Etki alanı denetleyicilerime bir AV ürünü yüklemeli miyim?

Özellikle Etki Alanı Denetleyicilerim olmak üzere sunucularımda sunucuya özel bir virüsten koruma, normal virüsten koruma veya virüsten koruma yazılımı kullanmam gerekir mi?

İşte bu soruyu neden sorduğum hakkında bir arka plan:

Virüsten koruma yazılımının tüm Windows makinelerinde çalışması gerektiğini hiç sorgulamadım, nokta. Son zamanlarda, etki alanı denetleyicilerinizde çalışan virüsten koruma yazılımını izlediğim bazı belirsiz Active Directory ile ilgili sorunlar yaşadım.

Buradaki sorun, Symantec Endpoint Protection'ın tüm etki alanı denetleyicilerinde çalışmasıydı. Zaman zaman, Exchange sunucumuz her DC'deki Symantec'in "Ağ Tehdit Koruması" nda sırayla yanlış pozitif tetikledi. Tüm DC'lere erişimi tükettikten sonra, Exchange muhtemelen herhangi bir Global Katalog sunucusuyla iletişim kuramadığı veya herhangi bir kimlik doğrulama gerçekleştiremediği için istekleri reddetmeye başladı.

Kesintiler bir seferde yaklaşık on dakika sürecek ve birkaç günde bir meydana gelecektir. Sorunu izole etmek uzun zaman aldı çünkü kolayca tekrar üretilemedi ve genellikle sorun çözüldükten sonra soruşturma yapıldı.

Anti-virüs yazılımı, diğer tehdit önleme tedbirleri mevcut olsa bile, düzgün bir şekilde yönetilen bir ağdaki tüm makinelerde çalışıyor olmalıdır. Bu iki nedenden dolayı, çok sunucularda çalışmalıdır: onlar risk altında az konum) onlar istemci sistemlere göre çok daha ortamınızdaki en kritik bilgisayarları konum) 1 ve 2 sırf en azından kimse aktif kullandığı (veya should olmamak internette sörf için) aktif olarak kullanarak onları: hatta tek bir ana bilgisayar ele alıp alamayacağınızı otomatik ağ üzerinden yayılabilir malware bol.

Bununla birlikte, sorununuz daha çok anti-virüs yazılımınızı yapılandırmakla ilgilidir .

Kullandığınız ürün, yerleşik güvenlik duvarı ile birlikte gelir: bu, sunucu sistemlerinde çalıştırılırken dikkate alınması gereken ve buna göre yapılandırılan (veya hiç kapatılmamış) bir şeydir.

Birkaç yıl önce, virüsten koruma yazılımı, fiziksel veri dosyasında saklanan bazı e-posta iletilerinin içinde viral bir imza ile karşılaşırsa, Exchange veritabanlarını rastgele silmesiyle ünlüdür; her antivirüs satıcısı ürün kılavuzunda bu konuda uyardı, ancak bazı insanlar hala onu kavrayamadı ve mağazalarını çekti.

Yaptıklarınızı iki kez düşünmeden "sadece yükleyip çalıştırabileceğiniz" bir yazılım yoktur.

Tüm sunucularımız (dosya / sql / exchange dahil) Symantec Antivirus ürününü gerçek zamanlı tarama ve haftalık programlı taramalarla çalıştırır. Yazılım, ortalama iş yükleri için makinelerdeki yükü ~% 2 artırır (gerçek zamanlı tarama olmadan gün içinde ortalama% 10 işlemci kullanımı, dosya sunucumuzda gerçek zamanlı tarama ile% 11.5-12.5).

Bu çekirdekler zaten hiçbir şey yapmıyordu.

YMMV.

Her zaman tüm Windows sunucularında erişimde tarama özelliğine sahip AV yazılımım vardı ve bir kereden fazla müteşekkir oldum. Hem etkili hem de iyi davranmış bir yazılıma ihtiyacınız var. Anlaşmayacak birkaç kişi olduğunu bilsem de size Symantec'in yapabileceğiniz kadar kötü bir seçim olduğunu söylemeliyim.

"Hepsi bir arada" tipi paketler nadiren iyi seçilmiş bireysel bileşenler kadar etkilidir (daha önce hiç iyi bir örnek görmedim). Koruma için neye ihtiyacınız olduğunu seçin ve ardından en iyi koruma ve performans için her bir bileşeni ayrı ayrı seçin.

Dikkat edilmesi gereken bir şey, muhtemelen iyi varsayılan ayarlara sahip AV ürünü olmamasıdır. Bu günlerin çoğu hem okuma hem de yazma için tarama yapıyor. Bu güzel olsa da, genellikle performans sorunlarına yol açar. AV tarayıcısı kontrol ederken erişmesi gereken bir dosya kilitlendiğinden DC'nizin sorunları olduğunda çok kötü. Tarayıcıların çoğu, etkin kod içeremedikleri için virüs bulaşamayan çok sayıda dosya türünü de tarar. Ayarlarınızı kontrol edin ve takdirinize göre ayarlayın.

Bu konuya hakim cevaplara bir karşı puan sunacağım.

Dosya sunucuları istisna olmak üzere, sunucularınızın çoğunda antivirüs yazılımı çalıştırmanız gerektiğini düşünmüyorum. Tek gereken kötü bir tanım güncellemesi ve anti-virüs yazılımınız önemli bir uygulamayı kolayca kırabilir veya alan adınızdaki kimlik doğrulamasını tamamen durdurabilir. AV yazılımı yıllar boyunca performans etkisinde önemli ilerleme kaydetmiş olsa da, belirli tarama türlerinin G / Ç veya belleğe duyarlı uygulamalar üzerinde olumsuz bir etkisi olabilir.

Bence sunucularda anti-virüs yazılımı çalıştırmak için oldukça iyi belgelenmiş dezavantajları var, bu yüzden tersi nedir? Görünüşe göre, sunucularınızı kenar güvenlik duvarlarınız üzerinden filtreleyen veya ağınıza eklenen kötü durumlardan korudunuz. Ama gerçekten korunuyor musunuz? Tamamen açık değil ve işte nedeni bu.

En başarılı kötü amaçlı yazılımların üç kategoriye giren saldırı vektörleri olduğu görülmektedir: a) yanlışlıkla indirmesi için cahil bir son kullanıcıya güvenmek , b) işletim sisteminde, uygulamada veya hizmette bulunan bir güvenlik açığına güvenmek veya c) sıfır gün istismar. Bunların hiçbiri, iyi çalışan bir kuruluştaki sunucular için gerçekçi veya alakalı saldırı vektörleri olmamalıdır.

a) Sunucunuzda İnternette Gezinmeyeceksiniz. Bitti ve bitti. Cidden, sadece yapma.

b) NIMDA'yı hatırlıyor musunuz? Kırmızı kod? Yayılma stratejilerinin çoğu ya sosyal mühendislik (evet'i tıklayan son kullanıcı) ya da yamaların zaten yayınlanmış olduğu bilinen güvenlik açıklarına dayanıyordu . Güvenlik güncelleştirmeleriyle güncel kaldığınızdan emin olarak bu saldırı vektörünü önemli ölçüde azaltabilirsiniz.

c) Sıfır gün istismarlarıyla uğraşmak zordur. Sıfır gün ise, tanımı gereği anti-virüs satıcınız henüz bunun için tanımlara sahip olmayacaktır. Savunmayı derinlemesine kullanmak, en az ayrıcalık ve mümkün olan en küçük saldırı yüzeyine sahip olma ilkesine gerçekten yardımcı olur. Kısacası, bu tür güvenlik açıkları için AV'nin yapabileceği fazla bir şey yoktur.

Risk analizini kendiniz yapmanız gerekiyor, ancak çevremde AV'nin faydalarının riski telafi edecek kadar önemli olmadığını düşünüyorum.

AV'yi bir zamanlamaya göre kurduk ve Gerçek Zamanlı tarama kullanmıyoruz (yani dosyalar oluşturuldukça taranmıyor).

Bu, bir sunucuda AV ile ilgili olarak ortaya çıkan sorunların çoğunu önler. Kimse (ideal olarak) aslında sunucuda hiçbir şey çalıştırmadığından, özellikle istemcilerin Gerçek Zamanlı AV'ye sahip oldukları düşünüldüğünde, gerçek zamanlı koruma ihtiyacı azalır.

Vexira'nın sunucu ürününü sunucularımızda çalıştırıyoruz, ancak etkinlikten ziyade indirimli fiyatlamanın bir işlevi olabilir. En son sürümü kaldırıp yeniden yüklemediğimiz sürece, masaüstü ürünlerini kullanarak güncelleme yapmayı reddeden birkaç iş istasyonumuz vardı.

Bu sorunların çoğunun, ev bilgisayarlarıymış gibi sunucularda AV yapılandırması yapan kişilerden kaynaklandığını hissediyorum. Bu, dar görüşlü yönetim, darwad beancounters, farklı kullanıcılar / makineler için farklı ihtiyaçları doğru bir şekilde dikkate almayan kurumsal politikalara sıkı sıkıya bağlılık veya tamamen çizilmemiş olan eski bir yöneticiye bağlı olabilir, ancak sonuç aynı: tahribat.

İdeal bir dünyada, sunucularınız için PC'lerinizde olduğu gibi farklı bir AV ürünü kullanın, satın almadan önce uygun bir sunucu AV ürünü olduğundan emin olun ve üzerinde 'Symantec' kelimesi olan herhangi bir şeyi kulaklarınızla alın ve kapı dışarı atmak ".

Madalyonun diğer tarafında onlarca müşteriyle 20 yıl içinde, paylaşılan sürücüleri enfekte olmayan bir etki alanı denetleyicisi görmedim. O zaman bile, yalnızca enfeksiyonlar gerçek OS enfeksiyonları değil, sürücüde kalan dosyalardı. Paylaşımları bile etkileyen en çok gördüğümüz kötü amaçlı yazılım kripto kilitleyicidir ve aslında sunucuları etkilemez. Sadece paylaşılan dosyaları şifreler. İş istasyonu düzgün şekilde sabitlenmişse, sunucu şifrelenmez.

Gördüğüm sorunlara neden olan AV yazılımı. Soruna neden olan bir AV güncellemesi bulmak için neyin değiştiğini anlamaya çalışmak için saatler geçirdim. Düzgün yapılandırıldığında bile sorunları gördüm. İnsanların bana en iyi uygulamaları söyleyeceğini ve hepsinin AV yürüteceğini biliyorum. Birisi bu her gün AV sahip olmadığım için beni ısırmak işaret edecek biliyorum. Sadece bir yıl öncesine kadar hiç bir kripto kilitleyici görmedik ve şimdi oldukça sık varyantlar (hepsi bu arada iş istasyonuna düzgün bir şekilde kurulmuş birkaç farklı AV markası tarafından durdurulmuyor.) Belki bir gün başka bir solucan olacak sunucuları enfekte virüs yazın ama o zamana kadar SQL, baskı ve DC sunucularım AV sorunları ile uğraşmak zorunda değilim.

Bu iş parçacığının oldukça eski olduğunu fark ettim, ancak konunun tamamen tartışılmadığını hissettim, çünkü tek söz DC sunucusundaki Anti-Virus aka 'AV' yazılım koruması ile ilgili idi.

1.) Bence yazılım AV'leri etkinlikte uzun bir yol kat etti, ancak tuzaklar var. AV potansiyel olarak buggy olmakla kalmaz, AV'ların hafızayı tüketme ve bir üretim ortamında serbest bırakma eğilimi yoktur, bunu gerçekten karşılayabilir misiniz? Ahh.

2.) Düşünün ... İlk savunma hattınız DC'nizde ve diğer sunucularda başlarsa, zaten yarıdan daha fazla yenilmişsiniz demektir. Neden herkes sunucularının içinde savunma programına başlamak istesin ???? Ağ evreninin çekirdeğinde tehditlere karşı aktif direniş göstermeye çalışmak çılgınca. Güvenlik modelinizin bu katmanına etkin bir savunma koymak, ağınızın bilgisayar korsanları tarafından yok edildiği ve son bir hendek girişiyle ağınızı kaydetmeye çalıştığınız anlamına gelir (evet, ağınız artık dışarıdaki herhangi bir şeye bağlı değildir ve dahili olarak enfeksiyonla aktif olarak savaşıyorsunuz), DC ve diğer sunucularda savunmanıza başlamak için bunun ne kadar kötü olması gerektiği. Tehdit sunucularınızda bulunmadan çok önce filtreleyip tehditlere karşı etkin bir şekilde savunma yapın. Nasıl yani? Madde 3.

3.) Bu yüzden bazı CCIE / CCNP'ler büyük paralar kazanıyor. Tuzlarına değer herhangi bir kuruluş, Cisco / Barracuda / Juniper'dan bir tür donanım satın alacak veya başka bir şekilde bir donanım çözümü alacaktır (çünkü AV yazılımı hardal kesmeye yaklaşmaz). Çoğu yazılım AV'si (Symantec, McAfee, Norton, vb., Vb.'nin Enterprise sürümleri olarak anılan bile), size Cisco'dan IronPorts kurulumu veya diğer benzer ürünlerle aynı korumayı sağlamaya yaklaşmaz. herhangi bir büyük satıcı. BT Borç bütçenizden 10 bin dolarlık bir fiyat için AV yazılımlarının size sağlayamayacağı çok saygın bir korumaya sahip olabilirsiniz.

4.) Yazılım AV'lerini boyut olarak kestim, bu yüzden onları yeniden oluşturmama izin verin. Yazılım AV'leri benim için herhangi bir 'Kullanıcı' İş İstasyonu / PC'sinde olmazsa olmazdır. Bilgisiz veya kötü niyetli kişilerin ağlarınızı dış kaynaklardan zarar görmesini / yok etmesini önlerler, örneğin flash sürücülerini evden getirdiler ve bir önceki gece evde yaptıkları bazı işleri İş İstasyonlarına kopyalamaya çalıştılar. Bu alan, iyi bir AV yazılımına sahip olmanın en büyük nedenidir. Bu yüzden AV yazılımı icat edildi (Viyana virüsü), başka bir nedenden ötürü, woops .... neredeyse gerçek sebebi unuttum ... paranı soymak için tamam tamam, nm.

5.) Her neyse ... DC'niz üzerinde AV yazılımına gerçekten fayda sağlamayacak ya da engellenmeyecektir. DB Sunucularınız, Web Sunucularınız acı çekecek, gerçekten bilinen ve sürekli bir saldırı altında olmadıkça üzerlerinde yazılım AV'si olmayacak (3. adımda bahsedilen IronPorts, vb. Nedeniyle bunu ilk elden bileceksiniz).

6.) Son olarak, Cisco veya Juniper'dan güzel bir kurulum yapamıyorsanız, Linux'a gidin! Bir veya iki yedek makineniz varsa, ağınız için kullanılabilen bazı OpenSource çözümleriyle seçeneklerinizi kontrol edin ... Güçlüdürler ... güçlüdürler ve yukarıda seçilen cevap vurgulandığı gibi, doğru yapılandırılmaları gerekir . Bahsettiğim CCIE / CCNP adamını hatırlıyor musun ..? Evet.