Czy powinienem zainstalować produkt AV na moich kontrolerach domeny?

Czy powinienem uruchamiać program antywirusowy specyficzny dla serwera, zwykły program antywirusowy, czy w ogóle nie uruchamiać programu antywirusowego na moich serwerach, szczególnie na moich kontrolerach domeny?

Oto kilka podstaw, dlaczego zadaję to pytanie:

Nigdy nie kwestionowałem, że oprogramowanie antywirusowe powinno działać na wszystkich komputerach z systemem Windows, kropka. Ostatnio miałem pewne niejasne problemy związane z usługą Active Directory, które wyśledziłem w oprogramowaniu antywirusowym działającym na naszych kontrolerach domen.

Konkretnym problemem było to, że program Symantec Endpoint Protection działał na wszystkich kontrolerach domeny. Czasami nasz serwer Exchange wywoływał fałszywie dodatni wynik w „Ochronie przed zagrożeniami sieciowymi” firmy Symantec na każdym kontrolerze DC w sekwencji. Po wyczerpaniu dostępu do wszystkich kontrolerów domeny Exchange zaczął odrzucać żądania, prawdopodobnie dlatego, że nie mógł komunikować się z żadnymi serwerami wykazu globalnego ani przeprowadzać żadnego uwierzytelnienia.

Awarie trwałyby około dziesięciu minut na raz i występowały raz na kilka dni. Wyizolowanie problemu zajęło dużo czasu, ponieważ nie było to łatwe do odtworzenia i na ogół przeprowadzono dochodzenie po rozwiązaniu problemu.

Oprogramowanie antywirusowe zdecydowanie powinno działać na wszystkich komputerach w prawidłowo zarządzanej sieci, nawet jeśli istnieją inne środki zapobiegania zagrożeniom. Powinien również działać na serwerach z dwóch powodów: 1) są najbardziej krytycznymi komputerami w twoim środowisku, znacznie bardziej niż systemy klienckie, i 2) są nie mniej zagrożone tylko dlatego, że nikt nie używa aktywnie (a przynajmniej nie powinien nie aktywnie ich używają) do surfowania po Internecie: istnieje mnóstwo złośliwego oprogramowania, które może automatycznie rozprzestrzeniać się w twojej sieci, jeśli może zdobyć nawet jednego hosta.

To powiedziawszy, twój problem jest bardziej związany z prawidłową konfiguracją oprogramowania antywirusowego.

Produkt, którego używasz, ma wbudowaną zaporę ogniową: jest to coś, co należy wziąć pod uwagę, uruchamiając go w systemach serwerowych i odpowiednio skonfigurowane (lub w ogóle wyłączone).

Kilka lat temu oprogramowanie antywirusowe było (nie) znane z przypadkowego usuwania baz danych Exchange, jeśli przypadkiem natrafiło na podpis wirusowy w wiadomości e-mail przechowywanej w fizycznym pliku danych; każdy sprzedawca oprogramowania antywirusowego ostrzegał o tym w instrukcji produktu, ale niektórzy ludzie nadal nie mogli go zrozumieć i doprowadzili do sklepienia.

Nie ma oprogramowania, które można po prostu zainstalować i uruchomić bez zastanowienia się nad tym, co robisz.

Wszystkie nasze serwery (w tym plik / sql / exchange) działają z programem Symantec Antivirus ze skanowaniem w czasie rzeczywistym i skanowaniem zaplanowanym co tydzień. Oprogramowanie zwiększa obciążenie maszyn o ~ 2% dla średnich obciążeń (średnie zużycie procesora w ciągu 10% w ciągu dnia bez skanowania w czasie rzeczywistym, 11,5-12,5% w przypadku skanowania w czasie rzeczywistym na naszym serwerze plików).

Te rdzenie i tak nic nie robiły.

YMMV.

Zawsze miałem oprogramowanie AV z włączonym skanowaniem na bieżąco na wszystkich serwerach Windows i byłem mu za to wdzięczny więcej niż raz. Potrzebujesz oprogramowania, które jest zarówno skuteczne, jak i dobrze wychowane. Wiem, że jest kilku, którzy się nie zgodzą, ale muszę powiedzieć, że Symantec jest tak złym wyborem, jak tylko możesz.

Pakiety typu „wszystko w jednym” rzadko są tak skuteczne, jak dobrze dobrane poszczególne komponenty (jak w przypadku, nigdy jeszcze nie widziałem porządnego przykładu). Wybierz elementy potrzebne do ochrony, a następnie wybierz każdy składnik osobno, aby uzyskać najlepszą ochronę i wydajność.

Należy pamiętać, że prawdopodobnie nie ma produktu AV, który miałby przyzwoite ustawienia domyślne. Większość tych dni zajmuje skanowanie zarówno odczytu, jak i zapisu. Chociaż byłoby to miłe, często prowadzi do problemów z wydajnością. Wystarczająco źle w danym momencie, ale bardzo źle, gdy twój DC ma problemy, ponieważ plik, do którego musi uzyskać dostęp, został zablokowany, gdy skaner AV go sprawdza. Większość skanerów skanuje również bardzo dużą liczbę typów plików, których nie można nawet zainfekować, ponieważ nie mogą one zawierać aktywnego kodu. Sprawdź swoje ustawienia i dostosuj je według własnego uznania.

Zamierzam zaoferować kontrapunkt dla dominujących odpowiedzi na ten wątek.

Nie sądzę, że powinieneś uruchamiać oprogramowanie antywirusowe na większości swoich serwerów, z wyjątkiem serwerów plików. Wystarczy jedna zła aktualizacja definicji, a oprogramowanie antywirusowe może z łatwością przerwać ważną aplikację lub całkowicie zatrzymać uwierzytelnianie w domenie. I chociaż oprogramowanie AV poczyniło znaczny postęp w zakresie wydajności na przestrzeni lat, niektóre typy skanów mogą mieć negatywny wpływ na aplikacje we / wy lub wrażliwe na pamięć.

Sądzę, że istnieją dość dobrze udokumentowane wady uruchamiania oprogramowania antywirusowego na serwerach, więc jaka jest jego zaleta? Podobno chroniłeś swoje serwery przed wszelkimi nieprzyjemnościami, które filtrują się przez twoje zapory brzegowe lub są wprowadzane do twojej sieci. Ale czy naprawdę jesteś chroniony? Nie jest to do końca jasne i oto dlaczego.

Wygląda na to, że najbardziej udane złośliwe oprogramowanie ma wektory ataków, które dzielą się na trzy kategorie: a) poleganie na nieświadomym użytkowniku końcowym, aby przypadkowo go pobrać, b) poleganie na podatności, która istnieje w systemie operacyjnym, aplikacji lub usłudze, lub c) to zero dni wykorzystać. Żaden z nich nie powinien być realistycznym ani odpowiednim wektorem ataku dla serwerów w dobrze zarządzanej organizacji.

a) Nie będziesz surfować po Internecie na swoim serwerze. Gotowe i gotowe. Poważnie, po prostu nie rób tego.

b) Pamiętasz NIMDA? Kod czerwony? Większość ich strategii propagacyjnych opierała się na inżynierii społecznej (użytkownik końcowy klika tak) lub na znanych lukach, dla których łatki zostały już wydane. Możesz znacznie złagodzić ten atak, upewniając się, że jesteś na bieżąco z aktualizacjami zabezpieczeń.

c) Z lukami zero-dayowymi trudno sobie poradzić. Jeśli jest zero dni, z definicji twój producent antywirusowy nie będzie miał jeszcze definicji. Głęboko ćwicząc obronę, pomaga zasada najmniejszego przywileju i najmniejszej możliwej powierzchni ataku. Krótko mówiąc, niewiele jest możliwych rozwiązań AV dla tego rodzaju luk.

Musisz przeprowadzić analizę ryzyka samodzielnie, ale myślę, że w moim środowisku korzyści płynące z AV nie są na tyle znaczące, aby zrekompensować ryzyko.

Generalnie konfigurujemy AV zgodnie z harmonogramem i nie korzystamy ze skanowania w czasie rzeczywistym (tzn. Pliki nie są skanowane podczas tworzenia).

Wydaje się, że pozwala to uniknąć większości problemów związanych z posiadaniem AV na serwerze. Ponieważ nikt (najlepiej) nie uruchamia niczego na serwerze, potrzeba ochrony w czasie rzeczywistym jest zmniejszona, szczególnie biorąc pod uwagę, że klienci mają AV z Real Time.

Na naszych serwerach zarządzamy produktem serwerowym Vexira, ale może to być bardziej funkcja obniżonej ceny niż efektywności. Mieliśmy kilka stacji roboczych korzystających z produktu komputerowego, który odmówi aktualizacji, chyba że odinstalujemy i przeinstalujemy z najnowszą wersją.

Mam wrażenie, że wiele z tych problemów jest spowodowanych przez ludzi konfigurujących AV na serwerach tak, jakby były komputerami domowymi. Może to być spowodowane krótkowzrocznym zarządzaniem, napiętymi rachunkami, sztywnym przestrzeganiem zasad korporacyjnych, które nie uwzględniają odpowiednio różnych potrzeb różnych użytkowników / maszyn, lub byłego administratora, który nie był całkiem do zera, ale efekt końcowy to to samo: spustoszenie.

W idealnym świecie powiedziałbym: „używaj innego produktu AV dla swoich serwerów, tak jak na komputerach PC, upewnij się, zanim kupisz, że jest to właściwy produkt AV dla serwerów i chwyć cokolwiek ze słowem„ Symantec ”na uszach i wyrzuć to za drzwi ".

Z drugiej strony monety od 20 lat z dziesiątkami klientów nigdy nie widziałem kontrolera domeny, który nie zainfekowałby współdzielonych dysków. Nawet wtedy tylko infekcje pozostały na dysku, a nie rzeczywiste infekcje systemu operacyjnego. Szkodliwe oprogramowanie, które widzimy najbardziej, które nawet współdziała z efektami, to cryptolocker, który tak naprawdę nie infekuje serwerów. Po prostu szyfruje udostępnione pliki. Jeśli stacja robocza jest odpowiednio zabezpieczona, serwer nie zostanie zaszyfrowany.

Widzę oprogramowanie AV powodujące problemy. Spędziłem godziny próbując dowiedzieć się, co zmieniło się tylko po to, aby znaleźć aktualizację AV, która spowodowała problem. Nawet po prawidłowej konfiguracji widziałem problemy. Wiem, że ludzie powiedzą mi najlepsze praktyki i wszyscy mają uruchomić AV. Wiem, że ktoś zwróci uwagę, że któregoś dnia mnie to ugryzie za to, że nie mam AV na każdym serwerze. Jeszcze mniej więcej rok temu nie widzieliśmy cryptolockera, a teraz dość często warianty (wszystkie, których nie da się zatrzymać przy pomocy kilku różnych marek AV poprawnie zainstalowanych na stacji roboczej.) Może kiedyś będzie inny robak typ wirusa, który infekuje serwery, ale do tego czasu cieszę się, że nie muszę radzić sobie z problemami z AV na moich serwerach SQL, druku i DC.

Zdaję sobie sprawę, że ten wątek jest dość stary, ale czułem, że temat nie został całkowicie omówiony, ponieważ jedyna wzmianka dotyczyła antywirusa, czyli ochrony oprogramowania „AV” na serwerze DC.

1.) Moim zdaniem oprogramowanie AV przeszło długą drogę pod względem skuteczności, ale istnieją pułapki. AV jest nie tylko potencjalnie wadliwe, AV mają tendencję do konsumowania pamięci i jej nie uwalniania, co nie jest dobre, w środowisku produkcyjnym, czy naprawdę możesz sobie na to pozwolić? Auć.

2.) Pomyśl o tym ... Jeśli twoja pierwsza linia obrony rozpoczyna się na twoim DC i na innych serwerach, jesteś już w połowie drogi do porażki. Dlaczego ktokolwiek miałby chcieć rozpocząć swój system obrony na swoich serwerach ???? Rozpoczęcie wysiłku postawienia aktywnej odporności na zagrożenia w centrum wszechświata sieciowego jest szalone. Wprowadzenie aktywnej obrony na tej warstwie modelu bezpieczeństwa powinno oznaczać, że sieć została zniszczona przez hakerów i próbujesz zapisać swoją sieć podczas ostatniej próby wykopania (tak, twoja sieć nie jest już podłączona do niczego na zewnątrz i aktywnie walczysz z infekcją wewnętrznie), tak źle powinno być, aby rozpocząć swoją obronę na DC i innych serwerach. Odfiltruj i aktywnie broń się przed zagrożeniami na długo zanim zagrożenie pojawi się na twoich serwerach. Jak to? Pozycja 3.

3.) Właśnie dlatego niektóre CCIE / CCNP zarabiają duże pieniądze. Każda organizacja warta swojej soli kupi jakiś sprzęt od Cisco / Barracuda / Juniper lub w inny sposób, aby uzyskać rozwiązanie sprzętowe (ponieważ oprogramowanie AV nie zbliża się do cięcia musztardy). Większość oprogramowania antywirusowego (nawet często reklamowanego jako wersje Symantec, McAfee, Norton itp., Itd. Itd.) Po prostu nie zapewnia takiej samej ochrony, jak konfiguracja IronPorts firmy Cisco lub inne podobne produkty firmy każdy większy sprzedawca. Za marne 10 000 $ z budżetu działu IT możesz mieć bardzo poważną ochronę, której oprogramowanie AV po prostu nie zapewni.

4.) Posiekałem AV oprogramowania na wymiar, więc pozwól mi je skompilować. Oprogramowanie AV jest dla mnie koniecznością na każdej stacji roboczej / komputerze użytkownika, bez wyjątków. Zapobiegają nieświadomemu lub złośliwemu zranieniu / zniszczeniu sieci z zewnętrznych źródeł, na przykład przynieśli dysk flash z domu i próbowali skopiować część pracy wykonanej w domu poprzedniej nocy na swoją stację roboczą. Ten obszar jest największym powodem posiadania dobrego oprogramowania AV. Właśnie dlatego wymyślono oprogramowanie AV (wirus wiedeński), bez żadnego innego powodu, no cóż ... prawie zapomniałem prawdziwego powodu ... aby napadać na twoje pieniądze, ok, nm.

5.) W każdym razie ... Twój DC naprawdę nie będzie czerpał korzyści ani nie będzie mu przeszkadzało posiadanie oprogramowania AV. Twoje serwery DB, serwery WWW będą cierpieć, brak oprogramowania AV na nich, chyba że naprawdę jesteś pod znanym i ciągłym atakiem (będziesz o tym wiedział z pierwszej ręki dzięki IronPorts itp., ... wymienionych w punkcie 3).

6.) Jeśli nie możesz sobie pozwolić na niezłą konfigurację od Cisco lub Juniper, wybierz Linux! Jeśli masz zapasową maszynę lub dwie, sprawdź swoje opcje z niektórymi rozwiązaniami OpenSource dostępnymi dla Twojej sieci ... Są potężne ... i jak zaznaczono wybraną odpowiedź powyżej, muszą być poprawnie skonfigurowane . Pamiętasz tego faceta CCIE / CCNP, o którym mówiłem ...? Tak.