Devo instalar um produto AV nos meus controladores de domínio?

Devo executar um antivírus específico do servidor, antivírus comum ou nenhum antivírus nos meus servidores, principalmente nos controladores de domínio?

Aqui estão alguns antecedentes sobre o motivo pelo qual estou fazendo esta pergunta:

Eu nunca questionei que o software antivírus deveria estar rodando em todas as máquinas Windows, ponto final. Ultimamente, tive alguns problemas obscuros relacionados ao Active Directory que rastreei para um software antivírus em execução em nossos controladores de domínio.

O problema específico era que o Symantec Endpoint Protection estava sendo executado em todos os controladores de domínio. Ocasionalmente, nosso servidor Exchange disparava um falso positivo na "Proteção contra ameaças à rede" da Symantec em cada controlador de domínio em sequência. Após esgotar o acesso a todos os controladores de domínio, o Exchange começou a recusar solicitações, presumivelmente porque não conseguia se comunicar com nenhum servidor do Catálogo Global ou executar qualquer autenticação.

As interrupções duravam cerca de dez minutos por vez e ocorriam uma vez a cada poucos dias. Demorou muito tempo para isolar o problema, porque não era facilmente reproduzível e geralmente era realizada uma investigação após a solução do problema.

Definitivamente, o software antivírus deve estar em execução em todas as máquinas em uma rede gerenciada adequadamente, mesmo que outras medidas de prevenção de ameaças estejam em vigor. Ele também deve ser executado em servidores por dois motivos: 1) eles são os computadores mais críticos em seu ambiente, muito mais que os sistemas clientes e 2) não correm menos risco apenas porque ninguém usa ativamente (ou pelo menos deveria não os estiver usando ativamente) para navegar na Web: há muitos malwares que podem se espalhar automaticamente por toda a sua rede, se conseguir se manter em um único host.

Dito isto, seu problema está mais relacionado à configuração correta do seu software antivírus.

O produto que você está usando vem com firewall embutido: é algo que deve ser levado em consideração ao executá-lo em sistemas de servidor e configurado de acordo (ou desativado).

Alguns anos atrás, o software antivírus era (in) famoso por excluir aleatoriamente os bancos de dados do Exchange se por acaso encontrasse uma assinatura viral em alguma mensagem de email armazenada no arquivo de dados físicos; todos os fornecedores de antivírus alertaram sobre isso no manual do produto, mas algumas pessoas ainda não conseguiram entender o problema e obtiveram suas lojas destruídas.

Não há software que você possa "simplesmente instalar e executar" sem pensar duas vezes no que está fazendo.

Todos os nossos servidores (incluindo arquivo / sql / exchange) executam o Symantec Antivirus com verificação em tempo real e verificações agendadas semanalmente. O software aumenta a carga nas máquinas em ~ 2% para cargas de trabalho médias (uso médio de 10% da CPU durante o dia sem verificação em tempo real, 11,5-12,5% com verificação em tempo real no servidor de arquivos).

Esses núcleos não estavam fazendo nada de qualquer maneira.

YMMV.

Eu sempre tive o software AV com a varredura ao acessar ativada em todos os servidores Windows e fui grato por isso mais de uma vez. Você precisa de um software eficaz e bem comportado. Embora eu saiba que há quem discorde, tenho que lhe dizer que a Symantec é a pior escolha possível.

Pacotes do tipo "tudo em um" raramente são tão eficazes quanto componentes individuais bem escolhidos (como em, eu nunca vi um exemplo decente ainda). Selecione o que você precisa para proteção e escolha cada componente separadamente para obter a melhor proteção e desempenho.

Uma coisa a ter em atenção é que provavelmente não há produto AV que possua configurações padrão decentes. Atualmente, a maioria dos dias é digitalizada, tanto para leitura quanto para gravação. Embora isso seja bom, muitas vezes leva a problemas de desempenho. Ruim o suficiente no momento, mas muito ruim quando o seu controlador de domínio tem problemas porque um arquivo que ele precisa acessar foi bloqueado enquanto o scanner antivírus o verifica. A maioria dos scanners também verifica um número muito grande de tipos de arquivos que nem sequer podem ser infectados porque não podem conter código ativo. Verifique suas configurações e ajuste com discrição.

Vou oferecer um contraponto às respostas prevalecentes a este tópico.

Não acho que você deva executar um software antivírus na maioria dos servidores, com exceção dos servidores de arquivos. Basta uma atualização de definição ruim e seu software antivírus pode facilmente quebrar um aplicativo importante ou interromper totalmente a autenticação em seu domínio. E, embora o software AV tenha feito um progresso substancial em seu impacto no desempenho ao longo dos anos, certos tipos de varreduras podem ter um efeito negativo nas aplicações de E / S ou de memória.

Eu acho que existem desvantagens muito bem documentadas na execução de software antivírus em servidores, então qual é a vantagem? Ostensivamente, você protegeu seus servidores de qualquer coisa desagradável que filtre através de seus firewalls de borda ou seja introduzida em sua rede. Mas você está realmente protegido? Não está totalmente claro e aqui está o porquê.

Parece que o malware mais bem-sucedido tem vetores de ataque que se enquadram em três categorias: a) confiar em um usuário final ignorante para baixá-lo acidentalmente, b) confiar em uma vulnerabilidade existente no sistema operacional, aplicativo ou serviço ou c) é um dia zero explorar. Nenhum desses deve ser vetores de ataque realistas ou relevantes para servidores em uma organização bem administrada.

a) Você não deve navegar na Internet em seu servidor. Feito e feito. Sério, apenas não faça isso.

b) Lembra do NIMDA? Código vermelho? A maioria de suas estratégias de propagação contava com engenharia social (o usuário final clicando em sim) ou vulnerabilidades conhecidas para as quais os patches já foram lançados. Você pode reduzir significativamente esse vetor de ataque, mantendo-se atualizado com as atualizações de segurança.

c) Explorações de dia zero são difíceis de lidar. Se for dia zero, por definição, seu fornecedor de antivírus ainda não terá definições disponíveis. Exercitar a defesa em profundidade, o princípio do menor privilégio e ter a menor superfície de ataque possível realmente ajuda. Em resumo, não há muito que o AV possa fazer por esses tipos de vulnerabilidades.

Você precisa fazer a análise de risco, mas, no meu ambiente, acho que os benefícios do AV não são significativos o suficiente para compensar o risco.

Geralmente, configuramos o AV em uma programação e não usamos a verificação em tempo real (ou seja, os arquivos não são verificados à medida que são criados).

Isso parece evitar a maioria dos problemas associados ao AV no servidor. Como ninguém (idealmente) está realmente executando nada no servidor, a necessidade de proteção em tempo real é diminuída, especialmente considerando que os clientes têm AV com tempo real.

Executamos o produto de servidor da Vexira em nossos servidores, mas pode ser mais uma função do preço com desconto do que da eficácia. Tivemos várias estações de trabalho usando seus produtos de desktop que se recusam a atualizar, a menos que desinstalemos e reinstalemos com a versão mais recente.

Tenho a sensação de que muitos desses problemas são causados ​​por pessoas que configuram o AV nos servidores como se fossem computadores domésticos. Isso pode estar relacionado a gerenciamento míope, contador de grãos apertado, aderência rígida às políticas corporativas que não levam em conta adequadamente as diferentes necessidades de usuários / máquinas diferentes ou um ex-administrador que não estava preparado para o risco, mas o resultado final é o mesmo: estragos.

Em um mundo ideal, eu diria "use um produto AV diferente para seus servidores como em seus PCs, verifique antes de comprá-lo como um produto AV adequado para servidor e pegue qualquer coisa com a palavra 'Symantec' pelos ouvidos e jogue pela porta ".

Do outro lado da moeda em 20 anos, com dezenas de clientes, nunca vi um controlador de domínio que não tivesse unidades compartilhadas infectadas. Mesmo assim, apenas infecções eram arquivos deixados na unidade e não infecções reais do sistema operacional. O malware que vemos mais que afeta os compartilhamentos é o cryptolocker e que na verdade não afeta os servidores. Ele simplesmente criptografa os arquivos compartilhados. Se a estação de trabalho estiver adequadamente protegida, o servidor não será criptografado.

O que vejo é o software AV causando problemas. Passei horas tentando descobrir o que mudou apenas para encontrar uma atualização do AV que causou o problema. Mesmo quando configurado corretamente, já vi problemas. Eu sei que as pessoas vão me dizer as melhores práticas e todas devem executar o AV. Eu sei que alguém vai apontar que um dia isso vai me morder por não ter AV em todos os servidores. Até apenas um ano atrás, nunca vimos um cryptolocker e agora temos variantes com bastante frequência (todas que deixam de ser interrompidas por várias marcas diferentes de antivírus instaladas corretamente na estação de trabalho). Talvez um dia haja outro worm tipo vírus que infecta servidores, mas até esse momento fico feliz por não ter que lidar com problemas de AV nos meus servidores SQL, impressão e DC.

Percebo que esse segmento é bastante antigo, mas senti que o tópico não foi discutido completamente, pois a única menção era em relação ao antivírus, também conhecido como proteção de software 'AV' no servidor DC.

1.) Na minha opinião, os AVs de software percorreram um longo caminho em termos de eficácia, mas existem armadilhas. O AV não é apenas potencialmente defeituoso, mas os AV tendem a consumir memória e não liberá-la, não é boa, em um ambiente de produção, você pode realmente pagar por isso? Ai.

2.) Pense nisso ... Se a sua primeira linha de defesa começar no seu DC e em outros servidores, você já estará mais do que meio caminho derrotado. Por que alguém iria querer começar seu esquema de defesa dentro de seus servidores ???? Começar o esforço de colocar resistência ativa contra ameaças no centro do universo da rede é insano. Colocar uma defesa ativa nessa camada do seu modelo de segurança deve significar que sua rede foi destruída por hackers e você está tentando salvar sua rede em uma última tentativa de fuga (sim, sua rede não está mais conectada a nada do lado de fora e você está combatendo ativamente a infecção internamente), é assim que isso deve ser ruim para iniciar sua defesa no controlador de domínio e em outros servidores. Filtre e defenda ativamente contra ameaças muito antes que a ameaça esteja em seus servidores. Como assim? Item 3.

3.) É por isso que alguns CCIE / CCNP ganham muito dinheiro. Qualquer organização que se preze vai comprar algum tipo de hardware da Cisco / Barracuda / Juniper, ou de outra forma obter uma solução de hardware (porque o software AV não chega nem perto de cortar a mostarda). A maioria dos antivírus de software (mesmo os frequentemente elogiados como versões Enterprise da Symantec, McAfee, Norton, etc, etc, etc ...) simplesmente não chega nem perto de fornecer a mesma proteção que uma configuração IronPorts da Cisco ou outros produtos similares da qualquer grande fornecedor. Por apenas US $ 10.000 do orçamento do departamento de TI, você pode ter uma proteção muito respeitável que os AVs de software simplesmente não lhe fornecem.

4.) Eu reduzi o tamanho dos AVs de software, então permita-os construí-los novamente. Os AVs de software, para mim, são obrigatórios em qualquer estação de trabalho / PC 'Usuário', sem exceções. Eles impedem que os desconhecidos ou mal intencionados danifiquem / destruam suas redes de fontes externas, por exemplo, eles trouxeram seu pen drive de casa e tentaram copiar algum trabalho que fizeram em casa na noite anterior na Estação de Trabalho. Esta área é a maior razão para ter um bom software AV. É por isso que o software AV foi inventado (vírus de Viena), por nenhuma outra razão, woops .... quase esqueci o verdadeiro motivo ... para roubar seu dinheiro ok ok, nm.

5.) De qualquer forma ... O seu controlador de domínio não será realmente beneficiado ou prejudicado por ter o software AV nele. Seus servidores de banco de dados, servidores da Web sofrerão, nenhum software antivírus neles, a menos que você esteja realmente sob um ataque conhecido e sustentado (você saberá disso em primeira mão por causa dos IronPorts, etc, ... mencionados no ponto 3).

6.) Por último, mas não menos importante, se você não puder pagar uma boa configuração da Cisco ou Juniper, vá para o Linux! Se você tem uma ou duas máquinas sobressalentes por aí, verifique suas opções com algumas das soluções OpenSource disponíveis para sua rede ... Elas são poderosas ... e, como destacou a resposta escolhida acima, elas devem ser configuradas corretamente . Lembra daquele cara do CCIE / CCNP de quem eu estava falando ..? Sim.