Haruskah saya menginstal produk AV pada pengontrol domain saya?

Haruskah saya menjalankan antivirus khusus server, antivirus biasa, atau tidak ada antivirus sama sekali di server saya, khususnya Domain Controllers saya?

Inilah beberapa latar belakang mengapa saya mengajukan pertanyaan ini:

Saya tidak pernah mempertanyakan bahwa perangkat lunak antivirus harus berjalan di semua mesin windows, titik. Akhir-akhir ini saya memiliki beberapa masalah terkait Direktori Aktif yang tidak jelas yang telah saya telusuri hingga perangkat lunak antivirus yang berjalan pada pengontrol domain kami.

Masalah khusus adalah bahwa Symantec Endpoint Protection berjalan di semua pengontrol domain. Kadang-kadang, server Exchange kami memicu false-positive di Symantec's "Network Threat Protection" pada setiap DC secara berurutan. Setelah melelahkan akses ke semua DC, Exchange mulai menolak permintaan, mungkin karena tidak bisa berkomunikasi dengan server Katalog Global atau melakukan otentikasi apa pun.

Pemadaman akan berlangsung sekitar sepuluh menit setiap kali, dan akan terjadi setiap beberapa hari sekali. Butuh waktu lama untuk mengisolasi masalah karena tidak mudah direproduksi dan penyelidikan umumnya dilakukan setelah masalah terselesaikan dengan sendirinya.

Perangkat lunak anti-virus pasti harus dijalankan pada semua mesin di jaringan yang dikelola dengan benar, bahkan jika langkah-langkah pencegahan ancaman lainnya sudah ada. Itu harus berjalan di server juga, karena dua alasan: 1) mereka adalah komputer paling kritis di lingkungan Anda, lebih dari sistem klien, dan 2) mereka tidak kurang berisiko hanya karena tidak ada yang aktif menggunakan (atau setidaknya harus mereka tidak secara aktif menggunakan mereka untuk menjelajahi web: ada banyak malware yang dapat secara otomatis menyebar ke seluruh jaringan Anda jika itu dapat menjangkau bahkan satu host saja.

Yang mengatakan, masalah Anda lebih terkait dengan mengkonfigurasi perangkat lunak anti-virus Anda dengan benar .

Produk yang Anda gunakan dilengkapi dengan firewall bawaan: itu adalah sesuatu yang harus dipertimbangkan ketika menjalankannya pada sistem server, dan dikonfigurasi sesuai (atau dimatikan sama sekali).

Beberapa tahun yang lalu, perangkat lunak anti-virus terkenal karena menghapus secara acak basis data Exchange jika secara kebetulan menemukan tanda tangan virus di dalam beberapa pesan email yang disimpan dalam file data fisik; setiap vendor anti-virus memperingatkan tentang hal ini dalam manual produk, tetapi beberapa orang masih gagal untuk memahami dan membuat toko mereka nuked.

Tidak ada perangkat lunak yang dapat Anda "instal dan jalankan" tanpa berpikir dua kali tentang apa yang Anda lakukan.

Semua server kami (termasuk file / sql / exchange) menjalankan Symantec Antivirus dengan pemindaian waktu nyata dan pemindaian terjadwal mingguan. Perangkat lunak ini meningkatkan beban pada mesin ~ 2% untuk beban kerja rata-rata (rata-rata penggunaan CPU 10% selama hari tanpa pemindaian waktu nyata, 11,5-12,5% dengan pemindaian waktu nyata dengan pada server file kami).

Inti-inti itu tidak melakukan apa-apa.

YMMV.

Saya selalu memiliki perangkat lunak AV dengan pemindaian akses diaktifkan di semua server Windows dan telah berterima kasih untuk itu lebih dari sekali. Anda memerlukan perangkat lunak yang efektif dan berperilaku baik. Walaupun saya tahu ada beberapa yang akan tidak setuju saya harus memberi tahu Anda bahwa Symantec adalah pilihan yang seburuk yang Anda buat.

Paket tipe "all in one" jarang sama efektifnya dengan komponen individual yang dipilih dengan baik (seperti pada, saya belum pernah melihat contoh yang layak). Pilih yang Anda butuhkan untuk perlindungan dan kemudian pilih masing-masing komponen secara terpisah untuk perlindungan dan kinerja terbaik.

Satu hal yang perlu diperhatikan adalah bahwa mungkin tidak ada produk AV yang memiliki pengaturan default yang layak. Sebagian besar hari-hari ini digunakan untuk memindai membaca dan menulis. Meskipun itu akan menyenangkan sering menyebabkan masalah kinerja. Cukup buruk pada waktu yang sama tetapi sangat buruk ketika DC Anda memiliki masalah karena file yang perlu diakses telah dikunci saat pemindai AV memeriksanya. Kebanyakan pemindai juga memindai sejumlah besar tipe file yang bahkan tidak dapat terinfeksi karena tidak dapat berisi kode aktif. Periksa pengaturan Anda dan sesuaikan dengan kebijaksanaan.

Saya akan menawarkan poin balasan ke jawaban yang ada untuk utas ini.

Saya tidak berpikir Anda harus menjalankan perangkat lunak anti-virus di sebagian besar server Anda, dengan pengecualian file server. Yang diperlukan hanyalah satu pembaruan definisi buruk dan perangkat lunak anti-virus Anda dapat dengan mudah menghancurkan aplikasi penting atau menghentikan otentikasi sepenuhnya di domain Anda. Dan, sementara perangkat lunak AV telah membuat kemajuan besar dalam dampak kinerjanya selama bertahun-tahun, jenis pemindaian tertentu dapat memiliki efek negatif pada aplikasi I / O atau memori yang sensitif.

Saya pikir ada kelemahan yang cukup baik untuk menjalankan perangkat lunak anti-virus di server, jadi apa untungnya? Seolah-olah, Anda telah melindungi server Anda dari apa pun yang jahat yang menyaring melalui firewall tepi Anda atau diperkenalkan ke jaringan Anda. Tapi benarkah Anda terlindungi? Tidak sepenuhnya jelas dan inilah sebabnya.

Sepertinya sebagian besar malware yang berhasil memiliki vektor serangan yang masuk ke dalam tiga kategori: a) mengandalkan pengguna akhir yang bodoh untuk mengunduhnya secara tidak sengaja, b) mengandalkan kerentanan yang ada dalam sistem operasi, aplikasi atau layanan atau c) ini adalah nol hari mengeksploitasi. Tidak satu pun dari ini harus vektor serangan realistis atau relevan untuk server di organisasi yang dikelola dengan baik.

a) Jangan Berselancar di Internet di Server-Mu. Dilakukan dan dilakukan. Serius, jangan lakukan itu.

b) Ingat NIMDA? Kode merah? Sebagian besar strategi propagasi mereka bergantung pada rekayasa sosial (pengguna akhir mengklik ya) atau pada kerentanan yang diketahui bahwa patch telah dirilis untuk. Anda dapat mengurangi vektor serangan ini secara signifikan dengan memastikan Anda tetap mengikuti pembaruan keamanan.

c) Eksploitasi nol hari sulit untuk dihadapi. Jika ini nol hari, menurut definisi vendor anti-virus Anda belum akan memiliki definisi untuk itu. Menjalankan pertahanan secara mendalam, prinsip privilege paling kecil dan memiliki permukaan serangan sekecil mungkin sangat membantu. Singkatnya, tidak banyak yang dapat dilakukan AV untuk jenis kerentanan ini.

Anda harus melakukan analisis risiko sendiri, tetapi di lingkungan saya, saya pikir manfaat AV tidak cukup signifikan untuk menebus risiko.

Kami biasanya mengatur AV sesuai jadwal dan tidak menggunakan pemindaian Real-Time (yaitu, file tidak dipindai saat dibuat).

Itu tampaknya menghindari sebagian besar masalah yang muncul dengan memiliki AV di server. Karena tidak ada seorang pun (idealnya) yang benar-benar menjalankan apa pun di server, kebutuhan untuk perlindungan waktu nyata berkurang, terutama mengingat klien memiliki AV dengan Real Time.

Kami menjalankan produk server Vexira di server kami, tetapi mungkin lebih merupakan fungsi dari harga diskon daripada efektivitas. Kami memiliki beberapa workstation menggunakan produk desktop mereka yang akan menolak untuk memperbarui kecuali kami menghapus dan menginstal ulang dengan versi terbaru.

Saya merasa bahwa banyak masalah ini disebabkan oleh orang yang mengkonfigurasi AV pada server seolah-olah mereka adalah PC rumahan. Ini mungkin karena manajemen berpandangan pendek, penghilang uang tunai ketat, kepatuhan ketat terhadap kebijakan perusahaan yang tidak memperhitungkan dengan tepat kebutuhan yang berbeda untuk pengguna / mesin yang berbeda, atau mantan admin yang tidak cukup bersemangat, tetapi hasil akhirnya adalah sama: malapetaka.

Dalam dunia yang ideal saya akan mengatakan "menggunakan produk AV yang berbeda untuk server Anda seperti pada PC Anda, pastikan sebelum Anda membelinya bahwa itu adalah produk server AV yang tepat , dan ambil apa pun dengan kata 'Symantec' di atasnya oleh telinga dan buang keluar pintu ".

Di sisi lain dari koin dalam 20 tahun dengan puluhan klien saya belum pernah melihat pengontrol domain yang tidak berbagi drive yang terinfeksi. Bahkan hanya infeksi yang tersisa pada drive dan bukan infeksi OS sebenarnya. Malware yang paling banyak kita lihat yang bahkan memberi efek saham adalah cryptolocker dan yang sebenarnya tidak menginfeksi server. Itu hanya mengenkripsi file yang dibagikan. Jika workstation diamankan dengan benar maka server tidak akan dienkripsi.

Apa yang saya lihat adalah perangkat lunak AV yang menyebabkan masalah. Saya telah menghabiskan waktu berjam-jam untuk mencari tahu apa yang berubah hanya untuk menemukan pembaruan AV yang menyebabkan masalah. Bahkan ketika dikonfigurasi dengan benar, saya telah melihat masalah. Saya tahu orang akan memberi tahu saya praktik terbaik dan semuanya harus menjalankan AV. Saya tahu seseorang akan menunjukkan bahwa suatu hari nanti ini akan menggigit saya karena tidak memiliki AV di setiap server. Sampai sekitar setahun yang lalu atau lebih, kami tidak pernah melihat cryptolocker dan sekarang kami varian cukup sering (semua yang gagal dihentikan oleh beberapa merek AV yang dipasang dengan benar di workstation.) Mungkin suatu hari nanti akan ada worm lain ketik virus yang menginfeksi server tetapi sampai saat itu saya senang tidak harus berurusan dengan masalah AV pada SQL, print, dan server DC saya.

Saya menyadari bahwa utas ini sudah cukup lama, tetapi saya merasa bahwa topik tersebut tidak dibahas sepenuhnya, karena satu-satunya yang disebutkan adalah mengenai Anti-Virus alias, perlindungan perangkat lunak 'AV' pada server DC.

1.) Menurut pendapat saya, perangkat lunak AV telah banyak efektif, namun ada jebakan. Tidak hanya AV berpotensi buggy, AV memiliki kecenderungan untuk mengkonsumsi memori dan tidak melepaskannya, tidak baik, dalam lingkungan produksi, dapatkah Anda benar-benar membelinya? Aduh.

2.) Pikirkan tentang itu ... Jika garis pertahanan pertama Anda dimulai pada DC Anda dan pada server lain, Anda sudah lebih dari setengah dikalahkan. Mengapa ada yang ingin memulai skema pertahanan mereka di bagian dalam server mereka ???? Memulai upaya memasang perlawanan aktif terhadap ancaman di inti jaringan semesta adalah gila. Memasang pertahanan aktif pada lapisan model keamanan Anda ini harus berarti bahwa jaringan Anda telah dilenyapkan oleh peretas dan Anda mencoba untuk menyelamatkan jaringan Anda dalam upaya terakhir (ya, jaringan Anda tidak lagi terhubung dengan apa pun di luar dan Anda secara aktif memerangi infeksi secara internal), begitulah seharusnya hal ini untuk memulai pertahanan Anda di DC dan server lain. Saring dan aktifkan pertahanan terhadap ancaman jauh sebelum ancaman ada di server Anda. Bagaimana? Butir 3.

3.) Inilah sebabnya mengapa beberapa CCIE / CCNP menghasilkan banyak uang. Setiap organisasi yang menghargai garam mereka akan membeli beberapa jenis perangkat keras dari Cisco / Barracuda / Juniper, atau untuk mendapatkan solusi perangkat keras di tempat (karena perangkat lunak AV tidak mendekati memotong mustard). Sebagian besar perangkat lunak AV (bahkan yang sering disebut-sebut sebagai versi Enterprise dari Symantec, McAfee, Norton, dll, dll ...) tidak memberikan perlindungan yang sama seperti pengaturan IronPorts dari Cisco, atau produk serupa lainnya dari semua vendor besar. Untuk $ 10 ribu dari anggaran Departemen TI Anda, Anda dapat memiliki perlindungan yang sangat terhormat yang tidak akan diberikan oleh perangkat lunak AV kepada Anda.

4.) Saya telah memotong perangkat lunak AV hingga ukurannya, jadi izinkan saya untuk membuatnya kembali. Perangkat lunak AV, bagi saya, adalah suatu keharusan pada setiap Workstation / PC 'Pengguna', tanpa kecuali. Mereka mencegah ketidaktahuan atau jahat melukai / menghancurkan jaringan Anda dari sumber luar, misalnya mereka membawa flash drive mereka dari rumah dan mencoba menyalin beberapa pekerjaan yang mereka lakukan di rumah malam sebelumnya ke Workstation mereka. Area ini adalah satu-satunya alasan terbesar untuk memiliki AV perangkat lunak yang baik. Inilah sebabnya mengapa perangkat lunak AV ditemukan (virus Wina), tanpa alasan lain, woops .... hampir lupa alasan sebenarnya ... untuk mencuri uang Anda ok ok, nm.

5.) Bagaimanapun ... DC Anda tidak benar-benar akan mendapat manfaat atau terhalang memiliki perangkat lunak AV di atasnya. Server DB, Server Web Anda akan menderita, tidak ada perangkat lunak AV pada mereka kecuali Anda benar-benar berada di bawah serangan yang dikenal dan berkelanjutan (Anda akan tahu ini secara langsung karena IronPorts, dll, ... disebutkan dalam poin 3).

6.) Last but not least, jika Anda tidak mampu membeli setup bagus dari Cisco atau Juniper, buka Linux! Jika Anda memiliki satu atau dua mesin cadangan, periksa opsi Anda dengan beberapa solusi OpenSource yang tersedia untuk jaringan Anda ... Mereka sangat kuat ... dan sebagai jawaban yang dipilih disorot, mereka harus dikonfigurasi dengan benar . Ingat bahwa cowok CCIE / CCNP yang saya bicarakan ..? Ya.