我应该在我的服务器(尤其是我的域控制器)上运行特定于服务器的防病毒软件、常规防病毒软件还是根本不运行防病毒软件?
这里有一些关于我为什么要问这个问题的背景:
我从来没有质疑过防病毒软件应该在所有 Windows 机器上运行,期间。最近我遇到了一些与 Active Directory 相关的晦涩难懂的问题,我已将这些问题追溯到在我们的域控制器上运行的防病毒软件。
具体问题是 Symantec Endpoint Protection 正在所有域控制器上运行。有时,我们的 Exchange 服务器会依次在每个 DC 上触发 Symantec 的“网络威胁防护”中的误报。在用尽对所有 DC 的访问后,Exchange 开始拒绝请求,可能是因为它无法与任何全局编录服务器通信或执行任何身份验证。
中断一次会持续大约十分钟,并且每隔几天就会发生一次。隔离问题需要很长时间,因为它不容易重现,并且通常在问题自行解决后进行调查。
即使采取了其他威胁预防措施,反病毒软件绝对应该在管理得当的网络中的所有机器上运行。它也应该在服务器上运行,原因有两个:1)它们是您环境中最关键的计算机,远远超过客户端系统,以及 2)它们的风险并不小,只是因为没有人积极使用(或至少应该没有积极地使用它们来上网:有很多恶意软件可以自动在您的网络中传播,如果它甚至可以控制单个主机。
也就是说,您的问题与正确配置防病毒软件更相关。
您使用的产品带有内置防火墙:在服务器系统上运行它时应该考虑到这一点,并进行相应的配置(或完全关闭)。
几年前,防病毒软件因偶然发现存储在物理数据文件中的某些电子邮件消息中的病毒签名而随机删除 Exchange 数据库而(臭名昭著);每个杀毒厂商在产品手册中都对此进行了警告,但仍有一些人没有掌握它,并让他们的商店遭到了核爆。
没有任何软件可以“直接安装并运行”,而无需三思而后行。
我们所有的服务器(包括文件/sql/exchange)都运行带有实时扫描和每周计划扫描的 Symantec Antivirus。对于平均工作负载,该软件将机器上的负载增加了约 2%(在没有实时扫描的情况下,白天平均 10% 的 cpu 使用率,在我们的文件服务器上进行实时扫描时增加了 11.5-12.5%)。
反正那些核心什么也没做。
YMMV。
我一直在所有 Windows 服务器上都启用了按访问扫描的 AV 软件,并且不止一次对此表示感谢。您需要既有效又表现良好的软件。虽然我知道有些人会不同意,但我不得不告诉您,赛门铁克是您可以做出的最糟糕的选择。
“多合一”类型的软件包很少像精心挑选的单个组件那样有效(例如,我还从未见过像样的示例)。选择您需要的保护,然后分别选择每个组件以获得最佳保护和性能。
需要注意的一件事是,可能没有合适的默认设置的 AV 产品。这些天大部分时间都用于扫描读取和写入。虽然这很好,但它通常会导致性能问题。任何时候都够糟糕,但当你的 DC 出现问题时非常糟糕,因为它需要访问的文件在 AV 扫描仪检查时已被锁定。大多数扫描仪还会扫描大量甚至无法被感染的文件类型,因为它们不能包含活动代码。检查您的设置并酌情调整。
我将对这个线程的普遍答案提供一个反驳点。
我认为您不应该在大多数服务器上运行防病毒软件,文件服务器除外。只需一次错误的定义更新,您的防病毒软件就可以轻松破坏重要应用程序或完全停止域中的身份验证。而且,虽然 AV 软件多年来在其性能影响方面取得了实质性进展,但某些类型的扫描可能会对 I/O 或内存敏感应用程序产生负面影响。
我认为在服务器上运行防病毒软件有很多缺点,那么优点是什么?从表面上看,您已经保护了您的服务器免受任何通过边缘防火墙过滤或引入您的网络的恶意行为。但你真的受到保护吗?这并不完全清楚,这就是原因。
似乎大多数成功的恶意软件都具有分为三类的攻击媒介:a)依赖于无知的最终用户意外下载它,b)依赖于操作系统、应用程序或服务中存在的漏洞或c)它是零日开发。对于运行良好的组织中的服务器,这些都不应该是现实的或相关的攻击媒介。
a)您不得在您的服务器上上网。做完了。说真的,只是不要这样做。
b)还记得 NIMDA 吗?红色代码?他们的大多数传播策略依赖于社会工程(最终用户单击“是”)或已发布补丁的已知漏洞。您可以通过确保及时更新安全更新来显着减轻这种攻击媒介。
c)零日攻击很难处理。如果是零日,根据定义,您的防病毒供应商还没有针对它的定义。深度防御、最小特权原则和尽可能最小的攻击面确实有帮助。简而言之,对于这些类型的漏洞,AV 无能为力。
您必须自己进行风险分析,但在我的环境中,我认为 AV 的好处不足以弥补风险。
我们通常按计划设置 AV 并且不使用实时扫描(即,文件在创建时不会被扫描)。
这似乎避免了在服务器上安装 AV 所带来的大多数问题。由于没有人(理想情况下)实际上在服务器上运行任何东西,因此减少了对实时保护的需求,特别是考虑到客户端具有实时 AV。
我们在我们的服务器上运行 Vexira 的服务器产品,但它可能更多的是折扣定价功能而不是有效性。我们有几个使用他们的桌面产品的工作站,除非我们卸载并重新安装最新版本,否则它们将拒绝更新。
我觉得很多这些问题是由人们在服务器上配置 AV 引起的,就好像他们是家用 PC 一样。这可能归结为短视的管理、严密的 beancounter、严格遵守未适当考虑不同用户/机器的不同需求的公司政策,或者不是完全符合标准的前管理员,但最终结果是一样的:浩劫。
在一个理想的世界里,我会说“为你的服务器使用不同的 AV 产品,就像在你的 PC 上一样,在你购买之前确保它是一个合适的服务器 AV 产品,并抓住任何带有‘赛门铁克’字样的东西。把它扔到门外”。
另一方面,在拥有数十个客户的 20 年中,我从未见过没有共享驱动器被感染的域控制器。即便如此,感染只是留在驱动器上的文件,而不是实际的操作系统感染。我们看到最多的甚至影响共享的恶意软件是密码锁,它实际上并没有感染服务器。它只是加密共享文件。如果工作站得到适当保护,那么服务器将不会被加密。
我所看到的是导致问题的 AV 软件。我花了几个小时试图找出发生了什么变化,才发现是 AV 更新导致了这个问题。即使配置正确,我也看到了问题。我知道人们会告诉我最佳实践,所有这些都是运行 AV。我知道有人会指出,总有一天这会让我因为没有在每台服务器上都安装 AV 而受到伤害。直到大约一年前,我们从未见过密码锁,而现在我们经常变种(顺便说一下,工作站上正确安装的几种不同品牌的 AV 都无法阻止所有这些变种。)也许有一天会出现另一种蠕虫类型病毒感染服务器,但在那之前我很高兴不必处理我的 SQL、打印和 DC 服务器上的 AV 问题。
我意识到这个帖子已经很老了,但我觉得这个话题没有被完全讨论,因为唯一提到的是关于反病毒,也就是 DC 服务器上的“AV”软件保护。
1.) 在我看来,软件 AV 在有效性方面取得了长足的进步,但也存在缺陷。不仅 AV 可能存在错误,而且 AV 有消耗内存而不释放内存的趋势,这不好,在生产环境中,你真的负担得起吗?哎哟。
2.) 想一想……如果您的第一道防线从您的 DC 和其他服务器开始,那么您已经被打败了一半以上。为什么有人要在他们的服务器内部开始他们的防御计划????开始努力在网络世界的核心积极抵抗威胁是疯狂的。在您的安全模型的这一层建立主动防御应该意味着您的网络已被黑客破坏,并且您正试图在最后一次尝试中挽救您的网络(是的,您的网络不再连接到外部的任何东西,并且您正在内部积极地与感染作斗争),这应该是多么糟糕才能开始在 DC 和其他服务器上进行防御。早在威胁出现在您的服务器上之前,就过滤掉并积极防御威胁。怎么会这样?第 3 项。
3.) 这就是为什么一些 CCIE/CCNP 能赚大钱的原因。任何称职的组织都会从 Cisco / Barracuda / Juniper 购买某种类型的硬件,或者以其他方式获得硬件解决方案(因为软件 AV 并不接近削减芥末)。大多数软件 AV(甚至经常被吹捧为企业版的 Symantec、McAfee、Norton 等)根本无法为您提供与 Cisco 的 IronPorts 设置或其他类似产品相同的保护任何主要供应商。只需从您的 IT 部门预算中拿出微不足道的 10,000 美元,您就可以获得非常可观的保护,而软件 AV 根本无法为您提供。
4.) 我已经将软件 AV 的大小缩减了,所以请允许我重新构建它们。对我来说,软件 AV 是任何“用户”工作站/PC 上的必备软件,没有例外。他们防止不知情或恶意从外部来源伤害/破坏您的网络,例如,他们从家里带来闪存驱动器并试图将他们前一天晚上在家里所做的一些工作复制到他们的工作站上。这个领域是拥有优秀软件 AV 的最大原因。这就是为什么发明软件 AV(维也纳病毒)的原因,没有其他原因,呜呜……几乎忘记了真正的原因……抢劫你的钱好吧好吧,纳米。
5.) 无论如何...您的 DC 并不会真正受益或阻碍其上安装软件 AV。您的数据库服务器、Web 服务器将受到影响,除非您确实受到已知且持续的攻击(您将因为 IronPorts 等...在第 3 点中提到,您将直接了解这一点),否则它们上没有软件 AV。
6.) 最后但同样重要的是,如果您买不起 Cisco 或 Juniper 的良好设置,请使用 Linux!如果您有一两台备用机器,请使用一些可用于您的网络的开源解决方案检查您的选择......它们很强大......并且正如上面选择的答案突出显示的那样,它们必须正确配置。还记得我说的那个 CCIE/CCNP 人吗?是的。