Sollte ich ein AV-Produkt auf meinen Domänencontrollern installieren?

Sollte ich auf meinen Servern, insbesondere auf meinen Domänencontrollern, ein serverspezifisches Antivirenprogramm, ein reguläres Antivirenprogramm oder gar kein Antivirenprogramm ausführen?

Hier einige Hintergrundinformationen dazu, warum ich diese Frage stelle:

Ich habe nie in Frage gestellt, dass Antivirensoftware auf allen Windows-Computern ausgeführt werden sollte. In letzter Zeit hatte ich einige obskure Active Directory-Probleme, die ich auf Antivirensoftware zurückgeführt habe, die auf unseren Domänencontrollern ausgeführt wird.

Das spezielle Problem bestand darin, dass Symantec Endpoint Protection auf allen Domänencontrollern ausgeführt wurde. Gelegentlich löste unser Exchange-Server in Symantecs "Network Threat Protection" auf jedem DC nacheinander ein falsch-positives Ergebnis aus. Nachdem der Zugriff auf alle Domänencontroller erschöpft war, lehnte Exchange Anforderungen ab, vermutlich weil keine Kommunikation mit globalen Katalogservern möglich war oder keine Authentifizierung durchgeführt werden konnte.

Ausfälle dauerten jeweils etwa zehn Minuten und traten alle paar Tage auf. Es hat lange gedauert, das Problem zu isolieren, da es nicht leicht reproduzierbar war und im Allgemeinen eine Untersuchung durchgeführt wurde, nachdem sich das Problem von selbst gelöst hatte.

Antivirensoftware sollte auf allen Computern in einem ordnungsgemäß verwalteten Netzwerk ausgeführt werden, auch wenn andere Maßnahmen zur Verhinderung von Bedrohungen vorhanden sind. Es sollte aus zwei Gründen auch auf Servern ausgeführt werden: 1) Sie sind die kritischsten Computer in Ihrer Umgebung, viel mehr als Client-Systeme, und 2) sie sind nicht weniger gefährdet, nur weil niemand sie aktiv nutzt (oder zumindest sollte) Sie werden nicht aktiv zum Surfen im Internet verwendet: Es gibt eine Menge Malware, die sich automatisch in Ihrem Netzwerk ausbreiten kann, wenn sie auch nur einen Host hostet.

Ihr Problem hängt jedoch eher mit der ordnungsgemäßen Konfiguration Ihrer Antivirensoftware zusammen.

Das Produkt, das Sie verwenden, verfügt über eine integrierte Firewall: Dies sollte bei der Ausführung auf Serversystemen berücksichtigt und entsprechend konfiguriert (oder überhaupt deaktiviert) werden.

Vor einigen Jahren war Antivirensoftware (in) berühmt für das zufällige Löschen von Exchange-Datenbanken, wenn sie zufällig auf eine virale Signatur in einer in der physischen Datendatei gespeicherten E-Mail-Nachricht stieß. Jeder Antiviren-Anbieter warnte im Produkthandbuch davor, aber einige Leute verstanden es immer noch nicht und ließen ihre Geschäfte mit Atomwaffen füllen.

Es gibt keine Software, die Sie "einfach installieren und ausführen" können, ohne zweimal darüber nachzudenken, was Sie tun.

Auf allen unseren Servern (einschließlich Datei / SQL / Exchange) wird Symantec Antivirus mit Echtzeit-Scans und wöchentlich geplanten Scans ausgeführt. Die Software erhöht die Belastung der Computer bei durchschnittlicher Arbeitslast um ~ 2% (durchschnittliche 10% CPU-Auslastung während des Tages ohne Echtzeit-Scan, 11,5-12,5% beim Echtzeit-Scan mit auf unserem Dateiserver).

Diese Kerne machten sowieso nichts.

YMMV.

Ich hatte schon immer AV-Software mit aktiviertem On-Access-Scan auf allen Windows-Servern und war mehr als einmal dafür dankbar. Sie benötigen Software, die sowohl effektiv ist als auch sich gut verhält. Obwohl ich weiß, dass es einige gibt, die anderer Meinung sind, muss ich Ihnen sagen, dass Symantec eine so schlechte Wahl ist, wie Sie treffen könnten.

Pakete vom Typ "All in One" sind selten so effektiv wie gut ausgewählte Einzelkomponenten (wie in, ich habe noch nie ein anständiges Beispiel gesehen). Wählen Sie aus, was Sie zum Schutz benötigen, und wählen Sie dann jede Komponente einzeln aus, um den besten Schutz und die beste Leistung zu erzielen.

Beachten Sie, dass es wahrscheinlich kein AV-Produkt mit angemessenen Standardeinstellungen gibt. Die meisten dieser Tage scannen sowohl Lesen als auch Schreiben. Das wäre zwar schön, führt aber oft zu Leistungsproblemen. Schlimm genug, aber sehr schlimm, wenn Ihr DC Probleme hat, weil eine Datei, auf die er zugreifen muss, gesperrt wurde, während der AV-Scanner sie überprüft. Die meisten Scanner scannen auch eine sehr große Anzahl von Dateitypen, die nicht einmal infiziert werden können, da sie keinen aktiven Code enthalten können. Überprüfen Sie Ihre Einstellungen und passen Sie sie nach Belieben an.

Ich werde einen Gegenpunkt zu den vorherrschenden Antworten auf diesen Thread bieten.

Ich denke nicht, dass Sie auf den meisten Ihrer Server Antivirensoftware ausführen sollten, wobei Dateiserver die Ausnahme bilden. Alles, was es braucht, ist ein schlechtes Definitionsupdate, und Ihre Antivirensoftware kann leicht eine wichtige Anwendung beschädigen oder die Authentifizierung in Ihrer Domain vollständig stoppen. Während AV-Software im Laufe der Jahre erhebliche Fortschritte bei der Leistung erzielt hat, können bestimmte Arten von Scans negative Auswirkungen auf E / A- oder speicherempfindliche Anwendungen haben.

Ich denke, es gibt ziemlich gut dokumentierte Nachteile beim Ausführen von Antivirensoftware auf Servern. Was ist also der Vorteil? Angeblich haben Sie Ihre Server vor jeglicher Unangenehmkeit geschützt, die durch Ihre Edge-Firewalls eindringt oder in Ihr Netzwerk eingeführt wird. Aber bist du wirklich geschützt? Es ist nicht ganz klar und hier ist warum.

Es scheint, dass die erfolgreichste Malware Angriffsmethoden aufweist, die in drei Kategorien unterteilt sind: a) Verlassen auf einen ignoranten Endbenutzer, um sie versehentlich herunterzuladen, b) Verlassen auf eine Sicherheitsanfälligkeit, die im Betriebssystem, in der Anwendung oder im Dienst vorhanden ist, oder c) es ist ein Null-Tag Ausbeuten. Keiner dieser Vektoren sollte realistisch oder relevant für Server in einer gut geführten Organisation sein.

a) Du sollst auf deinem Server nicht im Internet surfen. Gemacht und gemacht. Im Ernst, tu es einfach nicht.

b) Erinnerst du dich an NIMDA? Alarmstufe Rot? Die meisten ihrer Weitergabestrategien beruhten entweder auf Social Engineering (der Endbenutzer klickt auf Ja) oder auf bekannten Schwachstellen , für die Patches bereits veröffentlicht wurden. Sie können diesen Angriffsvektor erheblich verringern, indem Sie sicherstellen, dass Sie mit Sicherheitsupdates auf dem neuesten Stand sind.

c) Zero-Day-Exploits sind schwer zu bewältigen. Wenn es kein Tag ist, hat Ihr Antiviren-Anbieter per Definition noch keine Definitionen dafür. Eine gründliche Verteidigung, das Prinzip des geringsten Privilegs und die geringstmögliche Angriffsfläche sind wirklich hilfreich. Kurz gesagt, es gibt nicht viel, was AV für diese Art von Sicherheitslücken tun kann.

Sie müssen die Risikoanalyse selbst durchführen, aber in meiner Umgebung sind die Vorteile von AV meiner Meinung nach nicht signifikant genug, um das Risiko auszugleichen.

Wir richten AV im Allgemeinen nach einem Zeitplan ein und verwenden kein Echtzeit-Scannen (dh Dateien werden beim Erstellen nicht gescannt).

Dies scheint die meisten Probleme zu vermeiden, die mit AV auf einem Server verbunden sind. Da niemand (im Idealfall) tatsächlich etwas auf dem Server ausführt, wird der Bedarf an Echtzeitschutz verringert, insbesondere wenn man bedenkt, dass die Clients über AV mit Echtzeit verfügen.

Wir führen das Serverprodukt von Vexira auf unseren Servern aus, aber es ist möglicherweise eher eine Funktion des reduzierten Preises als der Effektivität. Wir hatten mehrere Workstations mit ihrem Desktop-Produkt, die sich nicht aktualisieren ließen, es sei denn, wir deinstallieren und installieren sie mit der neuesten Version neu.

Ich habe das Gefühl, dass viele dieser Probleme durch Leute verursacht werden, die AV auf Servern so konfigurieren, als wären sie Heim-PCs. Dies kann auf kurzsichtiges Management, engmaschige Beancounters, die strikte Einhaltung von Unternehmensrichtlinien, die unterschiedliche Anforderungen für verschiedene Benutzer / Maschinen nicht angemessen berücksichtigen, oder einen ehemaligen Administrator zurückzuführen sein, der nicht ganz auf dem neuesten Stand war, aber das Endergebnis ist das gleiche: Chaos.

In einer idealen Welt würde ich sagen: "Verwenden Sie für Ihre Server ein anderes AV-Produkt als auf Ihren PCs, stellen Sie vor dem Kauf sicher, dass es sich um ein geeignetes Server-AV-Produkt handelt, und greifen Sie mit den Worten" Symantec "an den Ohren und wirf es aus der Tür ".

Auf der anderen Seite der Medaille habe ich in 20 Jahren mit Dutzenden von Clients noch nie einen Domänencontroller gesehen, bei dem keine gemeinsam genutzten Laufwerke infiziert waren. Selbst dann waren nur noch Infektionen auf dem Laufwerk und keine tatsächlichen Betriebssysteminfektionen. Die Malware, die wir am häufigsten sehen und die sogar Freigaben bewirkt, ist Cryptolocker und infiziert Server nicht wirklich. Es verschlüsselt einfach die freigegebenen Dateien. Wenn die Workstation ordnungsgemäß gesichert ist, wird der Server nicht verschlüsselt.

Was ich sehe, ist die AV-Software, die Probleme verursacht. Ich habe stundenlang versucht herauszufinden, was sich geändert hat, nur um ein AV-Update zu finden, das das Problem verursacht hat. Selbst wenn es richtig konfiguriert ist, habe ich Probleme gesehen. Ich weiß, dass mir die Leute Best Practices nennen und alle AV ausführen sollen. Ich weiß, dass jemand darauf hinweisen wird, dass mich das eines Tages beißen wird, weil ich nicht auf jedem Server AV habe. Bis vor ungefähr einem Jahr haben wir noch nie einen Cryptolocker gesehen und jetzt haben wir ziemlich oft Varianten (alle, die übrigens nicht von verschiedenen AV-Marken gestoppt werden können, die ordnungsgemäß auf der Workstation installiert sind). Vielleicht wird es eines Tages einen anderen Wurm geben Typ Virus, der Server infiziert, aber bis dahin bin ich froh, dass ich mich nicht mit AV-Problemen auf meinen SQL-, Print- und DC-Servern befassen muss.

Mir ist klar, dass dieser Thread ziemlich alt ist, aber ich hatte das Gefühl, dass das Thema nicht vollständig besprochen wurde, da die einzige Erwähnung in Bezug auf Anti-Virus, auch bekannt als "AV" -Softwareschutz auf dem DC-Server, erfolgte.

1.) Meiner Meinung nach haben Software-AVs einen langen Weg in der Effektivität zurückgelegt, aber es gibt Fallstricke. Der AV ist nicht nur potenziell fehlerhaft, AVs neigen auch dazu, Speicher zu verbrauchen und ihn nicht freizugeben. Nicht gut, in einer Produktionsumgebung. Können Sie sich das wirklich leisten? Autsch.

2.) Denken Sie darüber nach ... Wenn Ihre erste Verteidigungslinie auf Ihrem DC und auf anderen Servern beginnt, sind Sie bereits mehr als zur Hälfte besiegt. Warum sollte jemand sein Verteidigungsschema auf der Innenseite seiner Server beginnen wollen? Es ist verrückt, sich im Kern des Netzwerkuniversums aktiv gegen Bedrohungen zu wehren. Eine aktive Verteidigung auf dieser Ebene Ihres Sicherheitsmodells sollte bedeuten, dass Ihr Netzwerk von Hackern ausgelöscht wurde und Sie versuchen, Ihr Netzwerk in einem letzten Grabenversuch zu retten (ja, Ihr Netzwerk ist nicht mehr mit irgendetwas außerhalb und verbunden Sie bekämpfen die Infektion intern aktiv), so schlimm sollte dies sein, um Ihre Verteidigung auf dem DC und anderen Servern zu beginnen. Filtern Sie Bedrohungen heraus und verteidigen Sie sie aktiv, lange bevor sie auf Ihren Servern auftreten. Wie? Punkt 3.

3.) Aus diesem Grund machen einige CCIE / CCNPs das große Geld. Jede Organisation, die ihr Geld wert ist, kauft Hardware von Cisco / Barracuda / Juniper oder auf andere Weise, um eine Hardwarelösung zu erhalten (da Software-AV nicht annähernd den Senf schneidet). Die meisten Software-AVs (selbst die oft als Enterprise-Versionen von Symantec, McAfee, Norton usw. usw. angepriesenen usw.) bieten einfach nicht den gleichen Schutz wie ein IronPorts-Setup von Cisco oder andere ähnliche Produkte von jeder große Anbieter. Für nur 10.000 US-Dollar aus Ihrem IT-Abteilungsbudget können Sie einen sehr respektablen Schutz erhalten, den Software-AVs Ihnen einfach nicht bieten.

4.) Ich habe Software-AVs auf die Größe reduziert, also erlaube mir, sie wieder aufzubauen. Software-AVs sind für mich ausnahmslos ein Muss auf allen Benutzer-Workstations / PCs. Sie verhindern, dass Unwissende oder Böswillige Ihre Netzwerke von externen Quellen verletzen / zerstören. Sie haben beispielsweise ihr Flash-Laufwerk von zu Hause mitgebracht und versucht, einige Arbeiten, die sie in der vergangenen Nacht zu Hause erledigt haben, auf ihre Workstation zu kopieren. Dieser Bereich ist der größte Grund für eine gute Software-AV. Aus diesem Grund wurde die Software AV erfunden (Wiener Virus), aus keinem anderen Grund, woops ... fast den wahren Grund vergessen ... Ihr Geld zu überfallen ok ok, nm.

5.) Wie auch immer ... Ihr DC wird nicht wirklich davon profitieren oder daran gehindert werden, Software-AV darauf zu haben. Ihre DB-Server und Webserver werden darunter leiden, keine Software-AV auf ihnen, es sei denn, Sie sind wirklich einem bekannten und anhaltenden Angriff ausgesetzt (Sie wissen dies aus erster Hand aufgrund von IronPorts usw., wie in Punkt 3 erwähnt).

6.) Wenn Sie sich ein nettes Setup von Cisco oder Juniper nicht leisten können, gehen Sie zu Linux! Wenn Sie ein oder zwei Ersatzmaschinen haben, prüfen Sie Ihre Optionen mit einigen der für Ihr Netzwerk verfügbaren OpenSource-Lösungen ... Sie sind leistungsstark ... und wie in der oben genannten Antwort hervorgehoben, müssen sie korrekt konfiguriert sein . Erinnerst du dich an den CCIE / CCNP-Typen, über den ich gesprochen habe? Ja.