도메인 컨트롤러에 AV 제품을 설치해야합니까?

서버, 특히 도메인 컨트롤러에서 서버 별 바이러스 백신, 일반 바이러스 백신 또는 바이러스 백신을 전혀 실행하지 않아야합니까?

다음은이 질문을하는 이유에 대한 몇 가지 배경입니다.

바이러스 백신 소프트웨어가 모든 Windows 컴퓨터에서 실행되고 있는지 의심하지 않았습니다. 최근에 도메인 컨트롤러에서 실행되는 바이러스 백신 소프트웨어로 추적 한 모호한 Active Directory 관련 문제가있었습니다.

구체적인 문제는 Symantec Endpoint Protection이 모든 도메인 컨트롤러에서 실행되고 있다는 것입니다. 때때로 Exchange 서버는 시만텍의 "Network Threat Protection"에서 각 DC에 대해 오탐 (false positive)을 일으켰습니다. 모든 DC에 대한 액세스를 모두 사용한 후 Exchange는 글로벌 카탈로그 서버와 통신하거나 인증을 수행 할 수 없기 때문에 요청을 거부하기 시작했습니다.

정전은 한 번에 약 10 분 동안 지속되며 며칠에 한 번씩 발생합니다. 문제를 쉽게 재현 할 수 없었으며 일반적으로 문제 자체가 해결 된 후에 조사를 수행했기 때문에 문제를 격리하는 데 오랜 시간이 걸렸습니다.

안티 바이러스 소프트웨어는 다른 위협 예방 조치가 있어도 제대로 관리되는 네트워크의 모든 컴퓨터에서 실행되어야합니다. 그것은 두 가지 이유로, 너무 서버에서 실행 안 : 그들은 위험에 더 적은 것)가 클라이언트 시스템보다 훨씬 더, 사용자 환경에서 가장 중요한 컴퓨터있어) 1, 2 단지 때문에 적어도 아무도 적극적으로 사용 (또는 해야 웹 서핑을 위해 적극적으로 사용 하지는 않음 ) : 단일 호스트라도 유지할 수있는 경우 네트워크를 통해 자동으로 확산 될 수있는 많은 맬웨어가 있습니다.

즉, 문제는 안티 바이러스 소프트웨어 를 올바르게 구성하는 것과 관련이 있습니다.

사용하는 제품에는 기본 제공 방화벽 기능이 포함되어 있습니다. 서버 시스템에서 실행할 때 고려해야하고 그에 따라 구성하거나 전혀 꺼야합니다.

몇 년 전, 안티 바이러스 소프트웨어는 실제 데이터 파일에 저장된 일부 전자 메일 메시지에 바이러스 성 서명이있을 경우 Exchange 데이터베이스를 임의로 삭제하는 것으로 유명했습니다. 모든 바이러스 백신 공급 업체는 제품 설명서에서이 문제에 대해 경고했지만 일부 사람들은 여전히이를 파악하지 못하여 상점을 마비 시켰습니다.

하고있는 일에 대해 두 번 생각하지 않고 "설치 만하면된다"는 소프트웨어는 없습니다.

모든 서버 (file / sql / exchange 포함)는 실시간 검사 및 주별 예약 검사와 함께 Symantec Antivirus를 실행합니다. 이 소프트웨어는 평균 작업량 (실시간 스캔없이 하루 평균 CPU 사용량 10 %, 파일 서버에서 실시간 스캔으로 11.5-12.5 %)으로 시스템 부하를 ~ 2 % 증가시킵니다.

그 핵심은 어쨌든 아무것도하지 않았습니다.

YMMV.

모든 Windows 서버에서 온 액세스 검색 기능이있는 AV 소프트웨어를 항상 사용하고 있으며 두 번 이상 감사했습니다. 효과적이고 잘 작동하는 소프트웨어가 필요합니다. 동의하지 않을 사람이 몇 명 있다는 것을 알고는 있지만 시만텍은 귀하가 할 수있는 것만 큼 나쁜 선택이라고 말합니다.

"올인원"유형 패키지는 잘 선택된 개별 구성 요소만큼 효과적이지는 않습니다 (아직 괜찮은 예는 보지 못했습니다). 보호에 필요한 것을 선택한 다음 최상의 보호 및 성능을 위해 각 구성 요소를 개별적으로 선택하십시오.

한 가지 알아야 할 것은 기본 설정이 적절한 AV 제품이 없을 것입니다. 요즘 대부분은 읽기와 쓰기를 모두 스캔합니다. 그것은 좋지만 종종 성능 문제로 이어집니다. AV 스캐너가 검사하는 동안 액세스해야하는 파일이 잠겨있어 DC에 문제가있을 때는 한 번에 충분히 나쁘지만 매우 나쁩니다. 대부분의 스캐너는 또한 활성 코드를 포함 할 수 없기 때문에 감염 될 수없는 매우 많은 파일 형식을 검사합니다. 설정을 확인하고 신중하게 조정하십시오.

이 스레드에 대한 일반적인 답변에 대한 대응점을 제시 할 것입니다.

파일 서버를 제외한 대부분의 서버에서 안티 바이러스 소프트웨어를 실행해야한다고 생각하지 않습니다. 하나의 나쁜 정의 업데이트 만 있으면 바이러스 백신 소프트웨어가 중요한 응용 프로그램을 쉽게 중단하거나 도메인의 인증을 완전히 중지 할 수 있습니다. 또한 AV 소프트웨어는 수년에 걸쳐 성능에 큰 영향을 미쳤지 만 특정 유형의 스캔은 I / O 또는 메모리에 민감한 응용 프로그램에 부정적인 영향을 줄 수 있습니다.

서버에서 바이러스 백신 소프트웨어를 실행하면 문서화 된 단점이 있다고 생각합니다. 표면적으로는 에지 방화벽을 통해 필터링되거나 네트워크에 도입되는 모든 불쾌감으로부터 서버를 보호했습니다. 그러나 당신은 정말로 보호됩니까? 완전히 명확하지 않으며 여기에 이유가 있습니다.

: 가장 성공적인 악성 코드는 세 가지 범주로 분류 공격이 것 같습니다 A) , 실수에 무지 최종 사용자에 의존 다운로드 b)는 운영 체제, 응용 프로그램 또는 서비스 나에 존재하는 취약점 의존 c)를 가 제로 하루를 공적. 이들 중 어느 것도 잘 운영되는 조직의 서버에 대해 현실적이거나 관련성있는 공격 경로가되어서는 안됩니다.

a) 서버에서 인터넷을 서핑하지 않아야합니다. 완료했다. 진지하게, 그냥하지 마십시오.

b) NIMDA를 기억하십니까? 코드 레드? 전파 전략의 대부분은 사회 공학 (최종 사용자가 '예'를 클릭 함 ) 또는 패치가 이미 릴리스 된 알려진 취약점 에 의존했습니다 . 보안 업데이트를 최신 상태로 유지하여이 공격 경로를 크게 완화 할 수 있습니다.

c) 제로 데이 익스플로잇은 다루기가 어렵다. 제로 데이가되면 정의에 따라 안티 바이러스 공급 업체는 아직 정의를하지 않을 것입니다. 심층 방어, 특권의 원칙 및 가능한 최소 공격면을 갖는 것이 실제로 도움이됩니다. 요컨대, 이러한 유형의 취약점에 대해 AV가 할 수있는 일은 많지 않습니다.

위험 분석을 직접 수행해야하지만 내 환경에서는 AV의 이점이 위험을 보충 할만큼 중요하지 않다고 생각합니다.

우리는 일반적으로 일정에 따라 AV를 설정하고 실시간 검색을 사용하지 않습니다 (즉, 파일이 생성 될 때 검색되지 않습니다).

그것은 서버에 AV를 가지고 오는 대부분의 문제를 피하는 것 같습니다. 실제로 (이상적으로) 서버에서 아무것도 실행하는 사람이 없기 때문에 실시간 보호에 대한 필요성이 줄어 듭니다. 특히 클라이언트에 실시간 AV가있는 것을 고려하십시오.

우리는 서버에서 Vexira의 서버 제품을 운영하지만 효과보다는 할인 된 가격의 기능 일 수 있습니다. 최신 버전으로 제거하고 다시 설치하지 않으면 데스크톱 제품을 사용하는 워크 스테이션이 여러 대 있었으므로 업데이트를 거부합니다.

서버에서 AV를 홈 PC처럼 구성하는 사람들이 이러한 문제를 많이 겪고 있다는 느낌이 듭니다. 이것은 근시안적인 관리, 엄격한 빈 카운터, 다른 사용자 / 기계에 대한 다양한 요구를 적절히 고려하지 않는 회사 정책에 대한 엄격한 준수 또는 완전히 관리되지 않은 전직 관리자에 의한 것일 수 있지만 최종 결과는 다음과 같습니다. 동일 : 혼란.

이상적인 세상에서 나는 "PC와 같은 서버에 다른 AV 제품을 사용하고, 그것을 구입하기 전에 적절한 서버 AV 제품인지 확인하고, 귀에 'Symantec'이라는 단어가 붙은 것을 잡아라. 문 밖으로 던져 "

수십 명의 클라이언트와 20 년 만에 동전 반대편에서 공유 드라이브가 감염되지 않은 도메인 컨트롤러를 본 적이 없습니다. 그럼에도 불구하고 감염은 드라이브에 파일이 남아 있었고 실제 OS 감염은 아닙니다. 우리가 가장 많이 공유하는 악성 코드는 크립토 락커이며 실제로 서버를 감염시키지 않습니다. 단순히 공유 파일을 암호화합니다. 워크 스테이션이 올바르게 보안되어 있으면 서버가 암호화되지 않습니다.

내가 보는 것은 문제를 일으키는 AV 소프트웨어입니다. AV 업데이트를 찾기 위해 변경된 내용 만 알아 내려고 몇 시간을 보냈습니다. 제대로 구성된 경우에도 문제가 발생했습니다. 사람들이 모범 사례를 말하고 모두 AV를 실행해야한다는 것을 알고 있습니다. 누군가 언젠가 이것이 모든 서버에서 AV를 사용하지 않는 것에 대해 물릴 것이라고 지적합니다. 불과 1 년 전까지 만해도 우리는 cryptolocker를 보지 못했으며 이제는 변종을 워크 스테이션에 올바르게 설치된 여러 다른 브랜드의 AV에 의해 중지되지 않는 경우가 많습니다. 어쩌면 언젠가 다른 웜이있을 수 있습니다. 서버를 감염시키는 바이러스 유형이지만 그때까지 SQL, 인쇄 및 DC 서버의 AV 문제를 처리 할 필요가 없습니다.

이 스레드는 상당히 오래되었다는 것을 알고 있지만 DC 서버의 'AV'소프트웨어 보호 인 안티 바이러스와 관련하여 유일한 언급으로 주제가 완전히 논의되지 않았다고 느꼈습니다.

1.) 내 생각에 소프트웨어 AV는 효과가 먼 길을 왔지만 함정이있다. AV는 잠재적으로 버그가있을뿐만 아니라 AV는 메모리를 소비하는 경향이 있으며 프로덕션 환경에서 메모리를 해제하지 않는 것이 좋습니다. 아야.

2.) 생각해보십시오. 첫 번째 방어선이 DC와 다른 서버에서 시작되면 이미 절반 이상의 패배를당했습니다. 왜 서버 내부에서 방어 체계를 시작해야합니까? 네트워크 세계의 핵심에서 위협에 능동적으로 저항하는 노력을 시작하는 것은 미친 짓입니다. 이 보안 모델 계층에 적극적인 방어를 설정하면 해커가 네트워크를 제거하고 마지막 도랑 시도로 네트워크를 저장하려고합니다 (예, 네트워크가 더 이상 외부 및 외부에 연결되어 있지 않음) 내부적으로 감염과 적극적으로 싸우고 있습니다.) 이것은 DC와 다른 서버에서 방어를 시작하기에 얼마나 나쁜지입니다. 위협이 서버에 있기 훨씬 전에 위협을 필터링하고 적극적으로 방어하십시오. 어떻게 요? 항목 3.

3.) 이것이 일부 CCIE / CCNP가 큰 돈을 버는 이유입니다. 소금에 걸 맞는 조직은 Cisco / Barracuda / Juniper에서 특정 유형의 하드웨어를 구매하거나 다른 방법으로 하드웨어 솔루션을 구매합니다 (소프트웨어 AV가 겨자를 자르지 않기 때문에). 대부분의 소프트웨어 AV (시만텍, McAfee, Norton 등의 엔터프라이즈 버전으로 자주 선전되는 경우도 있음)는 Cisco의 IronPorts 설정 또는 이와 유사한 다른 제품과 동일한 보호 기능을 제공하지 않습니다. 주요 공급 업체 IT 부서 예산에서 미화 100 만 달러를 지불하면 소프트웨어 AV가 제공하지 않는 매우 훌륭한 보호를받을 수 있습니다.

4.) 소프트웨어 AV의 크기를 잘랐으므로 다시 빌드 할 수 있습니다. 저에게있어 소프트웨어 AV는 예외가 아닌 '사용자'워크 스테이션 / PC의 필수 요소입니다. 알 수 없거나 악의적 인 사용자가 외부 소스에서 네트워크를 손상 / 파괴하는 것을 방지합니다. 예를 들어, 집에서 플래시 드라이브를 가져 와서 집에서 이전에 수행 한 일부 작업을 워크 스테이션에 복사하려고했습니다. 이 영역은 좋은 소프트웨어 AV를 갖는 가장 큰 이유입니다. 그렇기 때문에 소프트웨어 AV (Vienna virus)가 다른 이유없이 발명되었습니다. .. 거의 진짜 이유를 잊어 버렸습니다.

5.) 어쨌든 ... DC는 실제로 소프트웨어 AV를 사용하는 데 도움이되지 않거나 방해받지 않습니다. 실제로 알려지고 지속적인 공격을 받고 있지 않으면 DB 서버, 웹 서버에 소프트웨어 AV가 발생하지 않을 것입니다 (IronPort 등으로 인해 직접 알게 될 것입니다.

6.) 마지막으로, 시스코 나 주니퍼에서 멋진 설정을 할 수 없다면 Linux로 가십시오! 당신이 주변에 누워 예비 기계 또는 두 가지를 가지고 있다면, 네트워크에 사용할 수있는 오픈 소스 솔루션의 일부 옵션을 체크 아웃 ... 그들은 강력 ... 그리고 강조 위에서 선택한 응답으로, 그들은 올바르게 구성해야합니다 . 내가 얘기했던 CCIE / CCNP 녀석을 기억해 ..? 네.