Sollte ich ein AV-Produkt auf meinen Domänencontrollern installieren?

9

Sollte ich auf meinen Servern, insbesondere auf meinen Domänencontrollern, ein serverspezifisches Antivirenprogramm, ein reguläres Antivirenprogramm oder gar kein Antivirenprogramm ausführen?

Hier einige Hintergrundinformationen dazu, warum ich diese Frage stelle:

Ich habe nie in Frage gestellt, dass Antivirensoftware auf allen Windows-Computern ausgeführt werden sollte. In letzter Zeit hatte ich einige obskure Active Directory-Probleme, die ich auf Antivirensoftware zurückgeführt habe, die auf unseren Domänencontrollern ausgeführt wird.

Das spezielle Problem bestand darin, dass Symantec Endpoint Protection auf allen Domänencontrollern ausgeführt wurde. Gelegentlich löste unser Exchange-Server in Symantecs "Network Threat Protection" auf jedem DC nacheinander ein falsch-positives Ergebnis aus. Nachdem der Zugriff auf alle Domänencontroller erschöpft war, lehnte Exchange Anforderungen ab, vermutlich weil keine Kommunikation mit globalen Katalogservern möglich war oder keine Authentifizierung durchgeführt werden konnte.

Ausfälle dauerten jeweils etwa zehn Minuten und traten alle paar Tage auf. Es hat lange gedauert, das Problem zu isolieren, da es nicht leicht reproduzierbar war und im Allgemeinen eine Untersuchung durchgeführt wurde, nachdem sich das Problem von selbst gelöst hatte.

mhud
quelle
Klingt für mich nach einer bösen Symantec Endpoint Protection-Infektion. Ich würde das so schnell wie möglich entfernen lassen. Im Ernst, das Produkt verursachte uns große Probleme damit, dass Kunden den Zugriff auf ihre Server usw. verloren. Es war schrecklich, als es veröffentlicht wurde, und die "Wartungsversionen" haben es nur schrittweise verbessert. Wir lassen sie für Trend Micro fallen, wo immer es machbar ist.
Evan Anderson
Einverstanden, Symantec-Produkte lassen Sie wirklich WÜNSCHEN, dass Sie stattdessen einen bösen Virus bekommen haben.
Massimo
1
Das ist lustig, wir sind von Trend Micro zu Symantec gewechselt. Ich denke, es sind alles verschiedene Schattierungen von Mist.
Mhud
"Symantec" und "Antivirus" sollten niemals im selben Satz verwendet werden, da zwischen ihnen keine erkennbare Beziehung besteht.
John Gardeniers

Antworten:

11

Antivirensoftware sollte auf allen Computern in einem ordnungsgemäß verwalteten Netzwerk ausgeführt werden, auch wenn andere Maßnahmen zur Verhinderung von Bedrohungen vorhanden sind. Es sollte aus zwei Gründen auch auf Servern ausgeführt werden: 1) Sie sind die kritischsten Computer in Ihrer Umgebung, viel mehr als Client-Systeme, und 2) sie sind nicht weniger gefährdet, nur weil niemand sie aktiv nutzt (oder zumindest sollte) Sie werden nicht aktiv zum Surfen im Internet verwendet: Es gibt eine Menge Malware, die sich automatisch in Ihrem Netzwerk ausbreiten kann, wenn sie auch nur einen Host hostet.

Ihr Problem hängt jedoch eher mit der ordnungsgemäßen Konfiguration Ihrer Antivirensoftware zusammen.

Das Produkt, das Sie verwenden, verfügt über eine integrierte Firewall: Dies sollte bei der Ausführung auf Serversystemen berücksichtigt und entsprechend konfiguriert (oder überhaupt deaktiviert) werden.

Vor einigen Jahren war Antivirensoftware (in) berühmt für das zufällige Löschen von Exchange-Datenbanken, wenn sie zufällig auf eine virale Signatur in einer in der physischen Datendatei gespeicherten E-Mail-Nachricht stieß. Jeder Antiviren-Anbieter warnte im Produkthandbuch davor, aber einige Leute verstanden es immer noch nicht und ließen ihre Geschäfte mit Atomwaffen füllen.

Es gibt keine Software, die Sie "einfach installieren und ausführen" können, ohne zweimal darüber nachzudenken, was Sie tun.

Massimo
quelle
Ein guter Punkt, um sich die Zeit zu nehmen, um eine AV-Software richtig zu konfigurieren. AV-Software ist wahrscheinlich die wichtigste Klasse von Software, um nicht "rauszustürmen". Ich habe Fälle gesehen, in denen Exchange seine Datendateien von unten "repariert" hat, zu viel Fanfare von Leuten, die versuchen, ihre E-Mail zu verwenden.
Mhud
2

Auf allen unseren Servern (einschließlich Datei / SQL / Exchange) wird Symantec Antivirus mit Echtzeit-Scans und wöchentlich geplanten Scans ausgeführt. Die Software erhöht die Belastung der Computer bei durchschnittlicher Arbeitslast um ~ 2% (durchschnittliche 10% CPU-Auslastung während des Tages ohne Echtzeit-Scan, 11,5-12,5% beim Echtzeit-Scan mit auf unserem Dateiserver).

Diese Kerne machten sowieso nichts.

YMMV.

SirStan
quelle
2

Ich hatte schon immer AV-Software mit aktiviertem On-Access-Scan auf allen Windows-Servern und war mehr als einmal dafür dankbar. Sie benötigen Software, die sowohl effektiv ist als auch sich gut verhält. Obwohl ich weiß, dass es einige gibt, die anderer Meinung sind, muss ich Ihnen sagen, dass Symantec eine so schlechte Wahl ist, wie Sie treffen könnten.

Pakete vom Typ "All in One" sind selten so effektiv wie gut ausgewählte Einzelkomponenten (wie in, ich habe noch nie ein anständiges Beispiel gesehen). Wählen Sie aus, was Sie zum Schutz benötigen, und wählen Sie dann jede Komponente einzeln aus, um den besten Schutz und die beste Leistung zu erzielen.

Beachten Sie, dass es wahrscheinlich kein AV-Produkt mit angemessenen Standardeinstellungen gibt. Die meisten dieser Tage scannen sowohl Lesen als auch Schreiben. Das wäre zwar schön, führt aber oft zu Leistungsproblemen. Schlimm genug, aber sehr schlimm, wenn Ihr DC Probleme hat, weil eine Datei, auf die er zugreifen muss, gesperrt wurde, während der AV-Scanner sie überprüft. Die meisten Scanner scannen auch eine sehr große Anzahl von Dateitypen, die nicht einmal infiziert werden können, da sie keinen aktiven Code enthalten können. Überprüfen Sie Ihre Einstellungen und passen Sie sie nach Belieben an.

John Gardeniers
quelle
2

Ich werde einen Gegenpunkt zu den vorherrschenden Antworten auf diesen Thread bieten.

Ich denke nicht, dass Sie auf den meisten Ihrer Server Antivirensoftware ausführen sollten, wobei Dateiserver die Ausnahme bilden. Alles, was es braucht, ist ein schlechtes Definitionsupdate, und Ihre Antivirensoftware kann leicht eine wichtige Anwendung beschädigen oder die Authentifizierung in Ihrer Domain vollständig stoppen. Während AV-Software im Laufe der Jahre erhebliche Fortschritte bei der Leistung erzielt hat, können bestimmte Arten von Scans negative Auswirkungen auf E / A- oder speicherempfindliche Anwendungen haben.

Ich denke, es gibt ziemlich gut dokumentierte Nachteile beim Ausführen von Antivirensoftware auf Servern. Was ist also der Vorteil? Angeblich haben Sie Ihre Server vor jeglicher Unangenehmkeit geschützt, die durch Ihre Edge-Firewalls eindringt oder in Ihr Netzwerk eingeführt wird. Aber bist du wirklich geschützt? Es ist nicht ganz klar und hier ist warum.

Es scheint, dass die erfolgreichste Malware Angriffsmethoden aufweist, die in drei Kategorien unterteilt sind: a) Verlassen auf einen ignoranten Endbenutzer, um sie versehentlich herunterzuladen, b) Verlassen auf eine Sicherheitsanfälligkeit, die im Betriebssystem, in der Anwendung oder im Dienst vorhanden ist, oder c) es ist ein Null-Tag Ausbeuten. Keiner dieser Vektoren sollte realistisch oder relevant für Server in einer gut geführten Organisation sein.

a) Du sollst auf deinem Server nicht im Internet surfen. Gemacht und gemacht. Im Ernst, tu es einfach nicht.

b) Erinnerst du dich an NIMDA? Alarmstufe Rot? Die meisten ihrer Weitergabestrategien beruhten entweder auf Social Engineering (der Endbenutzer klickt auf Ja) oder auf bekannten Schwachstellen , für die Patches bereits veröffentlicht wurden. Sie können diesen Angriffsvektor erheblich verringern, indem Sie sicherstellen, dass Sie mit Sicherheitsupdates auf dem neuesten Stand sind.

c) Zero-Day-Exploits sind schwer zu bewältigen. Wenn es kein Tag ist, hat Ihr Antiviren-Anbieter per Definition noch keine Definitionen dafür. Eine gründliche Verteidigung, das Prinzip des geringsten Privilegs und die geringstmögliche Angriffsfläche sind wirklich hilfreich. Kurz gesagt, es gibt nicht viel, was AV für diese Art von Sicherheitslücken tun kann.

Sie müssen die Risikoanalyse selbst durchführen, aber in meiner Umgebung sind die Vorteile von AV meiner Meinung nach nicht signifikant genug, um das Risiko auszugleichen.


quelle
0

Wir richten AV im Allgemeinen nach einem Zeitplan ein und verwenden kein Echtzeit-Scannen (dh Dateien werden beim Erstellen nicht gescannt).

Dies scheint die meisten Probleme zu vermeiden, die mit AV auf einem Server verbunden sind. Da niemand (im Idealfall) tatsächlich etwas auf dem Server ausführt, wird der Bedarf an Echtzeitschutz verringert, insbesondere wenn man bedenkt, dass die Clients über AV mit Echtzeit verfügen.

Adam Brand
quelle
0

Wir führen das Serverprodukt von Vexira auf unseren Servern aus, aber es ist möglicherweise eher eine Funktion des reduzierten Preises als der Effektivität. Wir hatten mehrere Workstations mit ihrem Desktop-Produkt, die sich nicht aktualisieren ließen, es sei denn, wir deinstallieren und installieren sie mit der neuesten Version neu.

Bart Silverstrim
quelle
0

Ich habe das Gefühl, dass viele dieser Probleme durch Leute verursacht werden, die AV auf Servern so konfigurieren, als wären sie Heim-PCs. Dies kann auf kurzsichtiges Management, engmaschige Beancounters, die strikte Einhaltung von Unternehmensrichtlinien, die unterschiedliche Anforderungen für verschiedene Benutzer / Maschinen nicht angemessen berücksichtigen, oder einen ehemaligen Administrator zurückzuführen sein, der nicht ganz auf dem neuesten Stand war, aber das Endergebnis ist das gleiche: Chaos.

In einer idealen Welt würde ich sagen: "Verwenden Sie für Ihre Server ein anderes AV-Produkt als auf Ihren PCs, stellen Sie vor dem Kauf sicher, dass es sich um ein geeignetes Server-AV-Produkt handelt, und greifen Sie mit den Worten" Symantec "an den Ohren und wirf es aus der Tür ".

Maximus Minimus
quelle
0

Auf der anderen Seite der Medaille habe ich in 20 Jahren mit Dutzenden von Clients noch nie einen Domänencontroller gesehen, bei dem keine gemeinsam genutzten Laufwerke infiziert waren. Selbst dann waren nur noch Infektionen auf dem Laufwerk und keine tatsächlichen Betriebssysteminfektionen. Die Malware, die wir am häufigsten sehen und die sogar Freigaben bewirkt, ist Cryptolocker und infiziert Server nicht wirklich. Es verschlüsselt einfach die freigegebenen Dateien. Wenn die Workstation ordnungsgemäß gesichert ist, wird der Server nicht verschlüsselt.

Was ich sehe, ist die AV-Software, die Probleme verursacht. Ich habe stundenlang versucht herauszufinden, was sich geändert hat, nur um ein AV-Update zu finden, das das Problem verursacht hat. Selbst wenn es richtig konfiguriert ist, habe ich Probleme gesehen. Ich weiß, dass mir die Leute Best Practices nennen und alle AV ausführen sollen. Ich weiß, dass jemand darauf hinweisen wird, dass mich das eines Tages beißen wird, weil ich nicht auf jedem Server AV habe. Bis vor ungefähr einem Jahr haben wir noch nie einen Cryptolocker gesehen und jetzt haben wir ziemlich oft Varianten (alle, die übrigens nicht von verschiedenen AV-Marken gestoppt werden können, die ordnungsgemäß auf der Workstation installiert sind). Vielleicht wird es eines Tages einen anderen Wurm geben Typ Virus, der Server infiziert, aber bis dahin bin ich froh, dass ich mich nicht mit AV-Problemen auf meinen SQL-, Print- und DC-Servern befassen muss.

Nur eine andere Meinung
quelle
2
Ich würde behaupten, dass dies im Wesentlichen mit der Antwort von KCE identisch ist , da dies eigentlich nichts damit zu tun hat, dass der Domänencontroller ein Domänencontroller ist, und mehr damit, dass er ein Dateiserver ist. Wenn Sie Ihre Dateiserver- und DC-Rollen kombinieren möchten, müssen Sie den Server als beides behandeln.
Mark Henderson
DC sollte niemals zusammen mit Datenbanken, Mailservern oder Dateiservern ausgeführt werden. Eines der ersten Dinge, die passieren, wenn ein Server ein DC ist, ist, dass das Zwischenspeichern von Dateien auf diesem Server ausgeschaltet ist.
Rostol
-2

Mir ist klar, dass dieser Thread ziemlich alt ist, aber ich hatte das Gefühl, dass das Thema nicht vollständig besprochen wurde, da die einzige Erwähnung in Bezug auf Anti-Virus, auch bekannt als "AV" -Softwareschutz auf dem DC-Server, erfolgte.

1.) Meiner Meinung nach haben Software-AVs einen langen Weg in der Effektivität zurückgelegt, aber es gibt Fallstricke. Der AV ist nicht nur potenziell fehlerhaft, AVs neigen auch dazu, Speicher zu verbrauchen und ihn nicht freizugeben. Nicht gut, in einer Produktionsumgebung. Können Sie sich das wirklich leisten? Autsch.

2.) Denken Sie darüber nach ... Wenn Ihre erste Verteidigungslinie auf Ihrem DC und auf anderen Servern beginnt, sind Sie bereits mehr als zur Hälfte besiegt. Warum sollte jemand sein Verteidigungsschema auf der Innenseite seiner Server beginnen wollen? Es ist verrückt, sich im Kern des Netzwerkuniversums aktiv gegen Bedrohungen zu wehren. Eine aktive Verteidigung auf dieser Ebene Ihres Sicherheitsmodells sollte bedeuten, dass Ihr Netzwerk von Hackern ausgelöscht wurde und Sie versuchen, Ihr Netzwerk in einem letzten Grabenversuch zu retten (ja, Ihr Netzwerk ist nicht mehr mit irgendetwas außerhalb und verbunden Sie bekämpfen die Infektion intern aktiv), so schlimm sollte dies sein, um Ihre Verteidigung auf dem DC und anderen Servern zu beginnen. Filtern Sie Bedrohungen heraus und verteidigen Sie sie aktiv, lange bevor sie auf Ihren Servern auftreten. Wie? Punkt 3.

3.) Aus diesem Grund machen einige CCIE / CCNPs das große Geld. Jede Organisation, die ihr Geld wert ist, kauft Hardware von Cisco / Barracuda / Juniper oder auf andere Weise, um eine Hardwarelösung zu erhalten (da Software-AV nicht annähernd den Senf schneidet). Die meisten Software-AVs (selbst die oft als Enterprise-Versionen von Symantec, McAfee, Norton usw. usw. angepriesenen usw.) bieten einfach nicht den gleichen Schutz wie ein IronPorts-Setup von Cisco oder andere ähnliche Produkte von jeder große Anbieter. Für nur 10.000 US-Dollar aus Ihrem IT-Abteilungsbudget können Sie einen sehr respektablen Schutz erhalten, den Software-AVs Ihnen einfach nicht bieten.

4.) Ich habe Software-AVs auf die Größe reduziert, also erlaube mir, sie wieder aufzubauen. Software-AVs sind für mich ausnahmslos ein Muss auf allen Benutzer-Workstations / PCs. Sie verhindern, dass Unwissende oder Böswillige Ihre Netzwerke von externen Quellen verletzen / zerstören. Sie haben beispielsweise ihr Flash-Laufwerk von zu Hause mitgebracht und versucht, einige Arbeiten, die sie in der vergangenen Nacht zu Hause erledigt haben, auf ihre Workstation zu kopieren. Dieser Bereich ist der größte Grund für eine gute Software-AV. Aus diesem Grund wurde die Software AV erfunden (Wiener Virus), aus keinem anderen Grund, woops ... fast den wahren Grund vergessen ... Ihr Geld zu überfallen ok ok, nm.

5.) Wie auch immer ... Ihr DC wird nicht wirklich davon profitieren oder daran gehindert werden, Software-AV darauf zu haben. Ihre DB-Server und Webserver werden darunter leiden, keine Software-AV auf ihnen, es sei denn, Sie sind wirklich einem bekannten und anhaltenden Angriff ausgesetzt (Sie wissen dies aus erster Hand aufgrund von IronPorts usw., wie in Punkt 3 erwähnt).

6.) Wenn Sie sich ein nettes Setup von Cisco oder Juniper nicht leisten können, gehen Sie zu Linux! Wenn Sie ein oder zwei Ersatzmaschinen haben, prüfen Sie Ihre Optionen mit einigen der für Ihr Netzwerk verfügbaren OpenSource-Lösungen ... Sie sind leistungsstark ... und wie in der oben genannten Antwort hervorgehoben, müssen sie korrekt konfiguriert sein . Erinnerst du dich an den CCIE / CCNP-Typen, über den ich gesprochen habe? Ja.

Kanal
quelle
5
Man baut nicht einfach eine Edge-Firewall und AV auf den Benutzerarbeitsstationen auf. Es gibt andere Bedrohungen. Es gibt Böses da draußen, das nicht schläft. Es wird einen Weg durch Ihre Edge-Firewall finden und den Lauf Ihres Netzwerks haben. Oder ein verärgerter Angestellter wird es einbringen. Keine Tiefenverteidigung zu haben, ist Torheit.
Michael Hampton
Man kommentiert nicht einfach, ohne den gesamten Beitrag zu lesen. =) Ich schlage weit mehr vor, als Sie interpretiert haben. Ich empfehle AV auf Clients und eine hardwarebasierte Lösung für Spam und insbesondere Virenblockierung. Ich erwähne Firewalls nicht, da es nicht um Firewalls ging, sondern um AVs. Mein kleiner Teil des Netzwerks verwendet: IronPort C670 für unsere E-Mail-Server, IronPort S670 für unsere Webserver und einen IronPort M670 für fast alles andere, was mit der Verwaltung des gesamten Chaos zu tun hat. Zusätzlich zu diesen haben wir Sicherheitsrouter und ... Firewalls und clientseitige AVs, wie Sie vorgeschlagen haben.
Channard
Außerdem spreche ich in meinem ursprünglichen Beitrag über Benutzer, die Viren (virii) einbringen. Artikel: # 4
Channard
Nein, @MichaelHampton hat recht, das ist eine schreckliche Antwort.
HopelessN00b
@HopelessNoob: Haben Sie sich überhaupt das Cisco IronPorts-Angebot und die Controls des Security Operations Center angesehen? So viele DataCenter verlassen sich auf diesen integrierten Satz von Anti-Virus-, Spam-, Intrusion Detection- usw. usw. usw. Bitte empfehlen Sie etwas anderes. Ich bin gespannt auf Ihre Antwort und mögliche Ersetzungen, die Sie möglicherweise vorschlagen.
Channard