ติดตั้งโปรแกรมป้องกันไวรัสบนเว็บเซิร์ฟเวอร์นี่เป็นความคิดที่ดีหรือไม่?

ฉันเพิ่งได้รับเซิร์ฟเวอร์เฉพาะที่มี Windows 2008 Standard Edition และฉันกำลังพยายามกำหนดค่าที่จำเป็นเพื่อเรียกใช้แอปพลิเคชันเว็บของฉัน

สงสัยหรือไม่เป็นความคิดที่ดีที่จะติดตั้งโปรแกรมป้องกันไวรัสบนเว็บเซิร์ฟเวอร์หรือไม่? ในแอพผู้ใช้ไม่สามารถอัปโหลดไฟล์ใด ๆ ยกเว้นภาพ (และพวกเขาตรวจสอบว่าเป็นภาพในรหัสแอพก่อนที่จะถูกบันทึกไว้บนเซิร์ฟเวอร์) ฉันได้รับการสนับสนุนให้ไม่ติดตั้งโปรแกรมป้องกันไวรัสเพื่อไม่ให้ส่งผลกระทบต่อประสิทธิภาพการทำงานหรือทำให้เกิดปัญหากับแอพฉันจะพลาดสิ่งใดโดยการทำเช่นนี้?

ขอบคุณ

เว็บเซิร์ฟเวอร์ที่ทำงานได้ดี IMHO ไม่ควรติดตั้งแพ็คเกจป้องกันไวรัสเชิงพาณิชย์ (AV) ชนิดของแมโครไวรัส Office และโทรจันตลาดขนาดใหญ่ที่แพ็คเกจ AV ได้รับการปรับให้เหมาะสมนั้นไม่ตรงกับปัญหาของเว็บเซิร์ฟเวอร์

สิ่งที่คุณควรทำคือ:

1. ครอบงำมากกว่าการตรวจสอบความถูกต้องของอินพุตอย่างแน่นอน ตัวอย่าง: ผู้ใช้ไม่สามารถอัปโหลดเนื้อหาที่เป็นอันตรายไปยังเว็บไซต์ของคุณ (ไวรัส, การฉีด SQL เป็นต้น); คุณไม่เสี่ยงที่จะถูกโจมตีจากการเขียนสคริปต์ข้ามไซต์ ฯลฯ
2. อัพเดทเซิร์ฟเวอร์ของคุณด้วยการอัพเดทความปลอดภัยล่าสุดและกำหนดค่าตามแนวทางปฏิบัติที่ดีที่สุด ดูสิ่งที่ต้องการชุดเครื่องมือรักษาความปลอดภัยที่ไมโครซอฟท์
3. มีไฟร์วอลล์แยกต่างหาก ไม่ได้ช่วยอะไรคุณได้มากนักเกี่ยวกับการบุกรุก แต่มันก็เพิ่มการป้องกันอีกชั้นหนึ่งต่อบริการเครือข่ายที่กำหนดค่าผิดพลาด นอกจากนี้ยังช่วยได้มากด้วยการล็อคความเป็นไปได้ในการจัดการจากระยะไกลเป็นต้น
4. ติดตั้งการบุกรุกระบบตรวจจับ (H-IDS) บนเซิร์ฟเวอร์ของคุณตามสายของเคารพTripwire

มีความสับสนมากมายเกี่ยวกับคำศัพท์คำเหล่านี้มักถูกนำมาใช้ในหลายวิธี เพื่อให้ชัดเจนสิ่งที่ฉันหมายถึงโดย H-IDS ที่นี่คือ:

• บริการบนคอมพิวเตอร์
• ซึ่งจะตรวจสอบผลรวมของไฟล์ที่เรียกใช้งานได้ทั้งหมดบนคอมพิวเตอร์อย่างต่อเนื่อง
• และส่งการแจ้งเตือนเมื่อใดก็ตามที่มีการเพิ่มหรือแก้ไขไฟล์ที่ปฏิบัติการได้ (โดยไม่ได้รับอนุญาต)

อันที่จริง H-IDS ที่ดีจะทำอะไรได้มากกว่านี้เช่นการอนุญาตการตรวจสอบไฟล์การเข้าถึงรีจิสตรีและอื่น ๆ

ระบบตรวจจับการบุกรุกของโฮสต์ใช้การกำหนดค่าบางอย่างเนื่องจากสามารถให้ข้อผิดพลาดจำนวนมากได้หากไม่ได้ตั้งค่าอย่างถูกต้อง แต่เมื่อมันเริ่มทำงานมันจะจับการโจมตีได้มากกว่าแพ็คเกจ AV โดยเฉพาะอย่างยิ่ง H-IDS ควรตรวจจับแฮกเกอร์ที่ไม่เหมือนใครซึ่งแพ็กเกจ AV เชิงพาณิชย์อาจไม่สามารถตรวจจับได้

H-IDS นั้นมีน้ำหนักเบากว่าในการโหลดเซิร์ฟเวอร์ แต่นั่นเป็นข้อดีรอง - ประโยชน์หลักคืออัตราการตรวจจับที่ดีขึ้น

ทีนี้ถ้าทรัพยากรมี จำกัด ถ้าเลือกเป็นระหว่างแพคเกจ AV ในเชิงพาณิชย์และการทำอะไรแล้วผมต้องการติดตั้งสัญญาณ AV แต่รู้ว่ามันไม่เหมาะ

มันขึ้นอยู่กับ. หากคุณไม่ได้รันโค้ดใด ๆ ที่ไม่รู้จักอาจเป็นเพราะไม่จำเป็น

หากคุณมีไฟล์ที่ติดไวรัสไวรัสตัวไฟล์เองนั้นไม่เป็นอันตรายในขณะที่อยู่ในฮาร์ดไดรฟ์ มันจะได้รับอันตรายเมื่อคุณดำเนินการ คุณควบคุมทุกสิ่งที่เรียกใช้บนเซิร์ฟเวอร์หรือไม่?

ความแตกต่างเล็กน้อยคือการอัปโหลดไฟล์ สิ่งเหล่านี้ไม่เป็นอันตรายต่อเซิร์ฟเวอร์ของคุณ - ถ้าฉันอัปโหลดอิมเมจที่ถูกจัดการหรือ. trojan-infested จะไม่มีอะไรเกิดขึ้นอีก อย่างไรก็ตามหากผู้อื่นดาวน์โหลดไฟล์ที่ติดไวรัสเหล่านั้น (หรือหากมีการใช้อิมเมจที่มีการจัดการในหน้านั้น) พีซีของพวกเขาอาจติดไวรัส

หากไซต์ของคุณอนุญาตให้ผู้ใช้อัปโหลดทุกอย่างที่แสดงหรือดาวน์โหลดได้สำหรับผู้ใช้รายอื่นคุณอาจต้องการติดตั้งเครื่องสแกนไวรัสบนเว็บเซิร์ฟเวอร์หรือมี "เซิร์ฟเวอร์สแกนไวรัส" ในเครือข่ายของคุณที่สแกนทุกไฟล์

ตัวเลือกที่สามคือการติดตั้ง Anti-Virus แต่ปิดการใช้งานการสแกน On-Access เพื่อทำการสแกนตามกำหนดเวลาในช่วงที่มีการใช้งานน้อย

และเพื่อเปลี่ยนคำตอบนี้ให้สมบูรณ์ประมาณ 180 °: โดยปกติแล้วจะปลอดภัยกว่าขออภัย หากคุณทำงานบนเว็บเซิร์ฟเวอร์คุณสามารถคลิกไฟล์ที่ไม่ดีและทำลายได้ง่ายโดยไม่ตั้งใจ แน่นอนว่าคุณสามารถเชื่อมต่อกับพันครั้งเพื่อทำอะไรผ่าน RDP ได้โดยไม่ต้องแตะไฟล์ใด ๆ แต่ครั้งที่ 1001 คุณจะรัน exe นั้นโดยไม่ตั้งใจและเสียใจเพราะคุณไม่รู้ด้วยซ้ำว่าไวรัสทำอะไร (ทุกวันนี้พวกเขาดาวน์โหลดใหม่ รหัสจากอินเทอร์เน็ตเช่นกัน) และจะต้องดำเนินการทางนิติเวชเข้มข้นในเครือข่ายทั้งหมดของคุณ

หากเป็น Windows ที่คุณบอกว่าใช่ ฉันจะลองค้นหารูปแบบการตรวจจับการบุกรุกของโฮสต์ (โปรแกรมที่ตรวจสอบ / ตรวจสอบไฟล์ที่เปลี่ยนแปลงบนเซิร์ฟเวอร์และแจ้งเตือนคุณถึงการเปลี่ยนแปลง)

เพียงเพราะคุณไม่ได้เปลี่ยนไฟล์บนเซิร์ฟเวอร์ไม่ได้หมายความว่าไม่มีบัฟเฟอร์ล้นหรือช่องโหว่ที่จะทำให้คนอื่นเปลี่ยนไฟล์บนเซิร์ฟเวอร์จากระยะไกล

เมื่อมีช่องโหว่ความจริงที่ว่ามีช่องโหว่อยู่ภายในช่วงเวลาระหว่างการค้นพบและการแก้ไขการแจกจ่ายจากนั้นจะมีช่วงเวลาจนกว่าคุณจะได้รับการแก้ไขและนำไปใช้ ในเวลานั้นมักจะมีรูปแบบการหาประโยชน์อัตโนมัติที่มีอยู่และสคริปต์ kiddies กำลังเรียกใช้เพื่อขยายเครือข่ายบอทของพวกเขา

โปรดทราบว่าสิ่งนี้มีผลต่อ AV ด้วยเช่น: สร้างมัลแวร์ใหม่กระจายมัลแวร์ตัวอย่างไปที่ บริษัท AV ของคุณ บริษัท AV วิเคราะห์ บริษัท AV ออกลายเซ็นใหม่คุณอัปเดตลายเซ็นคุณควรจะ "ปลอดภัย" รอบการทำซ้ำ ยังคงมีหน้าต่างที่มันแพร่กระจายโดยอัตโนมัติก่อนที่คุณจะ "บริสุทธิ์"

เป็นการดีที่คุณสามารถเรียกใช้สิ่งที่ตรวจสอบการเปลี่ยนแปลงไฟล์และแจ้งเตือนคุณเช่น TripWire หรือฟังก์ชันการทำงานที่คล้ายกันและเก็บบันทึกบนเครื่องอื่นที่แยกจากการใช้งานดังนั้นหากระบบถูกบุกรุกบันทึกจะไม่เปลี่ยนแปลง ปัญหาคือเมื่อตรวจพบไฟล์ว่าเป็นไฟล์ใหม่หรือถูกแก้ไขคุณติดไวรัสแล้วและเมื่อคุณติดไวรัสหรือผู้บุกรุกอยู่ในสายเกินไปที่จะเชื่อว่าเครื่องไม่มีการเปลี่ยนแปลงอื่น ๆ หากใครบางคนแตกระบบพวกเขาอาจมีการเปลี่ยนแปลงไบนารีอื่น ๆ

จากนั้นจะกลายเป็นคำถามที่คุณเชื่อถือได้ว่า checksums และโฮสต์การบุกรุกบันทึกและทักษะของคุณเองที่คุณล้างข้อมูลทุกอย่างรวมถึงรูทคิตและไฟล์ Alternate Data Stream ที่อาจมีอยู่ในนั้น? หรือคุณทำ "แนวปฏิบัติที่ดีที่สุด" แล้วล้างและกู้คืนจากการสำรองข้อมูลเนื่องจากอย่างน้อยไฟล์บันทึกการบุกรุกควรบอกคุณเมื่อมันเกิดขึ้น?

ระบบใด ๆ ที่เชื่อมต่อกับอินเทอร์เน็ตที่ใช้บริการอาจถูกโจมตีได้ หากคุณมีระบบที่เชื่อมต่อกับอินเทอร์เน็ต แต่ไม่ได้ทำงานกับบริการใด ๆ ฉันจะบอกว่าคุณน่าจะปลอดภัยที่สุด เว็บเซิร์ฟเวอร์ไม่อยู่ในหมวดหมู่นี้ :-)

ใช่เสมอ. ยกคำตอบของฉันจากsuperuser :

ถ้ามันเชื่อมต่อกับเครื่องใด ๆ ที่อาจเชื่อมต่อกับอินเทอร์เน็ตก็ใช่อย่างแน่นอน

มีตัวเลือกมากมาย ในขณะที่ฉันเองไม่ชอบ McAfee หรือ Norton พวกเขาก็อยู่ที่นั่น นอกจากนี้ยังมีAVG , F-Secure , ClamAV (แม้ว่าพอร์ต win32 จะไม่ทำงานอีกต่อไป) และฉันมั่นใจอีกหลายร้อย :)

Microsoft ยังทำงานกับมันอยู่ - ฉันไม่รู้ว่ามันยังมีให้บริการนอกเบต้า แต่มีอยู่จริง

ClamWinเอ่ยถึง @ J ปาโบล