно установленными на рабочей станции). Может быть, однажды появится еще один червь. type вирус, который заражает серверы, но до этого времени я счастлив, что мне не приходится иметь дело с проблемами AV на моих серверах SQL, печати и DC.
Я понимаю, что эта ветка довольно старая, но я чувствовал, что эта тема не обсуждалась полностью, так как единственное упоминание касалось Антивируса, также известного как защита программного обеспечения AV на сервере DC.
1.) На мой взгляд, программные антивирусные программы прошли долгий путь в эффективности, но все же есть подводные камни. Мало того, что AV потенциально содержит ошибки, AV имеют тенденцию потреблять память, а не освобождать ее, что нехорошо в производственной среде, вы действительно можете себе это позволить? Ой.
2.) Подумайте об этом ... Если ваша первая линия защиты начинается на вашем DC и на других серверах, вы уже более чем наполовину побеждены. Почему кто-то должен начинать свою схему защиты внутри своих серверов ???? Безумие начинать усилия по оказанию активного сопротивления угрозам в ядре сетевой вселенной. Установка активной защиты на этом уровне вашей модели безопасности должна означать, что ваша сеть была уничтожена хакерами, и вы пытаетесь спасти свою сеть в последней попытке (да, ваша сеть больше не связана ни с чем извне и вы активно боретесь с инфекцией изнутри), вот насколько это должно быть плохо, чтобы начать вашу защиту на DC и других серверах. Отфильтруйте и активно защищайтесь от угроз задолго до того, как угроза появится на ваших серверах. Как так? Пункт 3.
3.) Вот почему некоторые CCIE / CCNP зарабатывают большие деньги. Любая достойная организация купит какое-то оборудование у Cisco / Barracuda / Juniper или иным образом, чтобы получить аппаратное решение (потому что программный антивирус и близко не решает проблему). Большинство программных антивирусных программ (даже часто рекламируемые как корпоративные версии Symantec, McAfee, Norton и т. Д., Т. Д. И т. Д.) Просто не обеспечивают такой же защиты, как установка IronPorts от Cisco или другие аналогичные продукты от Cisco. любой крупный поставщик. За ничтожные 10 тысяч долларов из бюджета вашего ИТ-отдела вы можете получить очень респектабельную защиту, которую программные антивирусы просто не предоставят вам.
4. Я урезал программные AV до размера, так что позвольте мне создать их резервную копию. Программные AV-файлы для меня необходимы на любых «пользовательских» рабочих станциях / ПК, без исключений. Они препятствуют тому, чтобы незнающие или злоумышленники повредили / разрушили ваши сети из внешних источников, например, они принесли свою флешку из дома и попытались скопировать некоторые работы, которые они сделали дома предыдущей ночью, на свою рабочую станцию. Эта область - единственная главная причина наличия хорошего программного обеспечения AV. Вот почему было изобретено программное обеспечение AV (Венский вирус), ни по какой другой причине, ух ... почти забыл настоящую причину ... чтобы украсть ваши деньги, ладно, нм.
5.) В любом случае ... Ваш DC на самом деле не получит никаких преимуществ или препятствий из-за наличия на нем программного обеспечения AV. Ваши серверы БД, веб-серверы пострадают, на них не будет антивирусного программного обеспечения, если вы действительно не подвергаетесь известной и устойчивой атаке (вы знаете об этом не понаслышке из-за IronPorts и т. Д. ... упомянутых в пункте 3).
6.) И последнее, но не менее важное: если вы не можете позволить себе хорошую установку от Cisco или Juniper, переходите на Linux! Если у вас есть запасная машина или две, проверьте свои варианты с некоторыми решениями OpenSource, доступными для вашей сети ... Они мощные ... и, как выделено в выбранном ответе выше, они должны быть правильно настроены. Помните того парня из CCIE / CCNP, о котором я говорил? Ага.