Стоит ли устанавливать AV-продукт на контроллеры домена?

Должен ли я запускать серверный антивирус, обычный антивирус или вообще не устанавливать антивирус на моих серверах, особенно на контроллерах домена?

Вот некоторая предыстория о том, почему я задаю этот вопрос:

Я никогда не сомневался, что антивирусное программное обеспечение должно работать на всех компьютерах с Windows, и точка. В последнее время у меня были некоторые неясные проблемы, связанные с Active Directory, которые я отследил до антивирусного программного обеспечения, работающего на наших контроллерах домена.

Особая проблема заключалась в том, что Symantec Endpoint Protection работал на всех контроллерах домена. Время от времени наш сервер Exchange вызывал ложное срабатывание Symantec «Защита от сетевых угроз» на каждом DC последовательно. После исчерпания доступа ко всем DC, Exchange начал отклонять запросы, предположительно потому, что он не мог обмениваться данными с серверами глобального каталога или выполнять какую-либо аутентификацию.

Отключения будут длиться около десяти минут за раз, и будут происходить раз в несколько дней. Потребовалось много времени, чтобы изолировать проблему, потому что это было нелегко воспроизвести, и обычно расследование проводилось после того, как проблема разрешилась сама собой.

Антивирусное программное обеспечение обязательно должно работать на всех компьютерах в правильно управляемой сети, даже если существуют другие меры по предотвращению угроз. Он должен работать на серверах тоже по двум причинам: 1) они наиболее важных компьютеров в вашей среде, гораздо больше , чем клиентские системы, и 2) они не менее подвержены риску только потому , что никто активно использует (или , по крайней мере , должны их не используют активно для серфинга в Интернете: существует множество вредоносных программ, которые могут автоматически распространяться по вашей сети, если они могут захватить даже один хост.

Тем не менее, ваша проблема больше связана с правильной настройкой антивирусного программного обеспечения.

Используемый вами продукт поставляется со встроенным межсетевым экраном: это то, что следует учитывать при запуске его на серверных системах и соответствующим образом настраивать (или вообще отключать).

Несколько лет назад антивирусное программное обеспечение было (в) известно тем, что случайно удаляло базы данных Exchange, если случайно обнаружило вирусную подпись внутри какого-либо сообщения электронной почты, хранящегося в физическом файле данных; каждый производитель антивирусов предупреждал об этом в руководстве по продукту, но некоторые люди все же не смогли его понять и обстреляли свои магазины.

Там нет программного обеспечения, которое вы можете "просто установить и запустить", не задумываясь о том, что вы делаете.

Все наши серверы (включая файл / sql / exchange) работают с Symantec Antivirus с проверкой в ​​реальном времени и еженедельным сканированием по расписанию. Программное обеспечение увеличивает нагрузку на машины на ~ 2% для средних рабочих нагрузок (в среднем 10% использования ЦП в течение дня без сканирования в реальном времени, 11,5-12,5% при сканировании в реальном времени на нашем файловом сервере).

Эти ядра ничего не делали в любом случае.

YMMV.

У меня всегда было программное обеспечение AV с включенным сканированием при доступе на всех серверах Windows, и я был благодарен за это не раз. Вы нуждаетесь в программном обеспечении, которое эффективно и хорошо ведет себя. Хотя я знаю, что есть некоторые, кто не согласится, я должен сказать вам, что Symantec - такой же плохой выбор, как вы могли бы сделать.

Пакеты типа «все в одном» редко бывают настолько эффективными, насколько хорошо подобранные отдельные компоненты (как, например, я еще никогда не видел достойного примера). Выберите то, что вам нужно для защиты, а затем выберите каждый компонент отдельно для лучшей защиты и производительности.

Следует помнить, что, вероятно, не существует AV-продукта с достойными настройками по умолчанию. Большинство этих дней идет на сканирование как на чтение, так и на запись. Хотя это было бы хорошо, это часто приводит к проблемам с производительностью. Достаточно плохо в любое время, но очень плохо, когда у вашего DC есть проблемы, потому что файл, к которому он должен получить доступ, был заблокирован, пока AV-сканер проверяет его. Большинство сканеров также сканируют очень большое количество типов файлов, которые даже не могут быть заражены, поскольку они не могут содержать активный код. Проверьте ваши настройки и отрегулируйте их по своему усмотрению.

Я собираюсь предложить контрапункт к преобладающим ответам на эту тему.

Я не думаю, что вы должны запускать антивирусное программное обеспечение на большинстве своих серверов, за исключением файловых серверов. Все, что нужно, - это одно неверное обновление определения, и ваше антивирусное программное обеспечение может легко сломать важное приложение или полностью остановить аутентификацию в вашем домене. И хотя программное обеспечение AV за последние годы значительно улучшило свое влияние на производительность, некоторые типы сканирования могут оказать негативное влияние на приложения ввода-вывода или чувствительные к памяти приложения.

Я думаю, что есть довольно хорошо задокументированные недостатки использования антивирусного программного обеспечения на серверах, так в чем же преимущество? Якобы, вы защитили свои серверы от любой неприятности, которая фильтруется через ваши пограничные брандмауэры или вводится в вашу сеть. Но действительно ли вы защищены? Это не совсем понятно, и вот почему.

Кажется, что большинство успешных вредоносных программ имеют векторы атак, которые делятся на три категории: а) полагаться на невежественного конечного пользователя, чтобы случайно загрузить его, б) полагаться на уязвимость, которая существует в операционной системе, приложении или службе, или в) это нулевой день эксплуатируют. Ни один из них не должен быть реалистичным или уместным вектором атаки для серверов в хорошо управляемой организации.

а) Ты не будешь пользоваться Интернетом на своем сервере. Сделано и сделано. Серьезно, просто не делай этого.

б) Помните NIMDA? Код красный? Большинство их стратегий распространения опирались либо на социальную инженерию (конечный пользователь нажимал «да»), либо на известные уязвимости , для которых патчи уже были выпущены. Вы можете значительно уменьшить этот вектор атаки, следя за тем, чтобы быть в курсе обновлений безопасности.

в) Трудно иметь дело с подвигами нулевого дня. Если это нулевой день, по определению у вашего поставщика антивирусов еще не будет определений для него. Принцип глубокой защиты, принцип наименьших привилегий и минимальная поверхность атаки, действительно помогает. Короче говоря, не так много AV может сделать для этих типов уязвимостей.

Вы должны выполнить анализ риска самостоятельно, но в моей среде я думаю, что преимущества AV не настолько значительны, чтобы компенсировать риск.

Обычно мы настраиваем AV по расписанию и не используем сканирование в реальном времени (т. Е. Файлы не сканируются при их создании).

Это позволяет избежать большинства проблем, связанных с наличием AV на сервере. Поскольку никто (в идеале) ничего не выполняет на сервере, необходимость в защите в реальном времени уменьшается, особенно с учетом того, что клиенты имеют AV с Real Time.

Мы запускаем серверный продукт Vexira на наших серверах, но это может быть скорее функцией дисконтирования цен, чем эффективности. У нас было несколько рабочих станций, использующих их настольный продукт, которые откажутся от обновления, если мы не удалим и не переустановим последнюю версию.

У меня такое ощущение, что многие из этих проблем вызваны тем, что люди настраивают AV на серверах так, как если бы они были домашними ПК. Это может быть из-за недальновидного управления, жестких ограничений, жесткой приверженности корпоративным политикам, которые не учитывают должным образом различные потребности разных пользователей / машин, или бывшего администратора, который не совсем разбирался, но конечный результат - то же самое: хаос.

В идеальном мире я бы сказал: «используйте другой AV-продукт для своих серверов, такой же, как на ваших ПК, перед покупкой убедитесь, что он является подходящим серверным AV-продуктом, и возьмите что-нибудь с надписью« Symantec »на его ушах и выбросить это за дверь ".

С другой стороны, за 20 лет с десятками клиентов я никогда не видел контроллера домена, у которого не было зараженных общих дисков. Даже тогда на диске остались только инфекции, а не настоящие инфекции ОС. Вредоносное ПО, которое мы наблюдаем чаще всего, - это «криптолокер», которое фактически не заражает серверы. Он просто шифрует общие файлы. Если рабочая станция защищена должным образом, сервер не будет зашифрован.

То, что я вижу, является программным обеспечением AV, вызывающим проблемы. Я потратил часы, пытаясь выяснить, что изменилось только, чтобы найти обновление AV вызвало проблему. Даже при правильной настройке я видел проблемы. Я знаю, что люди расскажут мне лучшие практики, и все должны работать с AV. Я знаю, что кто-то укажет, что когда-нибудь это укусит меня за то, что у меня нет AV на каждом сервере. Вплоть до года или около того мы никогда не видели криптолокера, и теперь мы довольно часто делаем варианты (все, что не может быть остановлено несколькими разными брендами AV, правильно установленными на рабочей станции, между прочим.) Возможно, однажды будет другой червь вирус типа, который заражает серверы, но до этого времени я счастлив, что мне не приходится сталкиваться с проблемами AV на моих серверах SQL, печати и DC.

Я понимаю, что эта ветка довольно старая, но я чувствовал, что эта тема не была полностью обсуждена, поскольку единственное упоминание касалось Антивируса или программного обеспечения AV на сервере DC.

1.) По моему мнению, программные AV прошли долгий путь по эффективности, но есть и подводные камни. Мало того, что AV потенциально глючит, AV имеет тенденцию потреблять память и не высвобождать ее, что не очень хорошо в производственной среде, вы действительно можете себе это позволить? Уч.

2.) Подумайте об этом ... Если ваша первая линия защиты начинается на вашем DC и на других серверах, вы уже более чем наполовину побеждены. Почему кто-то хочет начать свою схему защиты на своих серверах ???? Начать усилия по активному сопротивлению угрозам в ядре сетевой вселенной - это безумие. Установление активной защиты на этом уровне вашей модели безопасности должно означать, что ваша сеть была уничтожена хакерами, и вы пытаетесь сохранить свою сеть в последней попытке (да, ваша сеть больше не подключена к чему-либо извне и вы активно боретесь с инфекцией внутри страны), вот как это должно быть плохо, чтобы начать защиту на DC и других серверах. Отфильтруйте и активно защищайтесь от угроз задолго до того, как угроза окажется на ваших серверах. Как же так? Пункт 3

3.) Вот почему некоторые CCIE / CCNP делают большие деньги. Любая организация, которая стоит своих усилий, купит какой-либо тип оборудования у Cisco / Barracuda / Juniper или иным образом, чтобы получить аппаратное решение на месте (потому что программное обеспечение AV не приближается к сокращению горчицы). Большинство программных AV (даже часто упоминаемые как корпоративные версии Symantec, McAfee, Norton и т. Д. И т. Д. И т. П.) Просто не подходят для обеспечения такой же защиты, как установка IronPorts от Cisco или других подобных продуктов от любой крупный поставщик. За 10 тысяч долларов из вашего бюджета на ИТ-отдел вы можете иметь очень респектабельную защиту, которую программные AV просто не предоставят вам.

4.) Я сократил программные AV до размеров, поэтому позвольте мне собрать их обратно. Программные AV, для меня, являются обязательными на любых рабочих станциях / ПК пользователя, без исключений. Они предотвращают причинение вреда / разрушение неведомыми или злонамеренными вашими сетями из внешних источников, например, они принесли свою флешку из дома и попытались скопировать некоторые работы, которые они выполняли дома прошлой ночью, на свою рабочую станцию. Эта область - единственная главная причина хорошего программного обеспечения AV. Вот почему программное обеспечение AV было изобретено (венский вирус), безо всякой другой причины, вупс ... почти забыл реальную причину ... чтобы воровать ваши деньги хорошо, хорошо, нм

5.) В любом случае ... Ваш DC не будет извлекать выгоду или иметь препятствия от наличия программного обеспечения AV на нем. Ваши БД-серверы, веб-серверы пострадают, никаких программных AV-файлов на них нет, если вы действительно не находитесь под известной и устойчивой атакой (вы узнаете об этом не понаслышке из-за IronPorts и т. Д., Упомянутых в пункте 3).

6.) И последнее, но не менее важное: если вы не можете позволить себе хорошую настройку от Cisco или Juniper, переходите на Linux! Если у вас есть запасной компьютер или два лежащих рядом, проверьте свои варианты с некоторыми решениями OpenSource, доступными для вашей сети ... Они мощные ... и, как было отмечено выше, выбранный ответ, они должны быть настроены правильно . Помните того парня из CCIE / CCNP, о котором я говорил? Ага.