ฉันควรติดตั้งผลิตภัณฑ์ AV บนตัวควบคุมโดเมนของฉันหรือไม่

ฉันควรเรียกใช้โปรแกรมป้องกันไวรัสเฉพาะเซิร์ฟเวอร์ป้องกันไวรัสปกติหรือไม่มีโปรแกรมป้องกันไวรัสเลยบนเซิร์ฟเวอร์ของฉันโดยเฉพาะตัวควบคุมโดเมนของฉันหรือไม่

ต่อไปนี้เป็นข้อมูลพื้นฐานเกี่ยวกับสาเหตุที่ฉันถามคำถามนี้:

ฉันไม่เคยตั้งคำถามว่าซอฟต์แวร์ป้องกันไวรัสควรทำงานบนเครื่อง windows ทุกเครื่องเป็นระยะเวลา เมื่อเร็ว ๆ นี้ฉันมีปัญหาเกี่ยวกับ Active Directory ที่คลุมเครือซึ่งฉันได้ติดตามซอฟต์แวร์ต่อต้านไวรัสที่ทำงานบนตัวควบคุมโดเมนของเรา

ปัญหาเฉพาะคือ Symantec Endpoint Protection ทำงานบนตัวควบคุมโดเมนทั้งหมด ในบางครั้งเซิร์ฟเวอร์ Exchange ของเราเรียกใช้ค่าบวกใน "การป้องกันภัยคุกคามเครือข่าย" ของไซแมนเทคใน DC แต่ละตัวตามลำดับ หลังจากหมดการเข้าถึง DC ทั้งหมด Exchange เริ่มปฏิเสธคำขอเนื่องจากอาจไม่สามารถสื่อสารกับเซิร์ฟเวอร์ Global Catalog ใด ๆ หรือทำการตรวจสอบสิทธิ์ใด ๆ

ไฟดับจะใช้เวลาประมาณสิบนาทีต่อครั้งและจะเกิดขึ้นทุกๆสองสามวัน ใช้เวลานานในการแยกปัญหาเนื่องจากไม่สามารถทำซ้ำได้ง่ายและการตรวจสอบโดยทั่วไปเกิดขึ้นหลังจากปัญหาได้รับการแก้ไข

ซอฟต์แวร์ป้องกันไวรัสควรทำงานบนเครื่องทั้งหมดในเครือข่ายที่มีการจัดการอย่างเหมาะสมแม้ว่าจะมีมาตรการป้องกันภัยคุกคามอื่น ๆ ก็ตาม มันควรทำงานบนเซิร์ฟเวอร์ด้วยเหตุผลสองประการ: 1) พวกเขาเป็นคอมพิวเตอร์ที่สำคัญที่สุดในสภาพแวดล้อมของคุณมากกว่าระบบไคลเอนต์และ 2) พวกเขาไม่ได้มีความเสี่ยงเพียงเพราะไม่มีใครใช้ (หรืออย่างน้อยควรใช้ ไม่ได้ใช้งานอย่างแข็งขัน) พวกมันสำหรับการท่องเว็บ: มีมัลแวร์มากมายที่สามารถแพร่กระจายไปทั่วเครือข่ายของคุณโดยอัตโนมัติหากสามารถถูกจับได้แม้กระทั่งโฮสต์เดียว

ที่กล่าวว่าปัญหาของคุณเกี่ยวข้องกับการกำหนดค่าซอฟต์แวร์ป้องกันไวรัสของคุณอย่างเหมาะสม

ผลิตภัณฑ์ที่คุณใช้มาพร้อมกับไฟร์วอลล์ในตัวนั่นคือสิ่งที่ควรคำนึงถึงเมื่อใช้งานบนระบบเซิร์ฟเวอร์และกำหนดค่าตามความเหมาะสม (หรือปิดเลย)

หลายปีที่ผ่านมาซอฟต์แวร์ป้องกันไวรัสมีชื่อเสียงในการลบฐานข้อมูล Exchange แบบสุ่มหากมีโอกาสพบลายเซ็นของไวรัสภายในข้อความอีเมลบางส่วนที่เก็บอยู่ในไฟล์ข้อมูลทางกายภาพ ผู้จำหน่ายแอนตี้ไวรัสทุกรายเตือนเรื่องนี้ไว้ในคู่มือผลิตภัณฑ์ แต่บางคนก็ยังไม่เข้าใจและได้ร้านค้าของพวกเขา

ไม่มีซอฟต์แวร์ที่คุณสามารถ "เพิ่งติดตั้งและเรียกใช้" โดยไม่ต้องคิดสองครั้งเกี่ยวกับสิ่งที่คุณทำ

เซิร์ฟเวอร์ของเราทั้งหมด (รวมถึงไฟล์ / sql / exchange) เรียกใช้ Symantec Antivirus พร้อมการสแกนแบบเรียลไทม์และการสแกนตามกำหนดทุกสัปดาห์ ซอฟต์แวร์เพิ่มการโหลดบนเครื่องโดย ~ 2% สำหรับปริมาณงานเฉลี่ย (การใช้งาน cpu เฉลี่ย 10% ในระหว่างวันที่ไม่มีการสแกนแบบเรียลไทม์ 11.5-12.5% ​​พร้อมการสแกนแบบเรียลไทม์ด้วยไฟล์เซิร์ฟเวอร์ของเรา)

แกนเหล่านั้นไม่ได้ทำอะไรเลย

YMMV

ฉันมีซอฟต์แวร์ AV ที่เปิดใช้งานการสแกนแบบ on-access บนเซิร์ฟเวอร์ Windows ทุกเครื่องและรู้สึกขอบคุณมากกว่าหนึ่งครั้ง คุณต้องการซอฟต์แวร์ที่มีประสิทธิภาพและประพฤติดี ในขณะที่ฉันรู้ว่ามีบางคนที่ไม่เห็นด้วยฉันต้องบอกคุณว่าไซแมนเทคเกี่ยวกับทางเลือกที่เลวร้ายอย่างที่คุณสามารถทำได้

แพ็คเกจประเภท "ทั้งหมดในที่เดียว" นั้นไม่ค่อยมีประสิทธิภาพเท่า ๆ กับที่เลือกส่วนประกอบแต่ละตัว (เช่นในฉันยังไม่เคยเห็นตัวอย่างที่ดีเลย) เลือกสิ่งที่คุณต้องการสำหรับการป้องกันแล้วเลือกแต่ละส่วนประกอบแยกกันเพื่อการปกป้องและประสิทธิภาพที่ดีที่สุด

สิ่งหนึ่งที่ควรระวังคืออาจไม่มีผลิตภัณฑ์ AV ที่มีการตั้งค่าเริ่มต้นที่เหมาะสม วันนี้ส่วนใหญ่ไปสแกนทั้งอ่านและเขียน แม้ว่าจะดี แต่ก็มักนำไปสู่ปัญหาด้านประสิทธิภาพ ไม่ดีพอในเวลาเดียวกัน แต่แย่มากเมื่อ DC ของคุณมีปัญหาเนื่องจากไฟล์ที่จำเป็นในการเข้าถึงถูกล็อคในขณะที่เครื่องสแกน AV กำลังตรวจสอบอยู่ สแกนเนอร์ส่วนใหญ่ยังสแกนไฟล์ประเภทจำนวนมากที่ไม่สามารถติดไวรัสได้เพราะมันไม่สามารถมีรหัสที่ใช้งานได้ ตรวจสอบการตั้งค่าของคุณและปรับด้วยดุลยพินิจ

ฉันจะเสนอจุดตอบโต้กับคำตอบทั่วไปของกระทู้นี้

ฉันไม่คิดว่าคุณควรใช้ซอฟต์แวร์ป้องกันไวรัสในเซิร์ฟเวอร์ส่วนใหญ่ของคุณโดยที่ไฟล์เซิร์ฟเวอร์นั้นเป็นข้อยกเว้น สิ่งที่ต้องทำคือการอัปเดตคำจำกัดความที่ไม่ดีและซอฟต์แวร์ป้องกันไวรัสของคุณสามารถทำลายแอปพลิเคชันที่สำคัญหรือหยุดการพิสูจน์ตัวตนในโดเมนของคุณได้อย่างง่ายดาย และในขณะที่ซอฟต์แวร์ AV นั้นมีความคืบหน้าอย่างมากในเรื่องผลกระทบต่อประสิทธิภาพการทำงานในช่วงหลายปีที่ผ่านมา

ฉันคิดว่ามีข้อเสียค่อนข้างดีในการใช้งานซอฟต์แวร์ป้องกันไวรัสบนเซิร์ฟเวอร์ดังนั้นสิ่งที่เป็นข้อเสีย? คุณได้ปกป้องเซิร์ฟเวอร์ของคุณจากสิ่งที่น่ารังเกียจที่กรองผ่านไฟร์วอลล์ขอบของคุณหรือถูกนำเข้าสู่เครือข่ายของคุณ แต่คุณได้รับการคุ้มครองจริงหรือ มันไม่ชัดเจนทั้งหมดและนี่คือเหตุผล

ดูเหมือนว่ามัลแวร์ที่ประสบความสำเร็จมากที่สุดมีเวกเตอร์โจมตีที่ตกอยู่ในสามประเภท: ก)อาศัยอยู่กับผู้ใช้ไม่รู้ตั้งใจดาวน์โหลดได้ข)อาศัยช่องโหว่ที่มีอยู่ในระบบปฏิบัติการแอพลิเคชันหรือบริการหรือค)มันเป็นวันที่ศูนย์ เอาเปรียบ สิ่งเหล่านี้ไม่ควรเป็นจริงหรือเป็นเวคเตอร์การโจมตีที่เกี่ยวข้องสำหรับเซิร์ฟเวอร์ในองค์กรที่ทำงานได้ดี

a)ท่านจะไม่ท่องอินเทอร์เน็ตบนเซิร์ฟเวอร์ของท่าน เสร็จแล้ว อย่างจริงจังเพียงอย่าทำมัน

b)จำ NIMDA ได้หรือไม่ รหัสแดง? กลยุทธ์การแพร่กระจายส่วนใหญ่ของพวกเขาอาศัยทั้งวิศวกรรมสังคม (ผู้ใช้ปลายทางคลิกใช่) หรือช่องโหว่ที่ทราบว่าแพทช์ได้เปิดตัวแล้ว คุณสามารถลดเวกเตอร์การโจมตีนี้ได้อย่างมีนัยสำคัญด้วยการทำให้แน่ใจว่าคุณอยู่กับการปรับปรุงความปลอดภัย

c) การหาประโยชน์จาก Zero day นั้นยากที่จะจัดการ หากไม่มีวันกำหนดผู้จำหน่ายโปรแกรมป้องกันไวรัสของคุณจะยังไม่ได้ให้คำจำกัดความ การฝึกฝนการป้องกันในเชิงลึกหลักการของสิทธิพิเศษน้อยที่สุดและการมีพื้นผิวการโจมตีที่เล็กที่สุดเท่าที่จะเป็นไปได้จะช่วยได้จริงๆ ในระยะสั้นมี AV ไม่มากที่สามารถทำช่องโหว่ประเภทนี้ได้

คุณต้องทำการวิเคราะห์ความเสี่ยงด้วยตัวเอง แต่ในสภาพแวดล้อมของฉันฉันคิดว่าประโยชน์ของ AV นั้นไม่สำคัญพอที่จะชดเชยความเสี่ยงได้

โดยทั่วไปเราตั้งค่า AV ตามกำหนดเวลาและไม่ใช้การสแกนตามเวลาจริง (เช่นไฟล์จะไม่ถูกสแกนเมื่อสร้างขึ้น)

ดูเหมือนว่าจะหลีกเลี่ยงปัญหาส่วนใหญ่ที่เกิดขึ้นกับการมี AV บนเซิร์ฟเวอร์ เนื่องจากไม่มีใคร (นึกคิด) กำลังทำงานอะไรบนเซิร์ฟเวอร์ความต้องการการป้องกันแบบเรียลไทม์จะลดลงโดยเฉพาะอย่างยิ่งเมื่อพิจารณาว่าลูกค้ามี AV ด้วย Real Time

เราใช้ผลิตภัณฑ์เซิร์ฟเวอร์ของ Vexira บนเซิร์ฟเวอร์ของเรา แต่อาจเป็นฟังก์ชั่นการกำหนดราคาที่ลดราคามากกว่าประสิทธิภาพ เรามีเวิร์กสเตชันหลายตัวที่ใช้ผลิตภัณฑ์เดสก์ท็อปซึ่งจะปฏิเสธการอัปเดตเว้นแต่ว่าเราจะถอนการติดตั้งและติดตั้งเวอร์ชันล่าสุดใหม่

ฉันรู้สึกว่าปัญหาเหล่านี้เกิดขึ้นจากคนที่ตั้งค่า AV บนเซิร์ฟเวอร์ราวกับว่าเป็นพีซีในบ้าน สิ่งนี้อาจเป็นการจัดการแบบสั้น ๆ , การประกาศที่รัดกุม, การยึดมั่นในนโยบายของ บริษัท ที่ไม่คำนึงถึงความต้องการที่แตกต่างกันสำหรับผู้ใช้ / เครื่องจักรที่แตกต่างกัน, หรือผู้ดูแลระบบเดิมที่ไม่ได้ค่อนข้างเกา แต่ผลลัพธ์สุดท้ายคือ เหมือนกัน: ความเสียหาย

ในโลกอุดมคติฉันจะพูดว่า "ใช้ผลิตภัณฑ์ AV ที่แตกต่างกันสำหรับเซิร์ฟเวอร์ของคุณบนพีซีของคุณตรวจสอบให้แน่ใจก่อนซื้อว่าเป็นผลิตภัณฑ์ AV เซิร์ฟเวอร์ที่เหมาะสมและคว้าทุกสิ่งด้วยคำว่า 'Symantec' ที่หูและ โยนมันออกไปนอกประตู ".

ในอีกด้านหนึ่งของเหรียญในรอบ 20 ปีกับลูกค้าหลายสิบคนฉันไม่เคยเห็นตัวควบคุมโดเมนที่ไม่ได้ติดตั้งไดรฟ์ที่ใช้ร่วมกัน แม้กระทั่งการติดเชื้อเพียงอย่างเดียวคือไฟล์ที่เหลืออยู่ในไดรฟ์และไม่ใช่การติดเชื้อในระบบปฏิบัติการจริง มัลแวร์ที่เราเห็นที่สุดว่าแม้เอฟเฟ็กต์แชร์คือ cryptolocker และที่ไม่ติดกับเซิร์ฟเวอร์ มันเพียงเข้ารหัสไฟล์ที่แชร์ หากเวิร์กสเตชันมีความปลอดภัยอย่างถูกต้องเซิร์ฟเวอร์จะไม่ได้รับการเข้ารหัส

สิ่งที่ฉันเห็นคือซอฟต์แวร์ AV ที่ทำให้เกิดปัญหา ฉันใช้เวลาหลายชั่วโมงในการหาว่ามีอะไรเปลี่ยนแปลงเฉพาะเพื่อค้นหาการอัปเดต AV ที่ทำให้เกิดปัญหา แม้เมื่อกำหนดค่าอย่างถูกต้องฉันได้เห็นปัญหา ฉันรู้ว่าผู้คนจะบอกวิธีปฏิบัติที่ดีที่สุดให้กับฉันและทุกคนต้องใช้ AV ฉันรู้ว่าบางคนจะชี้ให้เห็นว่าสักวันหนึ่งสิ่งนี้จะกัดฉันเพราะไม่มี AV ทุกเซิร์ฟเวอร์ จนกระทั่งเมื่อหนึ่งปีก่อนหรืออย่างนั้นเราไม่เคยเห็น cryptolocker และตอนนี้เราก็แปรปรวนบ่อยครั้ง (สิ่งที่ไม่สามารถหยุดได้โดย AV หลายยี่ห้อที่ติดตั้งอย่างถูกต้องบนเวิร์กสเตชัน) บางทีบางวันอาจมีเวิร์มอื่น พิมพ์ไวรัสที่ติดกับเซิร์ฟเวอร์ แต่จนถึงขณะนี้ฉันยินดีที่จะไม่ต้องจัดการกับปัญหา AV ในเซิร์ฟเวอร์ SQL, print และ DC ของฉัน

ฉันรู้ว่าหัวข้อนี้ค่อนข้างเก่า แต่ฉันรู้สึกว่าหัวข้อนั้นไม่ได้กล่าวถึงอย่างสมบูรณ์เนื่องจากมีเพียงการกล่าวถึงในส่วนที่เกี่ยวกับ Anti-Virus หรือการป้องกันซอฟต์แวร์ 'AV' บนเซิร์ฟเวอร์ DC

1. ) ในความเห็นของฉันซอฟต์แวร์ AV มีประสิทธิภาพในระยะยาว แต่ก็ยังมีข้อผิดพลาดอยู่ ไม่เพียง แต่เป็นรถบั๊ก AV เท่านั้น AV มีแนวโน้มที่จะใช้หน่วยความจำและไม่ปล่อยมันไม่ดีในสภาพแวดล้อมการใช้งานจริงคุณสามารถซื้อได้หรือไม่ อุ๊ยตาย

2. ) ลองคิดดูสิ ... ถ้าแนวป้องกันแรกของคุณเริ่มต้นที่ DC และบนเซิร์ฟเวอร์อื่นคุณจะพ่ายแพ้ไปมากกว่าครึ่งแล้ว ทำไมทุกคนต้องการเริ่มแผนการป้องกันของพวกเขาภายในเซิร์ฟเวอร์ของพวกเขา ???? ในการเริ่มต้นความพยายามในการต่อต้านการคุกคามที่สำคัญของเอกภพในเครือข่ายนั้นเป็นบ้า การวางการป้องกันที่แอคทีฟที่เลเยอร์ของโมเดลความปลอดภัยของคุณควรหมายความว่าเครือข่ายของคุณถูกกำจัดโดยแฮกเกอร์และคุณพยายามบันทึกเครือข่ายของคุณในความพยายามครั้งสุดท้าย (ใช่แล้วเครือข่ายของคุณไม่ได้เชื่อมต่อกับอะไรอีก คุณกำลังต่อสู้กับการติดเชื้อภายใน) นั่นเป็นสิ่งที่เลวร้ายมากในการเริ่มการป้องกันของคุณใน DC และเซิร์ฟเวอร์อื่น ๆ กรองและป้องกันภัยคุกคามก่อนที่ภัยคุกคามนั้นจะอยู่บนเซิร์ฟเวอร์ของคุณ งั้นเหรอ รายการ 3

3. ) นี่คือเหตุผลที่ CCIE / CCNP บางแห่งสร้างรายได้มหาศาล องค์กรใด ๆ ที่ควรค่ากับเกลือจะซื้อฮาร์ดแวร์บางประเภทจาก Cisco / Barracuda / Juniper หรือเพื่อรับโซลูชันฮาร์ดแวร์ในสถานที่ (เนื่องจากซอฟต์แวร์ AV ไม่ได้เข้าใกล้มัสตาร์ด) ซอฟต์แวร์ AV ส่วนใหญ่ (แม้แต่มักเป็นเวอร์ชัน Enterprise ของ Symantec, McAfee, Norton, etc ฯลฯ ฯลฯ ) ก็ไม่ได้เข้ามาใกล้เพื่อให้การป้องกันเช่นเดียวกับการติดตั้ง IronPort จาก Cisco หรือผลิตภัณฑ์ที่คล้ายคลึงกันอื่น ๆ จาก ผู้ขายรายใหญ่ใด ๆ สำหรับงบประมาณ $ 10k เพียงเล็กน้อยจากงบประมาณแผนกไอทีของคุณคุณสามารถได้รับการปกป้องที่น่านับถืออย่างมากที่ซอฟต์แวร์ AV นั้นไม่สามารถให้คุณได้

4. ) ฉันสับซอฟต์แวร์ AV ลงขนาดแล้วอนุญาตให้ฉันสร้างมันสำรอง ซอฟต์แวร์ AV สำหรับฉันนั้นเป็นสิ่งจำเป็นสำหรับ 'ผู้ใช้' เวิร์กสเตชัน / พีซีโดยไม่มีข้อยกเว้น พวกเขาป้องกันไม่ทราบหรือเป็นอันตรายจากการทำร้าย / ทำลายเครือข่ายของคุณจากแหล่งภายนอกเช่นพวกเขานำแฟลชไดรฟ์จากที่บ้านและพยายามที่จะคัดลอกงานบางอย่างที่พวกเขาทำที่บ้านในคืนก่อนหน้าบนเวิร์กสเตชันของพวกเขา พื้นที่นี้เป็นเหตุผลที่ดีที่สุดสำหรับการมีซอฟต์แวร์ AV ที่ดี นี่คือเหตุผลที่ซอฟท์แวร์ AV คิดค้น (ไวรัสเวียนนา) ไม่ว่าด้วยเหตุผลใดก็ตาม woops .... เกือบลืมเหตุผลที่แท้จริง ... เพื่อขโมยเงินของคุณตกลง ok ตกลง nm

5. ) อย่างไรก็ตาม ... DC ของคุณจะไม่ได้รับประโยชน์หรือขัดขวางจากการมีซอฟต์แวร์ AV อยู่ เซิร์ฟเวอร์ฐานข้อมูลของคุณเซิร์ฟเวอร์เว็บจะต้องทนทุกข์ทรมานไม่มีซอฟท์แวร์ AV บนพวกเขาเว้นแต่คุณจะถูกโจมตีที่รู้จักและยั่งยืน (คุณจะรู้ด้วยตัวเองเพราะ IronPorts ฯลฯ ... ที่กล่าวถึงในจุดที่ 3)

6. ) สุดท้าย แต่ไม่ท้ายสุดถ้าคุณไม่สามารถซื้อเซ็ตอัพจาก Cisco หรือ Juniper ได้ให้ลองใช้ Linux! หากคุณมีเครื่องสำรองหรือสองวางรอบตรวจสอบตัวเลือกของคุณกับบางส่วนของการแก้ปัญหาที่ OpenSource ใช้ได้สำหรับเครือข่ายของคุณ ... พวกเขามีพลัง ... และเป็นคำตอบที่ได้รับการแต่งตั้งดังกล่าวข้างต้นไฮไลต์ที่พวกเขาจะต้องกำหนดค่าได้อย่างถูกต้อง จำไว้ว่าผู้ชาย CCIE / CCNP ที่ฉันพูดถึง .. ? อ๋อ