サーバー、特にドメインコントローラーでサーバー固有のウイルス対策、通常のウイルス対策、またはウイルス対策をまったく実行しないでください。
これがなぜ私がこの質問をしているのかについての背景です:
私は、ウイルス対策ソフトウェアがすべてのWindowsマシンで実行されているべきだと疑問に思ったことはありません。最近、Active Directoryに関連する不明瞭な問題があり、ドメインコントローラーで実行されているウイルス対策ソフトウェアまで追跡しました。
具体的な問題は、Symantec Endpoint Protectionがすべてのドメインコントローラーで実行されていることでした。 Exchangeサーバーが、シマンテックの「ネットワーク脅威防止」でDCを順番に実行して誤検知を引き起こした。グローバルカタログサーバーを使用するか、認証を実行します。
停止は一度に約10分間続き、数日に1回発生します。問題を簡単に再現することはできず、問題が自動的に解決した後に調査が行われたため、問題を特定するのに長い時間がかかりました。
ウイルス対策ソフトウェアは、他の脅威防止策が講じられている場合でも、適切に管理されたネットワーク内のすべてのマシンで確実に実行されている必要があります。次の2つの理由により、サーバーでも実行できるはずです。1)クライアントシステムよりもはるかに環境内で最も重要なコンピューターであり、2)誰もアクティブに使用していない(または少なくとも(少なくともすべきではない積極的にそれらを使用して)ウェブをサーフィンする:単一のホストであっても保持できる場合は、ネットワーク全体に自動的に広がるマルウェアがたくさんあります。
そうは言っても、あなたの問題は適切に設定するアンチウイルスソフトウェアに関連しています。
使用している製品にはファイアウォールが組み込まれています。これは、サーバーシステムで実行するときに考慮に入れ、それに応じて構成する(またはまったくオフにする)必要があるものです。
数年前、アンチウイルスソフトウェアは、物理データファイルに保存されている電子メールメッセージ内のウイルス署名に偶然遭遇した場合、Exchangeデータベースをランダムに削除することで有名でした。すべてのアンチウイルスベンダーが製品マニュアルでこれについて警告しましたが、一部の人々はまだそれを把握できず、店舗に迷惑をかけました。
何をしているのかよく考えずに「インストールして実行する」だけのソフトウェアはありません。
すべてのサーバー(file/sql/exchangeを含む)はSymantec Antivirusを実行し、リアルタイムスキャンと毎週の定期スキャンを実行します。ソフトウェアは、平均的なワークロードの場合、マシンの負荷を最大2%増加させます(リアルタイムスキャンを行わない1日の平均CPU使用率は10%、ファイルサーバーでのリアルタイムスキャンでは11.5-12.5%)。
それらのコアはとにかく何もしていませんでした。
YMMV。
私はすべてのWindowsサーバーでオンアクセススキャンを有効にしたAVソフトウェアを常に使用しており、何度も感謝しています。効果的で動作の良いソフトウェアが必要です。私は反対する人が何人かいることを知っていますが、シマンテックはあなたがすることができるのと同じくらい悪い選択であることをあなたに伝えなければなりません。
「オールインワン」タイプのパッケージは、選択した個々のコンポーネントと同じくらい効果的であることはめったにありません(例として、まともな例はまだ見たことがありません)。保護に必要なものを選択し、各コンポーネントを個別に選択して、最高の保護とパフォーマンスを実現します。
注意すべきことの1つは、まともなデフォルト設定を持つAV製品はおそらくないということです。最近のほとんどは、読み取りと書き込みの両方をスキャンします。それはいいことですが、パフォーマンスの問題につながることがよくあります。 DCに問題があると、AVスキャナーがチェックしているときにアクセスが必要なファイルがロックされているため、非常に悪いです。ほとんどのスキャナーは、非常に多数のファイルもスキャンしますアクティブなコードを含めることができないため、感染することさえできないタイプ。設定を確認し、慎重に調整してください。
私はこのスレッドへの一般的な答えに対抗ポイントを提供します。
ファイルサーバーを除いて、ほとんどのサーバーでウイルス対策ソフトウェアを実行する必要はないと思います。必要なのは1つの不適切な定義の更新だけであり、ウイルス対策ソフトウェアは重要なアプリケーションを簡単に破壊したり、ドメイン内の認証を完全に停止したりする可能性があります。また、AVソフトウェアはそのパフォーマンスへの影響で長年にわたって大幅な進歩を遂げてきましたが、特定の種類のスキャンは、I/Oまたはメモリに敏感なアプリケーションに悪影響を及ぼす可能性があります。
サーバーでウイルス対策ソフトウェアを実行することには、十分に文書化された欠点があると思いますが、利点は何ですか?表面上は、エッジファイアウォールを介してフィルタリングされたり、ネットワークに導入されたりする悪質なものからサーバーを保護しています。しかし、本当にあなたは保護されていますか?それは完全に明確ではありませんが、ここに理由があります。
最も成功したマルウェアには、次の3つのカテゴリに分類される攻撃ベクトルがあるようです:a)知らないエンドユーザーが誤ってダウンロードしてしまうb)オペレーティングシステム、アプリケーション、またはサービスに存在する脆弱性に依存する、またはc)ゼロデイエクスプロイトです。これらはどれも、適切に運営されている組織のサーバーに対する現実的または関連する攻撃ベクトルであってはなりません。
a)サーバーでインターネットをサーフしないでください。完了しました。真剣に、それをしないでください。
b)NIMDAを覚えていますか?コード・レッド?彼らの伝播戦略のほとんどは、ソーシャルエンジニアリング(エンドユーザーが[はい]をクリックする)またはパッチが既にリリースされている既知の脆弱性に依存していました。セキュリティ更新プログラムを最新の状態に保つことで、この攻撃経路を大幅に軽減できます。
c)ゼロデイ攻撃は対処するのが困難です。それがゼロ日である場合、定義により、あなたのアンチウイルスベンダーはまだその定義を出していません。防御を徹底的に実行し、最小特権の原則と可能な限り最小の攻撃面を持つことは、本当に役立ちます。つまり、この種の脆弱性に対してAVができることはあまりありません。
自分でリスク分析を行う必要がありますが、私の環境ではAVのメリットはリスクを補うほど重要ではないと思います。
これらの問題の多くは、まるで自宅のPCのようにサーバー上でAVを構成している人が原因であると感じています。これは、近視眼的な管理、緊張した手探り、さまざまなユーザー/マシンに対するさまざまなニーズを適切に考慮しない企業ポリシーの厳格な順守、またはまったく最初から十分ではなかった元の管理者による可能性がありますが、最終結果は同じ:大混乱。
理想的な世界では、「PCでそのままサーバーに別のAV製品を使用し、購入する前にproperサーバーAV製品であることを確認し、Word 'Symantec '耳のそばにそれを置いて、それをドアから捨てます。
私たちは通常、スケジュールに従ってAVをセットアップし、リアルタイムスキャンを使用しません(つまり、ファイルが作成されるときにスキャンされません)。
これにより、サーバーでAVを使用するときに発生するほとんどの問題を回避できるようです。誰も(理想的には)サーバー上で実際に何かを実行しているわけではないので、特にクライアントがリアルタイムのAVを持っていることを考えると、リアルタイム保護の必要性は減少します。
私たちはサーバーでVexiraのサーバー製品を実行していますが、効果よりも割引価格の機能の可能性があります。デスクトップ製品を使用している複数のワークステーションがあり、アンインストールして最新バージョンで再インストールしない限り、アップデートを拒否します。
数十のクライアントとの20年間のコインの反対側では、共有ドライブが感染していないドメインコントローラーを見たことがありません。それでも、ドライブに残っているファイルは感染のみで、実際のOS感染ではありません。効果の共有でさえ暗号ロッカーであり、実際にはサーバーに感染しないことが最もよく見られるマルウェアです。単に共有ファイルを暗号化します。ワークステーションが適切に保護されている場合、サーバーは暗号化されません。
私が見ているのは、問題を引き起こしているAVソフトウェアです。何が変わったのかを把握するために何時間も費やして、AVアップデートが問題の原因であることを見つけました。適切に構成されている場合でも、問題が発生しました。私は人々がベストプラクティスを教えてくれ、すべてがAVを実行することであることを知っています。私は誰かがいつかこれがすべてのサーバーでAVを持っていないために私を噛むと指摘するのを知っています。ほんの1年前までは、cryptolockerを見たことがなく、今ではかなり頻繁に亜種が存在します(これらはすべて、ワークステーションに正しくインストールされたいくつかの異なるブランドのAVで止められません)。サーバーに感染するウイルスを入力しますが、それまでは、SQL、印刷、およびDCサーバーのAVの問題に対処する必要がないことに満足しています。