Чи слід встановлювати AV-продукт на контролери домену?

Чи потрібно запускати специфічний для сервера антивірус, звичайний антивірус або взагалі немає антивірусу на моїх серверах, зокрема моїх контролерів домену?

Ось декілька відомостей про те, чому я задаю це питання:

Я ніколи не сумнівався, що антивірусне програмне забезпечення повинно працювати на всіх машинах Windows, період. Останнім часом у мене виникли деякі незрозумілі проблеми, пов’язані з Active Directory, які я простежив до антивірусного програмного забезпечення, що працює на наших контролерах домену.

Конкретна проблема полягала в тому, що захист Symantec Endpoint Protection працює на всіх контролерах домену. Інколи наш сервер Exchange спрацьовував помилково-позитивною програмою Symantec "Захист від загрози мережею" на кожному постійному струмі послідовно. Після вичерпання доступу до всіх постійних клієнтів, Exchange почала відмовлятися від запитів, імовірно, тому, що не могла спілкуватися з будь-якими серверами глобального каталогу або проводити будь-яку аутентифікацію.

Перепади триватимуть приблизно десять хвилин за один раз і трапляться один раз на кілька днів. Потрібно тривалий час, щоб вирішити проблему, оскільки вона не була легко відтворюваною, і, як правило, було проведено розслідування після вирішення проблеми.

Антивірусне програмне забезпечення, безумовно, має працювати на всіх машинах у належній керованій мережі, навіть якщо вжиті інші заходи щодо запобігання загрозам. Він також повинен працювати на серверах з двох причин: 1) вони є найважливішими комп’ютерами у вашому оточенні, набагато більше, ніж клієнтські системи, і 2) вони не менш ризикують лише тому, що ніхто активно не використовує (або принаймні не повинен не використовуючи їх активно) для веб-пошуку: є багато шкідливого програмного забезпечення, яке може автоматично поширюватися по вашій мережі, якщо він зможе захопити навіть одного хоста.

Зважаючи на це, ваша проблема більше пов'язана з правильним налаштуванням антивірусного програмного забезпечення.

Продукт, який ви використовуєте, постачається із вбудованим брандмауером: це те, що слід враховувати під час його запуску на серверних системах і відповідно налаштовувати (або взагалі відключати).

Деякі роки тому антивірусне програмне забезпечення (в) славилося випадковим видаленням баз даних Exchange, якщо випадково воно натрапило на вірусний підпис всередині якогось повідомлення електронної пошти, що зберігається у фізичному файлі даних; кожен постачальник антивірусів попереджав про це у посібнику з продуктом, але деякі люди все-таки не змогли зрозуміти це, і їхні магазини були занурені.

Немає програмного забезпечення, яке можна «просто встановити та запустити», не замислюючись над тим, що ти робиш.

Всі наші сервери (включаючи файл / sql / exchange) запускають Symantec Antivirus за допомогою сканування в режимі реального часу та щотижневого планового сканування. Програмне забезпечення збільшує навантаження на машини на ~ 2% при середньому навантаженні (середнє 10% використання процесора протягом дня без сканування в режимі реального часу, 11,5-12,5% при скануванні в режимі реального часу на нашому файловому сервері).

Ці ядра все одно нічого не робили.

YMMV.

Я завжди мав програмне забезпечення AV з включеним скануванням під час доступу на всіх серверах Windows і не раз вдячний за це. Вам потрібне програмне забезпечення, яке є ефективним і добре поводиться. Хоча я знаю, що є декілька, хто не погодиться, я мушу сказати вам, що Symantec - це такий же поганий вибір, як ви могли зробити.

Пакети типу "все в одному" рідко є настільки ефективними, як добре підібрані окремі компоненти (як, наприклад, я ще ніколи не бачив гідного прикладу). Виберіть те, що вам потрібно для захисту, а потім виберіть кожен компонент окремо для найкращого захисту та працездатності.

Слід пам’ятати, що, мабуть, не існує AV-продукту, який має пристойні настройки за замовчуванням. Більшість цих днів йде на сканування як читання, так і запису. Хоча це було б добре, це часто призводить до проблем із продуктивністю. Досить погано в будь-який час, але дуже погано, коли у Вашого постійного струму є проблеми, оскільки файл, до якого потрібно отримати доступ, був заблокований, поки AV-сканер перевіряє його. Більшість сканерів також сканують дуже велику кількість типів файлів, які навіть не можуть бути заражені, оскільки вони не можуть містити активний код. Перевірте свої налаштування та відрегулюйте на розсуд.

Я збираюся запропонувати зустрічну точку до поширених відповідей на цю тему.

Я не думаю, що вам слід запускати антивірусне програмне забезпечення на більшості серверів, виняток становлять файлові сервери. Все, що потрібно, - це одне оновлення з поганим визначенням, і ваше антивірусне програмне забезпечення може легко зламати важливу програму або повністю зупинити автентифікацію у вашому домені. Незважаючи на те, що програмне забезпечення AV протягом багатьох років досягло значного прогресу у впливі на його ефективність, деякі типи сканувань можуть негативно впливати на програми, що сприймають введення / виведення або пам'ять.

Я думаю, є досить добре задокументовані недоліки роботи антивірусного програмного забезпечення на серверах, тож, в чому полягає перевага? Нібито, ви захистили ваші сервери від будь-якої неприємності, яка фільтрує через ваші крайові брандмауери або впроваджується у вашу мережу. Але чи справді ти захищений? Не зовсім зрозуміло і ось чому.

Схоже, що найуспішніші зловмисні програми мають вектори атаки, які поділяються на три категорії: а) покладаючись на необізнаного кінцевого користувача, щоб випадково його завантажити, б) покладатися на вразливість, що існує в операційній системі, додатку чи службі, або в) це нульовий день експлуатувати. Жодне з них не повинно бути реалістичним або відповідним вектором атаки для серверів у добре керованій організації.

а) Не користуйтеся Інтернетом на своєму сервері. Зроблено і зроблено. Серйозно, просто не робіть цього.

б) Пам'ятаєте NIMDA? Код червоний? Більшість стратегій їх поширення спиралися або на соціальну інженерію (кінцевий користувач натискає так), або на відомі вразливості , для яких вже випущені патчі. Ви можете значно пом'якшити цей вектор атаки, переконуючись, що ви залишаєтесь в курсі оновлень безпеки.

в) Нульовими подвигами важко боротися. Якщо це нульовий день, за визначенням у вашого постачальника антивірусів поки не буде визначено його визначень. Займаючи оборону в глибині, дійсно допомагає принцип найменшого привілею та наявність найменшої поверхні атаки. Якщо коротко, AV не може зробити для цих типів уразливих місць.

Ви повинні зробити аналіз ризику самостійно, але в моєму середовищі я вважаю, що переваги АВ недостатньо вагомі, щоб компенсувати ризик.

Ми зазвичай налаштовуємо AV за графіком і не використовуємо сканування в режимі реального часу (тобто файли не скануються під час їх створення).

Це, мабуть, уникає більшості проблем, які виникають із наявністю AV на сервері. Оскільки ніхто (в ідеалі) насправді нічого не працює на сервері, потреба в захисті в режимі реального часу зменшується, особливо зважаючи на те, що клієнти мають АВ з реальним часом.

Ми запускаємо серверний продукт Vexira на наших серверах, але це може бути скоріше функцією дисконтування цін, ніж ефективності. У нас було декілька робочих станцій, що використовують продукт настільних ПК, який відмовлятиметься від оновлення, якщо ми не видалимо та перевстановимо останню версію.

У мене виникає відчуття, що багато цих проблем викликають люди, які налаштовують AV на сервери так, ніби вони були домашніми ПК. Це може бути зведено до короткозорого управління, жорстких подій, жорсткого дотримання корпоративної політики, яка не враховує належних обставин різних потреб для різних користувачів / машин, або колишнього адміністратора, який не зовсім під силу, але кінцевим результатом є те саме: хаос.

В ідеальному світі я б сказав: "використовуйте інший продукт AV для своїх серверів, як це є на ваших ПК, переконайтесь, перш ніж купувати його, що це належний AV-сервер на продукт, і захопіть що-небудь із словом" Symantec "на ньому за вуха та викиньте його у двері ".

З іншого боку монети за 20 років з десятками клієнтів я ніколи не бачив контролера домену, який не мав заражених спільних накопичувачів. Вже тоді на диску залишилися лише файли, а не фактичні зараження ОС. Зловмисне програмне забезпечення, яке ми бачимо в більшості, що навіть ділиться ефектами, є криптоблокером і фактично не заражає сервери. Він просто зашифровує спільні файли. Якщо робоча станція захищена належним чином, сервер не зашифрується.

Що я бачу, це програмне забезпечення AV, яке спричиняє проблеми. Я витратив години, намагаючись з’ясувати, що змінилося лише для того, щоб знайти оновлення AV викликало проблему. Навіть при правильній налаштуванні я бачив проблеми. Я знаю, що люди розкажуть мені найкращі практики, і всі мають запускати AV. Я знаю, що хтось вкаже, що коли-небудь це вкусить мене за відсутність AV на кожному сервері. До цього року і так ми ніколи не бачили криптоблокера, і зараз ми часто зустрічаємо варіанти (усі, які не можуть зупинитись декількома різними брендами AV, належним чином встановленими на робочій станції.) Можливо, в якийсь день з’явиться ще один хробак типу вірусу, який заражає сервери, але до цього часу я радий не мати проблеми з AV на моїх серверах SQL, print та DC.

Я усвідомлюю, що цей потік досить старий, але я вважав, що ця тема не була обговорена повністю, тому що лише згадка стосувалась антивірусу, захищеного програмним забезпеченням "AV" на сервері постійного струму.

1.) На мою думку, програмне забезпечення AV пройшло довгий шлях у своїй ефективності, але є підводні камені. Мало того, що AV потенційно баггі, AV мають тенденцію до споживання пам’яті, а не до випуску її, не добре, у виробничих умовах, чи справді ви можете собі це дозволити? Ой.

2.) Подумайте про це ... Якщо ваша перша лінія захисту починається на вашому постійному струмі та на інших серверах, ви вже більш ніж на півдорозі переможені. Чому хтось хоче запустити свою захисну схему з внутрішньої сторони своїх серверів ???? Починати зусилля щодо активного опору проти загроз в основі всесвітньої мережі Всесвіту. Розміщення активного захисту на цьому рівні вашої моделі безпеки повинно означати, що вашу мережу хакери знищили, і ви намагаєтесь зберегти свою мережу в останній спробі канави (так, ваша мережа більше не пов'язана ні з чим зовні і ви активно боретеся з інфекцією всередині), тобто наскільки це погано має бути для того, щоб почати захист на постійному і інших серверах. Відфільтруйте та активно захищайтеся від загроз задовго до появи загрози на ваших серверах. Як так? Пункт 3.

3.) Ось чому деякі CCIE / CCNP роблять великі гроші. Будь-яка організація, яка коштує їх солі, придбає якийсь тип обладнання в Cisco / Barracuda / Juniper, або іншим способом отримати апаратне рішення (адже програмне забезпечення AV не наближається до різання гірчиці). Більшість AV-програм (навіть найчастіше рекламні версії Symantec, McAfee, Norton, тощо, тощо, тощо) просто не наближаються до того, щоб забезпечити вам такий самий захист, що і налаштування IronPorts від Cisco, або інших подібних продуктів від будь-який великий постачальник. За маловідоме $ 10 тис. З вашого бюджету на ІТ-відділ ви можете мати дуже респектабельний захист, який програмне забезпечення AV просто не надасть вам.

4.) Я нарізав програмні засоби AV на розмір, тому дозвольте створити їх резервну копію. Для мене програмне забезпечення AV є обов'язковим для будь-яких робочих станцій / персональних комп'ютерів, без винятку. Вони заважають невідомим або зловмисникам травмувати / знищувати ваші мережі із сторонніх джерел, наприклад, вони принесли з дому флешку та намагалися скопіювати якусь роботу, яку вони виконували вдома попередньої ночі, на свою робочу станцію. Ця область є найбільшою причиною наявності хорошого AV програмного забезпечення. Ось чому було винайдено програмне забезпечення AV (Віденський вірус), без жодної іншої причини, вуол .... майже забув справжню причину ... щоб перебрати гроші, добре, нм.

5.) У будь-якому випадку ... Ваш постійний струм дійсно не піде на користь або не буде перешкоджати наявності програмного забезпечення AV на ньому. Ваші сервери БД, веб-сервери зазнають страждань, жодне програмне забезпечення на них не буде, якщо ви дійсно не знаходитесь під відомою та стійкою атакою (про це ви дізнаєтеся з перших вуст через IronPorts тощо), згадане в пункті 3).

6.) І останнє, але не менш важливе, якщо ви не можете дозволити собі гарне налаштування від Cisco або Juniper, перейдіть на Linux! Якщо у вас є запасна машина або два прокладки, ознайомтеся зі своїми параметрами, використовуючи деякі рішення OpenSource, доступні для вашої мережі ... Вони є потужними ... і як обрана відповідь вище підкреслена, вони повинні бути налаштовані правильно . Пам'ятайте, що хлопець CCIE / CCNP, про якого я говорив ..? Так.