Dois-je installer un produit AV sur mes contrôleurs de domaine?

Dois-je exécuter un antivirus spécifique au serveur, un antivirus ordinaire ou aucun antivirus sur mes serveurs, en particulier mes contrôleurs de domaine?

Voici quelques informations sur la raison pour laquelle je pose cette question:

Je n'ai jamais mis en doute le fait que le logiciel antivirus devrait fonctionner sur toutes les machines Windows, point final. Dernièrement, j'ai eu quelques problèmes obscurs liés à Active Directory que j'ai traqués jusqu'à un logiciel antivirus exécuté sur nos contrôleurs de domaine.

Le problème spécifique était que Symantec Endpoint Protection s'exécutait sur tous les contrôleurs de domaine. Parfois, notre serveur Exchange a déclenché un faux positif dans la "Protection contre les menaces réseau" de Symantec sur chaque contrôleur de domaine dans l'ordre. Après avoir épuisé l'accès à tous les contrôleurs de domaine, Exchange a commencé à refuser les demandes, probablement parce qu'il ne pouvait pas communiquer avec les serveurs du catalogue global ou effectuer une authentification.

Les pannes durent environ dix minutes à la fois et se produisent une fois tous les quelques jours. Il a fallu beaucoup de temps pour isoler le problème car il n'était pas facilement reproductible et, généralement, une enquête a été effectuée une fois le problème résolu.

Un logiciel antivirus devrait certainement fonctionner sur toutes les machines d'un réseau correctement géré, même si d'autres mesures de prévention des menaces sont en place. Il devrait également fonctionner sur les serveurs, pour deux raisons: 1) ce sont les ordinateurs les plus critiques de votre environnement, bien plus que les systèmes clients, et 2) ils ne sont pas moins à risque uniquement parce que personne n'utilise activement (ou du moins ne devrait ne les utilisez pas activement) pour surfer sur le Web: il existe de nombreux logiciels malveillants qui peuvent se propager automatiquement sur votre réseau s’ils peuvent s’emparer d’un seul hôte.

Cela dit, votre problème est davantage lié à la configuration correcte de votre logiciel antivirus.

Le produit que vous utilisez est livré avec un pare-feu intégré: c'est quelque chose qui doit être pris en compte lors de son exécution sur les systèmes serveur et configuré en conséquence (ou désactivé du tout).

Il y a quelques années, un logiciel antivirus était (in) célèbre pour supprimer aléatoirement des bases de données Exchange si, par hasard, il tombait sur une signature virale dans un message électronique stocké dans le fichier de données physiques; chaque fournisseur d'antivirus en a averti dans le manuel du produit, mais certaines personnes ne l'ont toujours pas compris et ont fait disparaître leurs magasins.

Il n'y a aucun logiciel que vous pouvez "installer et exécuter" sans réfléchir à deux fois à ce que vous faites.

Tous nos serveurs (y compris les fichiers / SQL / Exchange) exécutent Symantec Antivirus avec une analyse en temps réel et des analyses planifiées hebdomadaires. Le logiciel augmente la charge sur les machines d'environ 2% pour les charges de travail moyennes (utilisation moyenne de 10% de CPU pendant la journée sans analyse en temps réel, 11,5-12,5% avec analyse en temps réel avec sur notre serveur de fichiers).

Ces cœurs ne faisaient rien de toute façon.

YMMV.

J'ai toujours eu un logiciel AV avec l'analyse à l'accès activée sur tous les serveurs Windows et je l'ai remercié plus d'une fois. Vous avez besoin d'un logiciel à la fois efficace et bien comporté. Bien que je sache que certains ne seront pas d'accord, je dois vous dire que Symantec est un choix aussi mauvais que vous pourriez le faire.

Les packages de type «tout en un» sont rarement aussi efficaces que des composants individuels bien choisis (comme dans, je n'ai encore jamais vu d'exemple décent). Sélectionnez ce dont vous avez besoin pour la protection, puis choisissez chaque composant séparément pour une protection et des performances optimales.

Une chose à savoir est qu'il n'y a probablement pas de produit AV ayant des paramètres par défaut décents. La plupart de ces jours vont pour la lecture et l'écriture. Bien que ce soit bien, cela entraîne souvent des problèmes de performances. Assez mauvais à tout moment mais très mauvais lorsque votre contrôleur de domaine a des problèmes car un fichier auquel il doit accéder a été verrouillé pendant que le scanner AV le vérifie. La plupart des scanners analysent également un très grand nombre de types de fichiers qui ne peuvent même pas être infectés car ils ne peuvent pas contenir de code actif. Vérifiez vos paramètres et ajustez-les en toute discrétion.

Je vais offrir un contre-point aux réponses dominantes à ce fil.

Je ne pense pas que vous devriez exécuter un logiciel antivirus sur la plupart de vos serveurs, les serveurs de fichiers étant l'exception. Il suffit d'une mauvaise mise à jour de définition et votre logiciel antivirus pourrait facilement casser une application importante ou arrêter complètement l'authentification dans votre domaine. Et, alors que le logiciel AV a fait des progrès substantiels dans son impact sur les performances au fil des ans, certains types d'analyses peuvent avoir un effet négatif sur les E / S ou les applications sensibles à la mémoire.

Je pense qu'il y a des inconvénients assez bien documentés à exécuter un logiciel antivirus sur les serveurs, alors quel est l'avantage? En apparence, vous avez protégé vos serveurs de toute méchanceté qui filtre à travers vos pare-feu de périphérie ou est introduite dans votre réseau. Mais êtes-vous vraiment protégé? Ce n'est pas tout à fait clair et voici pourquoi.

Il semble que la plupart des logiciels malveillants qui réussissent ont des vecteurs d'attaque qui se répartissent en trois catégories: a) compter sur un utilisateur final ignorant pour le télécharger accidentellement, b) s'appuyer sur une vulnérabilité qui existe dans le système d'exploitation, l'application ou le service ou c) c'est un jour zéro exploit. Aucun de ceux-ci ne doit être un vecteur d'attaque réaliste ou pertinent pour les serveurs d'une organisation bien gérée.

a) Tu ne dois pas surfer sur Internet sur ton serveur. Fait et fait. Sérieusement, ne le faites pas.

b) Rappelez-vous NIMDA? Code rouge? La plupart de leurs stratégies de propagation reposaient soit sur l'ingénierie sociale (l'utilisateur final cliquant sur Oui), soit sur des vulnérabilités connues pour lesquelles des correctifs avaient déjà été publiés. Vous pouvez considérablement atténuer ce vecteur d'attaque en vous assurant de rester à jour avec les mises à jour de sécurité.

c) Les exploits Zero Day sont difficiles à gérer. Si c'est zéro jour, par définition, votre fournisseur d'antivirus n'aura pas encore de définitions pour cela. Exercer une défense en profondeur, le principe du moindre privilège et avoir la plus petite surface d'attaque possible aide vraiment. En bref, il n'y a pas grand-chose que l'AV peut faire pour ces types de vulnérabilités.

Vous devez faire l'analyse des risques vous-même, mais dans mon environnement, je pense que les avantages de l'AV ne sont pas suffisamment importants pour compenser le risque.

Nous configurons généralement AV sur une planification et n'utilisons pas l'analyse en temps réel (c'est-à-dire que les fichiers ne sont pas analysés lors de leur création).

Cela semble éviter la plupart des problèmes liés à l'utilisation de l'AV sur un serveur. Étant donné que personne (idéalement) n'exécute réellement quoi que ce soit sur le serveur, le besoin de protection en temps réel est diminué, surtout si l'on considère que les clients disposent de l'AV en temps réel.

Nous exécutons le produit serveur de Vexira sur nos serveurs, mais cela peut être plus une fonction de prix réduits que d'efficacité. Nous avons eu plusieurs postes de travail utilisant leur produit de bureau qui refuseront de mettre à jour à moins que nous ne désinstallions et réinstallions avec la dernière version.

J'ai l'impression que beaucoup de ces problèmes sont causés par des personnes qui configurent AV sur des serveurs comme s'il s'agissait de PC personnels. Cela peut être dû à une gestion à courte vue, à des comptes de bean serrés, à une adhésion rigide aux politiques d'entreprise qui ne prennent pas correctement en compte les différents besoins des différents utilisateurs / machines, ou à un ancien administrateur qui n'était pas tout à fait à la hauteur, mais le résultat final est la même: des ravages.

Dans un monde idéal, je dirais "utilisez un produit AV différent pour vos serveurs comme sur vos PC, assurez-vous avant de l'acheter qu'il s'agit d'un produit AV de serveur approprié et saisissez quoi que ce soit avec le mot" Symantec "par les oreilles et jetez-le par la porte ".

De l'autre côté de la médaille en 20 ans avec des dizaines de clients, je n'ai jamais vu un contrôleur de domaine qui n'avait pas de lecteurs partagés infectés. Même alors, seules les infections étaient des fichiers laissés sur le lecteur et non des infections réelles du système d'exploitation. Le malware que nous voyons le plus et qui affecte même les partages est le cryptolocker et qui n'infecte pas réellement les serveurs. Il crypte simplement les fichiers partagés. Si le poste de travail est correctement sécurisé, le serveur ne sera pas crypté.

Ce que je vois, c'est que le logiciel AV cause des problèmes. J'ai passé des heures à essayer de comprendre ce qui a changé uniquement pour trouver une mise à jour AV à l'origine du problème. Même lorsqu'il est correctement configuré, j'ai vu des problèmes. Je sais que les gens me diront les meilleures pratiques et tous doivent exécuter AV. Je sais que quelqu'un soulignera qu'un jour cela me mordra de ne pas avoir AV sur chaque serveur. Jusqu'à il y a un an environ, nous n'avions jamais vu de cryptolocker et maintenant, nous avons assez souvent des variantes (toutes qui ne sont pas arrêtées par plusieurs marques d'AV correctement installées sur la station de travail d'ailleurs). Peut-être qu'un jour, il y aura un autre ver virus de type qui infecte les serveurs, mais jusqu'à ce moment, je suis heureux de ne pas avoir à faire face à des problèmes AV sur mes serveurs SQL, d'impression et DC.

Je me rends compte que ce fil est assez ancien, mais je sentais que le sujet n'était pas complètement discuté, car la seule mention concernait Anti-Virus aka, la protection logicielle 'AV' sur le serveur DC.

1.) À mon avis, les logiciels AV ont parcouru un long chemin dans l'efficacité, mais il y a des pièges. Non seulement l'AV est potentiellement bogué, mais les AV ont tendance à consommer de la mémoire et à ne pas la libérer, pas bien, dans un environnement de production, pouvez-vous vraiment vous le permettre? Aie.

2.) Pensez-y ... Si votre première ligne de défense commence sur votre DC et sur d'autres serveurs, vous êtes déjà plus qu'à mi-chemin de la défaite. Pourquoi quelqu'un devrait-il vouloir commencer son plan de défense à l'intérieur de ses serveurs ???? Commencer l'effort de mettre en place une résistance active contre les menaces au cœur de l'univers du réseau est insensé. Mettre en place une défense active sur cette couche de votre modèle de sécurité devrait signifier que votre réseau a été effacé par des pirates et que vous essayez de sauvegarder votre réseau dans une dernière tentative de fossé (oui, votre réseau n'est plus connecté à rien à l'extérieur et vous combattez activement l'infection en interne), c'est à quel point cela devrait être mauvais pour commencer votre défense sur le DC et d'autres serveurs. Filtrer et défendre activement contre les menaces bien avant que la menace ne soit sur vos serveurs. Comment? Point 3.

3.) C'est pourquoi certains CCIE / CCNP gagnent beaucoup d'argent. Toute organisation qui en vaut la peine achètera un certain type de matériel auprès de Cisco / Barracuda / Juniper, ou autrement pour mettre en place une solution matérielle (car le logiciel AV n'est pas près de couper la moutarde). La plupart des logiciels AV (même les plus souvent présentés comme des versions d'entreprise de Symantec, McAfee, Norton, etc, etc, etc ...) ne sont tout simplement pas proches de vous fournir la même protection qu'une configuration IronPorts de Cisco ou d'autres produits similaires de tout fournisseur majeur. Pour un maigre 10 000 $ sur votre budget de service informatique, vous pouvez avoir une protection très respectable que les logiciels AV ne vous fourniront tout simplement pas.

4.) J'ai coupé les AV logiciels à leur taille, alors permettez-moi de les reconstituer. Les logiciels AV, pour moi, sont un must sur tous les postes de travail / PC «utilisateur», sans exception. Ils empêchent les personnes inconscientes ou malveillantes de blesser / détruire vos réseaux de sources extérieures, par exemple, ils ont ramené leur lecteur flash de chez eux et ont tenté de copier certains travaux qu'ils avaient effectués à la maison la nuit précédente sur leur poste de travail. Cette zone est la principale raison d'avoir un bon logiciel AV. C'est pourquoi le logiciel AV a été inventé (virus de Vienne), pour aucune autre raison, woops .... j'ai presque oublié la vraie raison ... pour voler votre argent ok ok, nm.

5.) Quoi qu'il en soit ... Votre DC ne bénéficiera pas vraiment ou ne sera pas empêché d'avoir un logiciel AV dessus. Vos serveurs DB, vos serveurs Web vont souffrir, aucun logiciel AV sur eux, sauf si vous êtes vraiment soumis à une attaque connue et soutenue (vous le savez de première main à cause d'IronPorts, etc., mentionné au point 3).

6.) Enfin et surtout, si vous ne pouvez pas vous permettre une belle configuration de Cisco ou Juniper, passez à Linux! Si vous avez une ou deux machines de rechange, vérifiez vos options avec certaines des solutions OpenSource disponibles pour votre réseau ... Elles sont puissantes ... et comme la réponse choisie ci-dessus est mise en évidence, elles doivent être configurées correctement . Rappelez-vous ce type CCIE / CCNP dont je parlais ..? Oui.