Um servidor da Web bem executado deve IMHO não ter um pacote antivírus comercial (AV) instalado. O tipo de vírus de macro do Office e os cavalos de Troia de mercado de massa pelos quais os pacotes AV são otimizados são incompatíveis com os problemas de um servidor da Web.
O que você deve fazer é:
- Absolutamente obcecado com a validação de entrada. Exemplos: que os usuários não podem enviar conteúdo malicioso para seu site (vírus, injeção de SQL, etc.); que você não está vulnerável a ataques de script entre sites, etc.
- Mantenha seu servidor atualizado com as atualizações de segurança mais recentes e configure de acordo com as práticas recomendadas. Veja coisas como Kit de ferramentas de segurança da Microsoft. .
- Tenha um firewall separado. Não ajuda muito no que diz respeito a intrusões, mas adiciona outra camada de defesa contra serviços de rede configurados incorretamente, e ajuda com simples ataques DOS. Também ajuda muito com o bloqueio de possibilidades de gerenciamento remoto, etc.
- Instale um sistema de detecção de intrusões do host (H-IDS) em seu servidor, nos moldes do venerável Tripwire .
Há muita confusão sobre os termos, as palavras são frequentemente usadas de muitas maneiras diferentes aqui. Para ser claro, o que quero dizer com um H-IDS aqui é:
- um serviço em um computador
- que verifica continuamente todos os arquivos executáveis no computador
- e emitem um alerta sempre que um arquivo executável foi adicionado ou modificado (sem autorização).
Na verdade, um bom H-IDS fará um pouco mais do que isso, como monitoramento de permissões de arquivos, acesso ao Registro, etc., mas o que está acima fica com a essência dele.
Um sistema de detecção de invasões do host requer alguma configuração, pois pode gerar muitos erros falsos se não for configurado corretamente. Mas uma vez instalado e funcionando, ele irá capturar mais intrusões do que os pacotes AV. Especialmente o H-IDS deve detectar um backdoor de hacker único, que um pacote AV comercial provavelmente não detectará.
O H-IDS também é mais leve na carga do servidor, mas esse é um benefício secundário - o principal benefício é uma melhor taxa de detecção.
Agora, se os recursos forem limitados; se a escolha for entre um pacote AV comercial e não fazer nada, então eu instalaria o AV . Mas saiba que não é ideal.