¿Debo instalar un producto AV en mis controladores de dominio?

¿Debo ejecutar un antivirus específico para el servidor, un antivirus normal o ningún antivirus en mis servidores, particularmente en mis Controladores de Dominio?

Aquí hay algunos antecedentes sobre por qué estoy haciendo esta pregunta:

Nunca he cuestionado que el software antivirus debería ejecutarse en todas las máquinas con Windows, punto. Últimamente he tenido algunos problemas oscuros relacionados con Active Directory que he rastreado hasta el software antivirus que se ejecuta en nuestros controladores de dominio.

El problema específico era que Symantec Endpoint Protection se estaba ejecutando en todos los controladores de dominio. Ocasionalmente, nuestro servidor de Exchange activó un falso positivo en la "Protección contra amenazas de red" de Symantec en cada DC en secuencia. Después de agotar el acceso a todos los DC, Exchange comenzó a rechazar solicitudes, presumiblemente porque no podía comunicarse con ningún servidor del Catálogo global ni realizar ninguna autenticación.

Las interrupciones durarían unos diez minutos a la vez, y ocurrirían una vez cada pocos días. Tomó mucho tiempo aislar el problema porque no era fácilmente reproducible y, en general, se realizó una investigación después de que el problema se resolvió por sí solo.

El software antivirus definitivamente debería ejecutarse en todas las máquinas en una red adecuadamente administrada, incluso si existen otras medidas de prevención de amenazas. También debería ejecutarse en servidores, por dos razones: 1) son las computadoras más críticas en su entorno, mucho más que los sistemas cliente, y 2) no están menos en riesgo solo porque nadie las usa activamente (o al menos debería no los está utilizando activamente) para navegar por la web: hay un montón de malware que puede propagarse automáticamente a través de su red si puede obtener incluso un solo host.

Dicho esto, su problema está más relacionado con la configuración adecuada de su software antivirus.

El producto que está utilizando viene con firewall incorporado: eso es algo que debe tenerse en cuenta al ejecutarlo en los sistemas del servidor y configurarlo en consecuencia (o desactivarlo).

Hace algunos años, el software antivirus era (en) famoso por eliminar aleatoriamente las bases de datos de Exchange si por casualidad se encontraba con una firma viral dentro de un mensaje de correo electrónico almacenado en el archivo de datos físicos; todos los proveedores de antivirus advirtieron sobre esto en el manual del producto, pero algunas personas aún no lo entendieron y sus tiendas fueron destruidas.

No hay ningún software que pueda "simplemente instalar y ejecutar" sin pensar dos veces en lo que está haciendo.

Todos nuestros servidores (incluido el archivo / sql / exchange) ejecutan Symantec Antivirus con análisis en tiempo real y análisis programados semanalmente. El software aumenta la carga en las máquinas en ~ 2% para cargas de trabajo promedio (uso promedio de CPU del 10% durante el día sin escaneo en tiempo real, 11.5-12.5% ​​con escaneo en tiempo real con nuestro servidor de archivos).

Esos núcleos no estaban haciendo nada de todos modos.

YMMV.

Siempre he tenido software AV con escaneo en acceso habilitado en todos los servidores de Windows y lo he agradecido más de una vez. Necesita un software que sea efectivo y que se comporte bien. Si bien sé que hay algunos que no estarán de acuerdo, tengo que decirte que Symantec es una decisión tan mala como podrías hacer.

Los paquetes de tipo "todo en uno" rara vez son tan efectivos como los componentes individuales bien elegidos (como en, nunca he visto un ejemplo decente todavía). Seleccione lo que necesita para protección y luego elija cada componente por separado para obtener la mejor protección y rendimiento.

Una cosa a tener en cuenta es que probablemente no haya un producto AV que tenga una configuración predeterminada decente. La mayoría de estos días van para escanear tanto lectura como escritura. Si bien eso sería bueno, a menudo conduce a problemas de rendimiento. Lo suficientemente malo en cualquier momento, pero muy malo cuando su DC tiene problemas porque un archivo al que necesita acceder se ha bloqueado mientras el escáner AV lo está revisando. La mayoría de los escáneres también escanean una gran cantidad de tipos de archivos que ni siquiera pueden infectarse porque no pueden contener código activo. Verifique su configuración y ajuste con discreción.

Voy a ofrecer un contrapunto a las respuestas predominantes a este hilo.

No creo que deba ejecutar un software antivirus en la mayoría de sus servidores, con la excepción de los servidores de archivos. Todo lo que necesita es una actualización de mala definición y su software antivirus podría fácilmente romper una aplicación importante o detener la autenticación en su dominio por completo. Y, si bien el software AV ha logrado un progreso sustancial en su impacto en el rendimiento a lo largo de los años, ciertos tipos de escaneos pueden tener un efecto negativo en las aplicaciones sensibles a la memoria o E / S.

Creo que hay inconvenientes bastante bien documentados para ejecutar un software antivirus en los servidores, entonces, ¿cuál es la ventaja? Aparentemente, ha protegido sus servidores de cualquier desagradable que se filtre a través de sus firewalls perimetrales o se introduzca en su red. ¿Pero realmente estás protegido? No está del todo claro y he aquí por qué.

Parece que el malware más exitoso tiene vectores de ataque que se dividen en tres categorías: a) confiar en un usuario final ignorante para descargarlo accidentalmente, b) confiar en una vulnerabilidad que existe en el sistema operativo, aplicación o servicio o c) es un día cero explotar. Ninguno de estos debe ser vectores de ataque realistas o relevantes para servidores en una organización bien administrada.

a) No navegarás por Internet en tu servidor. Hecho y hecho. En serio, simplemente no lo hagas.

b) ¿ Recuerdas NIMDA? ¿Código Rojo? La mayoría de sus estrategias de propagación se basaron en la ingeniería social (el usuario final hizo clic en sí) o en vulnerabilidades conocidas para las que ya se lanzaron parches. Puede mitigar significativamente este vector de ataque asegurándose de mantenerse actualizado con las actualizaciones de seguridad.

c) Las vulnerabilidades de día cero son difíciles de tratar. Si es día cero, por definición, su proveedor de antivirus todavía no tendrá definiciones. Ejercer la defensa en profundidad, el principio del menor privilegio y tener la superficie de ataque más pequeña posible realmente ayuda. En resumen, no hay mucho que AV pueda hacer para este tipo de vulnerabilidades.

Debe hacer el análisis de riesgos usted mismo, pero en mi entorno creo que los beneficios de AV no son lo suficientemente significativos como para compensar el riesgo.

En general, configuramos AV en un horario y no utilizamos el análisis en tiempo real (es decir, los archivos no se analizan a medida que se crean).

Eso parece evitar la mayoría de los problemas que surgen al tener AV en un servidor. Dado que nadie (idealmente) está ejecutando nada en el servidor, la necesidad de protección en tiempo real disminuye, especialmente teniendo en cuenta que los clientes tienen AV con tiempo real.

Ejecutamos el producto de servidor de Vexira en nuestros servidores, pero puede ser más una función del precio con descuento que la efectividad. Hemos tenido varias estaciones de trabajo que utilizan su producto de escritorio que se negarán a actualizar a menos que desinstalemos y reinstalemos con la última versión.

Tengo la sensación de que muchos de estos problemas son causados ​​por personas que configuran AV en servidores como si fueran PC hogareñas. Esto puede deberse a una administración miope, contadores de frijoles ajustados, adherencia rígida a las políticas corporativas que no tienen en cuenta las diferentes necesidades de diferentes usuarios / máquinas, o un ex administrador que no estaba a la altura, pero el resultado final es lo mismo: estragos.

En un mundo ideal, yo diría "use un producto AV diferente para sus servidores como está en sus PC, asegúrese antes de comprarlo de que sea un producto AV de servidor adecuado , y tome cualquier cosa con la palabra 'Symantec' en los oídos y tirarlo por la puerta ".

Por otro lado de la moneda en 20 años con docenas de clientes, nunca he visto un controlador de dominio que no tuviera unidades compartidas infectadas. Incluso entonces, solo las infecciones fueron archivos que quedaron en el disco y no infecciones reales del sistema operativo. El malware que vemos más que incluso comparte los efectos es cryptolocker y que en realidad no infecta servidores. Simplemente encripta los archivos compartidos. Si la estación de trabajo está asegurada correctamente, el servidor no se cifrará.

Lo que sí veo es que el software AV está causando problemas. He pasado horas tratando de descubrir qué cambió solo para encontrar una actualización AV que causó el problema. Incluso cuando está configurado correctamente, he visto problemas. Sé que la gente me dirá las mejores prácticas y todas son para ejecutar AV. Sé que alguien señalará que algún día esto me morderá por no tener AV en todos los servidores. Hasta hace solo un año, más o menos, nunca vimos un cryptolocker y ahora tenemos variantes con bastante frecuencia (todo lo cual no puede ser detenido por varias marcas diferentes de AV correctamente instaladas en la estación de trabajo). Tal vez algún día habrá otro gusano tipo virus que infecta servidores, pero hasta ese momento estoy feliz de no tener que lidiar con problemas AV en mis servidores SQL, de impresión y DC.

Me doy cuenta de que este hilo es bastante antiguo, pero sentí que el tema no se discutió por completo, ya que la única mención fue con respecto a Anti-Virus, también conocido como 'AV', protección de software en el servidor DC.

1.) En mi opinión, los AV de software han recorrido un largo camino en la eficacia, pero existen dificultades. No solo el AV es potencialmente defectuoso, los AV tienen una tendencia a consumir memoria y no liberarla, no es bueno, en un entorno de producción, ¿realmente puede permitirse eso? Ay.

2.) Piénsalo ... Si tu primera línea de defensa comienza en tu DC y en otros servidores, ya estás más que medio derrotado. ¿Por qué alguien debería querer comenzar su esquema de defensa en el interior de sus servidores? Comenzar el esfuerzo de poner resistencia activa contra amenazas en el núcleo del universo de la red es una locura. Poner una defensa activa en esta capa de su modelo de seguridad debería significar que su red ha sido borrada por piratas informáticos y que está tratando de salvar su red en un último intento de zanja (sí, su red ya no está conectada a nada en el exterior y está luchando activamente contra la infección internamente), eso es lo malo que debería ser para comenzar su defensa en el DC y otros servidores. Filtre y defienda activamente contra las amenazas mucho antes de que la amenaza esté en sus servidores. ¿Cómo es eso? Ítem ​​3.

3.) Esta es la razón por la cual algunos CCIE / CCNP ganan mucho dinero. Cualquier organización que valga la pena comprará algún tipo de hardware de Cisco / Barracuda / Juniper, o de otro modo para obtener una solución de hardware (porque el software AV no se acerca a cortar la mostaza). La mayoría de los AV de software (incluso las versiones empresariales de Symantec, McAfee, Norton, etc., etc.) simplemente no se acercan a proporcionarle la misma protección que una configuración IronPorts de Cisco u otros productos similares de Cualquier vendedor importante. Por un mero $ 10k de su presupuesto del departamento de TI, puede tener una protección muy respetable que el software AV simplemente no le proporcionará.

4.) He cortado los AV de software a su tamaño, así que permítame construirlos de nuevo. Los AV de software, para mí, son imprescindibles en cualquier estación de trabajo / PC 'Usuario', sin excepciones. Evitan que los desconocidos o maliciosos dañen / destruyan sus redes de fuentes externas, por ejemplo, trajeron su unidad flash desde su casa e intentaron copiar en su estación de trabajo el trabajo que hicieron en casa la noche anterior. Esta área es la razón más importante para tener un buen software AV. Esta es la razón por la cual se inventó el software AV (virus de Viena), por ninguna otra razón, woops ... casi olvidó la verdadera razón ... para robar su dinero, ok, ok.

5.) De todos modos ... Su DC realmente no se beneficiará ni se verá obstaculizado por tener software AV en él. Sus servidores de DB, servidores web sufrirán, sin software AV en ellos a menos que realmente esté bajo un ataque conocido y sostenido (lo sabrá de primera mano debido a IronPorts, etc., ... mencionado en el punto 3).

6.) Por último, pero no menos importante, si no puede permitirse una buena configuración de Cisco o Juniper, ¡vaya a Linux! Si tiene una máquina de repuesto o dos disponibles, consulte sus opciones con algunas de las soluciones de OpenSource disponibles para su red ... Son potentes ... y como se destacó en la respuesta elegida anteriormente, deben configurarse correctamente . ¿Recuerdas al tipo CCIE / CCNP del que estaba hablando? Sí.