Tôi có nên cài đặt một sản phẩm AV trên bộ điều khiển miền của mình không?

Tôi có nên chạy chương trình chống vi-rút dành riêng cho máy chủ, chống vi-rút thông thường hoặc không có phần mềm chống vi-rút nào trên các máy chủ của mình, đặc biệt là Bộ kiểm soát miền?

Đây là một số nền tảng về lý do tại sao tôi hỏi câu hỏi này:

Tôi chưa bao giờ đặt câu hỏi rằng phần mềm chống vi-rút nên chạy trên tất cả các máy Windows, định kỳ. Gần đây tôi đã có một số vấn đề liên quan đến Active Directory tối nghĩa mà tôi đã theo dõi phần mềm chống vi-rút chạy trên bộ điều khiển miền của chúng tôi.

Vấn đề cụ thể là Symantec Endpoint Protection đã chạy trên tất cả các bộ điều khiển miền. Đôi khi, máy chủ Exchange của chúng tôi đã kích hoạt dương tính giả trong "Bảo vệ mối đe dọa mạng" của Symantec trên mỗi DC theo trình tự. Sau khi cạn kiệt quyền truy cập vào tất cả các DC, Exchange bắt đầu từ chối các yêu cầu, có lẽ vì nó không thể giao tiếp với bất kỳ máy chủ Danh mục chung nào hoặc thực hiện bất kỳ xác thực nào.

Mất điện sẽ kéo dài khoảng mười phút một lần và cứ sau vài ngày sẽ xảy ra một lần. Phải mất một thời gian dài để cô lập vấn đề vì nó không dễ tái tạo và nói chung điều tra đã được thực hiện sau khi vấn đề tự giải quyết.

Phần mềm chống vi-rút chắc chắn phải được chạy trên tất cả các máy trong mạng được quản lý đúng cách, ngay cả khi có các biện pháp phòng ngừa mối đe dọa khác. Nó cũng nên chạy trên các máy chủ, vì hai lý do: 1) chúng là những máy tính quan trọng nhất trong môi trường của bạn, nhiều hơn cả hệ thống máy khách và 2) chúng không ít rủi ro chỉ vì không ai chủ động sử dụng (hoặc ít nhất là nên không tích cực sử dụng) chúng để lướt web: có rất nhiều phần mềm độc hại có thể tự động phát tán trên mạng của bạn nếu nó có thể bị giữ ngay cả một máy chủ.

Điều đó nói rằng, vấn đề của bạn liên quan nhiều hơn đến việc cấu hình đúng phần mềm chống vi-rút của bạn.

Sản phẩm bạn đang sử dụng đi kèm với tường lửa tích hợp: đó là thứ cần được tính đến khi chạy trên hệ thống máy chủ và được định cấu hình phù hợp (hoặc tắt hoàn toàn).

Vài năm trước, phần mềm chống vi-rút nổi tiếng vì đã xóa ngẫu nhiên cơ sở dữ liệu Exchange nếu tình cờ nó xuất hiện chữ ký vi-rút bên trong một số thông điệp email được lưu trữ trong tệp dữ liệu vật lý; mọi nhà cung cấp chống vi-rút đều cảnh báo về điều này trong hướng dẫn sử dụng sản phẩm, nhưng một số người vẫn không nắm bắt được và khiến cửa hàng của họ bị cấm.

Không có phần mềm nào bạn có thể "chỉ cần cài đặt và chạy" mà không cần suy nghĩ kỹ về những gì bạn đang làm.

Tất cả các máy chủ của chúng tôi (bao gồm tệp / sql / exchange) chạy Symantec Antivirus với chức năng quét thời gian thực và quét theo lịch trình hàng tuần. Phần mềm tăng tải cho máy lên ~ 2% cho khối lượng công việc trung bình (mức sử dụng cpu trung bình 10% trong ngày với chức năng quét thời gian thực, 11,5-12,5% khi quét thời gian thực với máy chủ tệp của chúng tôi).

Những lõi đó không làm gì cả.

YMMV.

Tôi luôn có phần mềm AV với chức năng quét truy cập được bật trên tất cả các máy chủ Windows và đã biết ơn nó nhiều lần. Bạn cần phần mềm vừa hiệu quả vừa hoạt động tốt. Mặc dù tôi biết có một vài người sẽ không đồng ý nhưng tôi phải nói với bạn rằng Symantec là một lựa chọn tồi tệ như bạn có thể làm.

Các gói loại "Tất cả trong một" hiếm khi hiệu quả như các thành phần riêng lẻ được chọn tốt (như trong, tôi chưa bao giờ thấy một ví dụ điển hình nào). Chọn những gì bạn cần để bảo vệ và sau đó chọn riêng từng thành phần để bảo vệ và hiệu suất tốt nhất.

Một điều cần lưu ý là có lẽ không có sản phẩm AV nào có cài đặt mặc định hợp lý. Hầu hết những ngày này đi để quét cả đọc và viết. Trong khi đó sẽ là tốt đẹp nó thường dẫn đến các vấn đề hiệu suất. Đủ tệ vào thời điểm đó nhưng rất tệ khi DC của bạn gặp sự cố vì một tệp mà nó cần truy cập đã bị khóa trong khi máy quét AV đang kiểm tra. Hầu hết các máy quét cũng quét một số lượng lớn các loại tệp thậm chí không thể bị nhiễm vì chúng không thể chứa mã hoạt động. Kiểm tra cài đặt của bạn và điều chỉnh một cách thận trọng.

Tôi sẽ cung cấp một điểm đối với các câu trả lời phổ biến cho chủ đề này.

Tôi không nghĩ bạn nên chạy phần mềm chống vi-rút trên hầu hết các máy chủ của mình, với các máy chủ tệp là ngoại lệ. Tất cả chỉ cần một cập nhật định nghĩa xấu và phần mềm chống vi-rút của bạn có thể dễ dàng phá vỡ một ứng dụng quan trọng hoặc ngừng xác thực hoàn toàn trong miền của bạn. Và, trong khi phần mềm AV đã đạt được tiến bộ đáng kể trong tác động hiệu suất của nó trong nhiều năm qua, một số loại quét nhất định có thể có tác động tiêu cực đến I / O hoặc các ứng dụng nhạy cảm với bộ nhớ.

Tôi nghĩ rằng có những nhược điểm được ghi nhận khá tốt khi chạy phần mềm chống vi-rút trên máy chủ, vậy thì mặt trái của nó là gì? Rõ ràng, bạn đã bảo vệ máy chủ của mình khỏi bất kỳ điều gì khó chịu mà lọc qua tường lửa cạnh của bạn hoặc được đưa vào mạng của bạn. Nhưng bạn có thực sự được bảo vệ? Nó không hoàn toàn rõ ràng và đây là lý do tại sao.

Có vẻ như hầu hết các phần mềm độc hại thành công đều có các vectơ tấn công thuộc ba loại: a) dựa vào người dùng cuối không biết gì để vô tình tải xuống, b) dựa vào lỗ hổng tồn tại trong hệ điều hành, ứng dụng hoặc dịch vụ hoặc c) đó là một ngày không khai thác. Không ai trong số này phải là các vectơ tấn công thực tế hoặc có liên quan cho các máy chủ trong một tổ chức chạy tốt.

a) Bạn sẽ không lướt Internet trên máy chủ của bạn. Ngay và luôn. Nghiêm túc mà nói, đừng làm điều đó.

b) Ghi nhớ NIMDA? Mã đỏ? Hầu hết các chiến lược tuyên truyền của họ dựa vào kỹ thuật xã hội (người dùng cuối nhấp vào có) hoặc vào các lỗ hổng đã biết mà các bản vá đã được phát hành. Bạn có thể giảm thiểu đáng kể vectơ tấn công này bằng cách đảm bảo bạn luôn cập nhật các bản cập nhật bảo mật.

c) Khai thác không ngày là khó đối phó. Nếu đó là ngày không, theo định nghĩa, nhà cung cấp chống vi-rút của bạn sẽ không có định nghĩa cho nó. Luyện tập phòng thủ theo chiều sâu, nguyên tắc ít đặc quyền nhất và có bề mặt tấn công nhỏ nhất có thể thực sự có ích. Nói tóm lại, không có nhiều AV có thể làm cho các loại lỗ hổng này.

Bạn phải tự mình phân tích rủi ro, nhưng trong môi trường của tôi, tôi nghĩ lợi ích của AV không đủ quan trọng để bù đắp rủi ro.

Chúng tôi thường thiết lập AV theo lịch và không sử dụng chức năng quét Thời gian thực (nghĩa là các tệp không được quét khi chúng được tạo).

Điều đó dường như để tránh hầu hết các vấn đề phát sinh khi có AV trên máy chủ. Vì không ai (lý tưởng) thực sự đang chạy bất cứ thứ gì trên máy chủ, nên nhu cầu bảo vệ thời gian thực bị giảm đi, đặc biệt là xem xét các máy khách có AV với Thời gian thực.

Chúng tôi chạy sản phẩm máy chủ của Vexira trên các máy chủ của mình, nhưng nó có thể là một chức năng giảm giá hơn là hiệu quả. Chúng tôi đã có một số máy trạm sử dụng sản phẩm máy tính để bàn của họ sẽ từ chối cập nhật trừ khi chúng tôi gỡ cài đặt và cài đặt lại với phiên bản mới nhất.

Tôi có cảm giác rằng rất nhiều vấn đề này là do mọi người định cấu hình AV trên máy chủ như thể chúng là máy tính cá nhân. Điều này có thể là do quản lý thiển cận, nhân viên chặt chẽ, tuân thủ nghiêm ngặt các chính sách của công ty không tính đến các nhu cầu khác nhau cho các người dùng / máy khác nhau hoặc một quản trị viên cũ không hoàn toàn khó hiểu, nhưng kết quả cuối cùng là giống nhau: tàn phá.

Trong một thế giới lý tưởng, tôi sẽ nói "sử dụng một sản phẩm AV khác cho các máy chủ của bạn như trên PC của bạn, đảm bảo trước khi bạn mua nó là một sản phẩm AV của máy chủ phù hợp và lấy bất cứ thứ gì có chữ 'Symantec' trên tai và ném nó ra khỏi cửa ".

Ở phía bên kia của đồng tiền trong 20 năm với hàng tá khách hàng, tôi chưa bao giờ thấy một bộ điều khiển miền nào không có ổ đĩa bị chia sẻ. Ngay cả sau đó chỉ có nhiễm trùng là các tệp còn lại trên ổ đĩa và không phải là nhiễm trùng hệ điều hành thực tế. Phần mềm độc hại mà chúng ta thấy hầu hết các chia sẻ hiệu ứng thậm chí là cryptolocker và điều đó không thực sự lây nhiễm các máy chủ. Nó chỉ đơn giản là mã hóa các tập tin được chia sẻ. Nếu máy trạm được bảo mật đúng cách thì máy chủ sẽ không được mã hóa.

Những gì tôi thấy là phần mềm AV gây ra vấn đề. Tôi đã dành hàng giờ cố gắng để tìm ra những gì thay đổi chỉ để tìm một bản cập nhật AV gây ra vấn đề. Ngay cả khi cấu hình đúng tôi đã thấy vấn đề. Tôi biết mọi người sẽ cho tôi biết các thực tiễn tốt nhất và tất cả là để chạy AV. Tôi biết ai đó sẽ chỉ ra rằng một ngày nào đó điều này sẽ cắn tôi vì không có AV trên mọi máy chủ. Cho đến gần một năm trước, chúng tôi chưa bao giờ thấy một loại tiền điện tử nào và bây giờ chúng tôi biến thể khá thường xuyên (tất cả đều bị chặn bởi một số thương hiệu AV khác nhau được cài đặt đúng cách trên máy trạm.) Có thể một ngày nào đó sẽ có một con sâu khác. loại vi-rút lây nhiễm các máy chủ nhưng cho đến thời điểm đó tôi rất vui khi không phải xử lý các sự cố AV trên các máy chủ SQL, in và DC của mình.

Tôi nhận ra rằng chủ đề này khá cũ, nhưng tôi cảm thấy chủ đề này không được thảo luận hoàn toàn, vì đề cập duy nhất liên quan đến Anti-Virus hay còn gọi là bảo vệ phần mềm 'AV' trên máy chủ DC.

1.) Theo tôi, phần mềm AV đã đi một chặng đường dài về hiệu quả, nhưng vẫn có những cạm bẫy. AV không chỉ có khả năng bị lỗi, AV còn có xu hướng tiêu thụ bộ nhớ và không giải phóng nó, không tốt, trong môi trường sản xuất, bạn có thực sự có khả năng đó không? Ôi.

2.) Hãy suy nghĩ về nó ... Nếu tuyến phòng thủ đầu tiên của bạn bắt đầu trên DC của bạn và trên các máy chủ khác, bạn đã bị đánh bại hơn một nửa. Tại sao mọi người nên bắt đầu kế hoạch phòng thủ của họ ở bên trong máy chủ của họ ???? Để bắt đầu nỗ lực đưa ra sự kháng cự tích cực chống lại các mối đe dọa ở cốt lõi của vũ trụ mạng là điên rồ. Đặt một lớp bảo vệ tích cực ở lớp mô hình bảo mật này có nghĩa là mạng của bạn đã bị tin tặc xóa sạch và bạn đang cố gắng cứu mạng của mình trong lần thử cuối cùng (vâng, mạng của bạn không còn được kết nối với bất kỳ thứ gì ở bên ngoài và bạn đang tích cực chống lại sự lây nhiễm trong nội bộ), đó là điều tồi tệ đến mức nào để bắt đầu phòng thủ của bạn trên DC và các máy chủ khác. Lọc ra và chủ động bảo vệ chống lại các mối đe dọa từ lâu trước khi mối đe dọa xảy ra trên máy chủ của bạn. Làm sao vậy Mục 3.

3.) Đây là lý do tại sao một số CCIE / CCNP kiếm được nhiều tiền. Bất kỳ tổ chức nào xứng đáng với muối của họ sẽ mua một số loại phần cứng từ Cisco / Barracuda / Juniper, hoặc nếu không để có giải pháp phần cứng tại chỗ (vì phần mềm AV không tiến hành cắt mù tạt). Hầu hết các phần mềm AV (thậm chí thường được gọi là phiên bản Enterprise của Symantec, McAfee, Norton, v.v., v.v.) chỉ đơn giản là không đến gần để cung cấp cho bạn sự bảo vệ giống như thiết lập IronPorts từ Cisco hoặc các sản phẩm tương tự khác từ bất kỳ nhà cung cấp lớn. Với khoản tiền 10 nghìn đô la trong ngân sách CNTT của bạn, bạn có thể có sự bảo vệ rất đáng nể mà phần mềm AV đơn giản sẽ không cung cấp cho bạn.

4.) Tôi đã cắt nhỏ phần mềm AV xuống kích thước, vì vậy cho phép tôi xây dựng chúng sao lưu. Đối với tôi, phần mềm AV là bắt buộc đối với bất kỳ máy trạm / PC của người dùng nào, không có ngoại lệ. Họ ngăn không biết hoặc độc hại làm tổn thương / phá hủy mạng của bạn từ các nguồn bên ngoài, ví dụ như họ đã mang theo ổ đĩa flash từ nhà và cố gắng sao chép một số công việc họ đã làm ở nhà tối hôm trước lên Workstation của họ. Khu vực này là lý do lớn nhất để có một phần mềm AV tốt. Đây là lý do tại sao phần mềm AV được phát minh (virus Vienna), không vì lý do nào khác, woops .... gần như quên mất lý do thực sự ... để lừa tiền của bạn ok ok, nm.

5.) Dù sao đi nữa ... DC của bạn sẽ không thực sự có lợi hoặc bị cản trở khi có phần mềm AV trên đó. Máy chủ DB, Máy chủ web của bạn sẽ bị ảnh hưởng, không có phần mềm AV trên chúng trừ khi bạn thực sự bị tấn công đã biết và duy trì (bạn sẽ biết điều này vì IronPorts, v.v., được đề cập trong điểm 3).

6.) Cuối cùng nhưng không kém phần quan trọng, nếu bạn không đủ khả năng thiết lập tốt từ Cisco hoặc Juniper, hãy truy cập Linux! Nếu bạn có một hoặc hai máy dự phòng, hãy kiểm tra các tùy chọn của bạn với một số giải pháp OpenSource có sẵn cho mạng của bạn ... Chúng rất mạnh mẽ ... và như câu trả lời được chọn ở trên được tô sáng, chúng phải được định cấu hình chính xác . Hãy nhớ rằng anh chàng CCIE / CCNP mà tôi đang nói đến ..? Vâng.