Führen Sie Antivirus auf Ihren Windows-Servern aus?

Hier ist ein Argument, das ich in über einem Dutzend Unternehmen hatte:

Sollten Sie einen Antivirus-Client auf Ihren Windows-Servern installieren?

Natürlich sollten Sie AV nicht auf Ihrem SQL Server installieren. Ich denke, es besteht auch ein allgemeiner Konsens darüber, dass es nicht zu Ihrem Webserver gehört.

Wie sieht es aber mit allen anderen Servern in einem Unternehmen aus?

• Austausch
• Active Directory
• Dateiserver
• OCS
• Utility-Server
• etc

Halten Sie es für angemessen, AV auf diesen Computern auszuführen?

Ja, obwohl sie größtenteils so konfiguriert sind, dass sie über Nacht mit deaktiviertem Echtzeit-Dateischutz nach Viren suchen, gibt es folgende Ausnahmen:

• Dateiserver - Legen Sie fest, dass nur beim Schreiben gescannt wird. Vollständiger nächtlicher Scan.
• Sharepoint - Kein aktuelles Antivirenprogramm, das auf Sophos wartet, bis SharePoint die Beta-Version verlassen hat.
• Exchange - Exchange-spezifische Antivirenlösung. Nachtscans schließen Datenspeicher aus.
• Anwendungsserver - SQL-Datenspeicher, die von Nachtscans ausgeschlossen sind.
• AD / DC / DHCP - Über-Nacht-Scan zum Ausschließen von dienstspezifischen Datendateien und Protokollen

Das fasst meine Meinung zusammen.

Auf jeden Fall ja auf Dateiservern; Sie können dann die auf dem Server gespeicherten Dateien scannen, ohne auf Desktop-AV angewiesen zu sein (was fehlschlagen kann).

Exchange, ich würde raten, ein geeignetes Exchange-Produkt zu installieren (Sybari AntiGen war das Original; das ist jetzt MS ForeFront for Exchange, aber es gibt eine Menge Konkurrenz), mit dem der Inhalt der E-Mails gescannt wird. Es macht wenig Sinn, das Dateisystem auf einem Exchange-Server zu scannen.

AD, ich würde mich nicht darum kümmern

OCS, holen Sie sich das Forefront-Plug-In, wenn Sie eine Verbindung zur Außenwelt herstellen.

Grundsätzlich gibt es meiner Meinung nach keine einheitliche Antwort auf diese Frage. Sie müssen herausfinden, wo die Risiken liegen. Im Allgemeinen würde ich, abgesehen von einem Dateiserver, keine generische Datei-AV auf Servern vorschlagen. Sie möchten etwas spezifischeres für die Rolle des Servers.

Wir lassen AV auf allem laufen, das Windows hat. Bei der Grundkonfiguration (ohne Datenbanken, nur beim Schreiben scannen usw.) ist der Aufwand so gering, dass die Kosten praktisch Null sind. Die einzige Ausnahme in meiner Organisation sind Hyper-V-Server. die sind sehr sorgfältig vom Rest des Netzwerks isoliert.

Einige würden argumentieren, dass der potenzielle Nutzen auch fast Null ist; Aber da die Kosten ähnlich sind, gleichen sie sich immer noch aus. Sicherheit sollte in Schichten angewendet werden und nicht von einem einzelnen Punkt wie Atlas aufgehalten werden.

Im Allgemeinen würde ich sagen, dass Sie eine Art AV auf vielen Servern haben möchten, aber, und dies ist eine große Sache, müssen Sie mit den Ausnahmen vorsichtig sein.

Erstens können Anti-Virus-Produkte die Leistung erheblich beeinträchtigen, insbesondere bei bestimmten Workloads. Stellen Sie sicher, dass Sie das richtige AV-Produkt für das Gerät auswählen, und stellen Sie sicher, dass es richtig konfiguriert ist.

Besonderer Hinweis: Seien Sie bei Exchange sehr vorsichtig und installieren Sie niemals Client-AV-Software. Wir hatten einen Mann, der unseren Exchange-Server bei meinem vorherigen Job in die Knie gezwungen hat, nachdem er einen AV-Client (für Desktops gedacht) darauf installiert hatte, der versuchte, jede eingehende oder ausgehende E-Mail zu scannen, und der sehr langsam arbeitete.

Ein paar Argumente für die Ausführung von AV auf Windows-Servern:

• Nicht so fähige Benutzer, die zufällig Zugriff auf das System haben und vielleicht denken, dass es eine gute Idee ist, dort zu surfen und Programme zu installieren. Adobe Reader, insbesondere der alte Adobe Reader, ist nach einer Katastrophe immer nur ein schädlicher PDF-Download.
• Benachrichtigung über das Vorhandensein gängiger Angriffswerkzeuge. Eine Kopie von netcat oder pwdump, die auf dem System abgelegt wird, ist immer eine gute Nachricht - dies gilt sowohl für externe als auch für interne Bedrohungen.

Oft liegt es nicht an dir. Wenn Sie an bestimmte Richtlinien gebunden sind, kann dies erforderlich sein. Ich bin nicht auf PCI-Standards aktuell, aber als sie herauskamen, mussten wir AV-Software auf allen unseren Servern installieren.

Für SharePoint würde ich ForeFront Security für SharePoint hinzufügen. Sie möchten auf jeden Fall AV für Dokumente, die auf SharePoint hochgeladen werden.

Ich denke, das eigentliche Argument für AV auf Windows-Servern sind Würmer oder andere Viren, die sich verbreiten können, ohne dass ein inkompetenter (oder unglücklicher) Administrator erforderlich ist. Es ist lange her, dass ich einen guten Wurm gesehen habe, der einen MS-Fehler ausgenutzt hat und sich frei von Computer zu Computer bewegen konnte. Dies erfordert keine Benutzer- oder Administratorintervention, um verbreitet zu werden. Server sind besonders gefährlich, da sie in der Regel rund um die Uhr geöffnet sind und viele von ihnen nicht regelmäßig angemeldet werden (dh, Sie können die Probleme möglicherweise nicht sofort erkennen).

Sie müssen das dann mit dem Risiko vergleichen, dass Ihre Daten gestohlen werden, Server möglicherweise beschädigt werden, der Ruf Schaden nimmt, die Zeit für das Reparieren, die Paranoia, dass Sie nicht alles bereinigt haben, usw.

Meine Politik ist, dass ALLE Windows-Boxen AV auf ihnen installiert bekommen (Linux ist eine andere Geschichte). Optimiert, um Schutz bei minimaler Beeinträchtigung der Leistung zu bieten. Auch Boxen, in denen Funktionen wie E-Mail ausgeführt werden, benötigen AV, das speziell auf diese Umgebung zugeschnitten ist. Nichts ist schlimmer als AV, das versucht, in Mail-Datenbanken einzudringen und Viren zu entfernen ...

Meine zwei Cent. Besser auf Nummer sicher gehen.

Ich habe Clamwin und mache einen wöchentlichen Scan auf meinem Dateiserver, bei dem nicht viel Aktivität zu sehen ist. Ich hatte zuvor Symantec AV und der Scan beim Dateizugriff hat die Leistung beeinträchtigt.

Ja. Ich benutze Trend Micro für die meisten meiner Kunden. Der Worry Free Business Security 5.1-Standard für Boxen ohne Exchange und WFBS Advanced für diejenigen mit.

Der Client wird automatisch für den ersten Server installiert und ist für alle anderen einfach zu installieren.

Die Echtzeit wird hoffentlich nicht sehr oft benötigt, aber die Suchläufe, die ich wöchentlich oder täglich nach Stunden auswähle, können Dinge finden, die zuvor möglicherweise übersehen wurden (dh Viren waren nicht Teil der vorherigen Definitionen).

Der Leistungseinbruch ist selten und die Alternative ist ein Albtraum, insbesondere für eine gemeinsam genutzte Ressource wie einen Server.

Ich habe zwar ein paar Administratoren getroffen, die nicht daran denken, eine Box aus einem Backup-Image neu zu erstellen ... Aber ich würde meine Zeit lieber mit anderen Dingen verbringen. :)

Antivirus ist nur erforderlich, wenn "dumme" Clients über Ausführungs- / Administratorrechte auf Computern verfügen. Also, wenn Ihr Server-Administrator "dumm" ist, dann brauchen Sie Antivirus. Wenn Sie einen REAL-Serveradministrator haben, wird er niemals eine Datei auf dem Server ausführen, die nicht aus einer vertrauenswürdigen Quelle stammt. Der Administrator kann eine Datei immer auf seinem eigenen Computer scannen.

Wenn ein Server korrekt eingerichtet ist, kann er NICHT von Viren befallen werden, auch wenn sich auf seinem Fileshare ein Virus befindet. Für mich macht es also keinen Sinn, Antivirus auf dem Server zu haben. Für den Austausch sollten ausführbare Dateien verboten werden. Habe in den letzten 6 Jahren keinen Virus in meiner E-Mail gesehen.

Es ist immer besser, auf der Clientseite die richtige Sicherheit einzurichten, als den Server zu verlangsamen, nur um so zu tun, als ob er sicherer wäre.