Antivírus em um servidor do Windows / IIS

Nós executamos o AV em tempo real em todas as caixas do Windows, independentemente de sua função. Apenas outra camada de defesa profunda, e sempre considerei isso como parte do custo de execução no Windows. Eu também não limitaria ao diretório de uploads - se algo mal-intencionado passasse ou sua caixa estivesse comprometida, muitas vezes a primeira coisa que acontece imediatamente é que mais malwares são baixados, e provavelmente em algum lugar que não é o diretório de upload. Definitivamente, há uma penalidade de desempenho e, embora valha a pena para nós, não temos um grande número de usuários / visitantes para escalar, portanto, leve isso para o que vale a pena.

Respostas

1. Você exclui todos os diretórios, com exceção do diretório no qual os uploads são colocados?

É vantajoso fazer testes de desempenho sem exclusões antes de decidir que elas são necessárias. Se o desempenho é satisfatório sem criar novas falhas de segurança de nosso próprio projeto, por que incomodar?

2. Você tem a verificação em tempo real ativada ou apenas uma verificação agendada?

Em quase todos os ambientes corporativos, a resposta é "ambos".

3. Como você tem o AV configurado para responder a ameaças, automáticas ou exigir entrada do usuário?

Normalmente, você quer que ele responda automática e imediatamente, mas faça algo potencialmente reversível (ou seja, quarentena, não excluir).

4. E quanto à penalidade de desempenho?

Acontece que sua opção de produto antivírus pode fazer uma diferença maior em termos de desempenho do que configurar exclusões.

Anecdotalmente: na minha experiência pessoal, em um ambiente corporativo, a ESET com exclusões no tem muito menos impacto de desempenho do que a Symantec com praticamente tudo excluído do sol - mesmo em servidores com recursos extraordinariamente ocupados drives, por exemplo Banco de dados SQL & gravação no call center. Certifique-se de avaliar vários produtos anti-malware em seu próprio ambiente de teste antes de tomar uma decisão.

Resultado final

A menos que regras como "nenhuma navegação na Web a partir da máquina" sejam aplicadas por regras reais de firewall, você pode assumir que elas serão quebradas. Pessoas cometem erros. Além disso, não é prudente acreditar que você possa prever todas as formas como o malware pode se espalhar.

Como os outros disseram, a sabedoria convencional é que todos os computadores Windows precisam de software anti-malware, não importa qual seja o papel deles. Como administradores, decidimos qual produto AV instalar e como precisamos configurá-lo.

Concordo com o nedm.

Executamos o McAffe VirusScan Enterprise em todos os nossos clientes e servidores, independentemente da finalidade deles.

Eles têm varredura em tempo real, bem como uma varredura completa todos os domingos (tempo de janela de manutenção)

Ameaças são tratadas automaticamente e um email é enviado para os administradores do sistema que os informam.

Embora seja menos provável obter um vírus em uma máquina que não tenha interação com o usuário final, sempre há a possibilidade de um usuário mal-intencionado explorar seu servidor da Web e tentar enviar um vírus para a máquina.

É claro que nenhum software de vírus é 100% e se for algum código personalizado, ele pode não ser detectado, mas se for algo improvável, a proteção contra vírus o pegará e seu servidor estará seguro.

É apenas mais uma camada extra de proteção.

Ter o software AV lá deve ser mantido atualizado, mas não é uma desculpa para não verificar os logs de acesso e procurar outras atividades estranhas no servidor web periodicamente ...