Devo instalar um produto antivírus em meus controladores de domínio?

O software antivírus definitivamente deve estar em execução em todas as máquinas em uma rede gerenciada adequadamente, mesmo se outras medidas de prevenção contra ameaças estiverem em vigor. Ele deve rodar em servidores também, por duas razões: 1) eles são os computadores mais críticos em seu ambiente, muito mais que sistemas clientes, e 2) eles não estão menos em risco apenas porque ninguém usa ativamente (ou pelo menos < em> não deve ser ativamente usando-os) para navegar na web: há muitos malwares que podem se espalhar automaticamente pela sua rede, se conseguir se apossar de um único host.

Dito isto, o seu problema está mais relacionado com configuração adequada do seu software anti-vírus.

O produto que você está usando vem com firewalls internos: isso é algo que deve ser levado em conta ao executá-lo em sistemas de servidor e configurado de acordo (ou desativado).

Alguns anos atrás, o software antivírus era famoso por excluir aleatoriamente bancos de dados do Exchange se, por acaso, encontrasse uma assinatura viral dentro de uma mensagem de email armazenada no arquivo de dados físico; Todos os fornecedores de antivírus alertaram sobre isso no manual do produto, mas algumas pessoas ainda não conseguiram compreendê-lo e tiveram suas lojas destruídas.

Não há software que você possa "instalar e executar" sem pensar duas vezes sobre o que está fazendo.

Todos os nossos servidores (incluindo arquivo / sql / exchange) executam o Symantec Antivirus com varredura em tempo real e varreduras semanais agendadas. O software aumenta a carga nas máquinas em ~ 2% para cargas de trabalho médias (média de 10% no uso de cpu durante o dia sem varredura em tempo real, 11,5-12,5% com varredura em tempo real no nosso servidor de arquivos).

Esses núcleos não estavam fazendo nada de qualquer maneira.

YMMV.

Eu sempre tive um software antivírus com varredura no acesso ativado em todos os servidores Windows e tenho sido grato por ele mais de uma vez. Você precisa de um software que seja eficaz e bem comportado. Embora eu saiba que há alguns que discordarão, tenho que lhe dizer que a Symantec é uma escolha tão ruim quanto você poderia fazer.

Os pacotes do tipo "Tudo em um" raramente são tão eficazes quanto os componentes individuais bem escolhidos (como em, eu nunca vi um exemplo decente ainda). Selecione o que você precisa para proteção e, em seguida, escolha cada componente separadamente para melhor proteção e desempenho.

Uma coisa a ter em conta é que provavelmente não há produto antivírus que tenha configurações padrão decentes. A maioria destes dias vai para ler e escrever. Enquanto isso seria bom, muitas vezes leva a problemas de desempenho. Ruim o suficiente a qualquer hora, mas muito ruim quando o seu DC tem problemas porque um arquivo que precisa acessar foi bloqueado enquanto o scanner AV está checando. A maioria dos scanners também verifica um grande número de tipos de arquivos que não podem ser infectados porque não podem conter código ativo. Verifique suas configurações e ajuste com discrição.

Vou oferecer um contra-ponto para as respostas que prevalecem neste tópico.

Eu não acho que você deveria estar executando um software antivírus na maioria dos seus servidores, com exceção dos servidores de arquivos. Tudo o que é necessário é uma atualização de definição incorreta e o software antivírus pode facilmente interromper um aplicativo importante ou interromper completamente a autenticação em seu domínio. E, embora o software AV tenha feito progressos substanciais em seu impacto no desempenho ao longo dos anos, certos tipos de varreduras podem ter um efeito negativo em E / S ou aplicativos sensíveis à memória.

Eu acho que há desvantagens muito bem documentadas em executar o software antivírus nos servidores, então qual é o lado positivo? Ostensivamente, você protegeu seus servidores de qualquer desagrado que seja filtrado através de seus firewalls de ponta ou seja introduzido em sua rede. Mas realmente você está protegido? Não está totalmente claro e aqui está o porquê.

Parece que o malware mais bem-sucedido tem vetores de ataque que se enquadram em três categorias: a) confiando em um usuário final ignorante para baixá-lo acidentalmente, b) confiando em uma vulnerabilidade que existe no sistema operacional, aplicativo ou serviço ou c) é uma exploração de dia zero. Nenhum destes deve ser realista ou relevante vetores de ataque para servidores em uma organização bem gerida.

a) Não Navegar na Internet em Thy Server. Feito e feito. Sério, só não faça isso.

b) Lembre-se de NIMDA? Código vermelho? A maioria de suas estratégias de propagação baseou-se na engenharia social (o usuário final clicou em sim) ou em vulnerabilidades conhecidas para as quais os patches já haviam sido lançados. Você pode reduzir significativamente esse vetor de ataque, certificando-se de estar atualizado com as atualizações de segurança.

c) As explorações de dia zero são difíceis de lidar. Se for zero dia, por definição, o fornecedor de antivírus ainda não terá definições para ele. Exercer defesa em profundidade, o princípio do menor privilégio e ter a menor superfície de ataque possível realmente ajuda. Em suma, não há muito que o antivírus possa fazer para esses tipos de vulnerabilidades.

Você tem que fazer a análise de risco sozinho, mas no meu ambiente eu acho que os benefícios do AV não são significativos o suficiente para compensar o risco.

Geralmente, configuramos o AV de acordo com uma programação e não usamos a verificação em tempo real (ou seja, os arquivos não são verificados à medida que são criados).

Isso parece evitar a maioria dos problemas que surgem com AV em um servidor. Como ninguém (idealmente) está realmente executando qualquer coisa no servidor, a necessidade de proteção em tempo real é diminuída, especialmente considerando que os clientes têm AV com Tempo Real.

Nós rodamos o produto de servidor da Vexira em nossos servidores, mas pode ser mais uma função do preço com desconto do que da eficácia. Tivemos várias estações de trabalho usando seus produtos de desktop que se recusarão a atualizar, a menos que sejam desinstaladas e reinstaladas com a versão mais recente.

Tenho a impressão de que muitos desses problemas são causados por pessoas que configuram o AV em servidores como se fossem PCs domésticos. Isso pode ser devido a um gerenciamento míope, contadores rígidos de clientes, adesão rígida a políticas corporativas que não levam em consideração as diferentes necessidades de diferentes usuários / máquinas, ou um ex-administrador que não estava bem à altura, mas o resultado final é o mesmo: estrago.

Em um mundo ideal, eu diria "use um produto AV diferente para seus servidores, como em seus PCs, assegure-se, antes de comprar, que é um produto antivírus para servidor adequado e pegue qualquer coisa com o palavra "Symantec" sobre ele pelas orelhas e jogá-lo para fora da porta ".

Do outro lado da moeda, em 20 anos, com dezenas de clientes, nunca vi um controlador de domínio que não tivesse unidades compartilhadas infectadas. Mesmo assim, apenas infecções eram arquivos deixados na unidade e não infecções reais do sistema operacional. O malware que vemos mais que até mesmo compartilha efeitos é o cryptolocker e que, na verdade, não infecta servidores. Ele simplesmente criptografa os arquivos compartilhados. Se a estação de trabalho estiver adequadamente protegida, o servidor não será criptografado.

O que eu vejo é o software antivírus causando problemas. Eu passei horas tentando descobrir o que mudou apenas para encontrar uma atualização AV causou o problema. Mesmo quando configurado corretamente, tenho visto problemas. Eu sei que as pessoas vão me dizer as melhores práticas e todas devem rodar AV. Eu sei que alguém vai apontar que um dia isso vai me morder por não ter AV em todos os servidores. Até pouco mais de um ano atrás nós nunca vimos um cryptolocker e agora nós variantes muito frequentemente (todos os que não conseguem ser parados por várias marcas diferentes de AV instalado corretamente na estação de trabalho por sinal). Talvez algum dia haja outro worm digite vírus que infecta servidores, mas até esse momento estou feliz por não ter que lidar com problemas de antivírus em meus servidores SQL, de impressão e DC.

Eu percebo que esse segmento é bem antigo, mas eu senti que o tópico não foi discutido completamente, já que a única menção foi em relação ao Anti-Virus aka, proteção de software 'AV' no servidor DC.

1.) Na minha opinião, o software AV já percorreu um longo caminho na eficácia, mas há armadilhas. Não só o AV é potencialmente problemático, os AVs têm uma tendência a consumir memória e não a liberar, não é bom, em um ambiente de produção, você realmente pode pagar isso? Ai.

2.) Pense nisso ... Se a sua primeira linha de defesa começa no seu DC e em outros servidores, você já está mais do que derrotado pela metade. Por que alguém deveria querer começar seu esquema de defesa no interior de seus servidores ???? Começar o esforço de colocar resistência ativa contra ameaças no núcleo do universo da rede é insano. Colocar uma defesa ativa nessa camada do seu modelo de segurança deve significar que sua rede foi destruída por hackers e você está tentando salvar sua rede em uma última tentativa (sim, sua rede não está mais conectada a nada do lado de fora e você está lutando ativamente contra a infecção internamente), isso é o quão ruim isso deve ser para iniciar sua defesa no DC e em outros servidores. Filtre e defenda ativamente contra ameaças muito antes que a ameaça esteja em seus servidores. Como assim? Item 3.

3.) É por isso que alguns CCIE / CCNP ganham muito dinheiro. Qualquer organização que se preze comprará algum tipo de hardware da Cisco / Barracuda / Juniper, ou para obter uma solução de hardware (porque o software AV não chega perto de cortar a mostarda). A maioria dos softwares antivírus (mesmo as frequentemente propagandas como Symantec, McAfee, Norton, etc, etc ...) simplesmente não oferecem a mesma proteção que uma configuração IronPorts da Cisco, ou outros produtos semelhantes qualquer grande fornecedor. Por apenas US $ 10 mil do orçamento do departamento de TI, você pode ter uma proteção muito respeitável que o software AV simplesmente não oferece.

4.) Eu cortei AV de software para baixo para o tamanho, então permita-me montá-los de volta. Software AV, para mim, é uma obrigação em qualquer 'Usuário' Workstations / PC, sem exceções. Eles impedem que os mal-intencionados ou maliciosos danifiquem / destruam suas redes de fontes externas, por exemplo, eles trouxeram a unidade flash de casa e tentaram copiar algum trabalho que fizeram em casa na noite anterior em sua estação de trabalho. Esta área é a maior razão para ter um bom software antivírus. É por isso que o software AV foi inventado (vírus de Viena), por nenhuma outra razão, woops .... quase esqueci o motivo real ... para roubar o seu dinheiro ok ok, nm.

5.) De qualquer forma ... Seu CD não vai realmente se beneficiar ou ser impedido de ter um software AV nele. Seus servidores de banco de dados, servidores da Web vão sofrer, nenhum antivírus de software, a menos que você realmente esteja sob um ataque conhecido e sustentado (você saberá disso em primeira mão por causa da IronPorts, etc, ... mencionado no ponto 3). / p>

6.) Por último, mas não menos importante, se você não puder pagar uma boa configuração da Cisco ou da Juniper, acesse o Linux! Se você tem uma ou duas máquinas de reposição, verifique suas opções com algumas das soluções OpenSource disponíveis para sua rede ... Elas são poderosas ... e como a resposta escolhida acima foi destacada, elas devem ser configurado corretamente . Lembra daquele cara do CCIE / CCNP que eu estava falando ..? Sim.