我应该在域控制器上安装AV产品吗？

我应该在服务器（尤其是域控制器）上运行服务器专用的防病毒软件，常规的防病毒软件，或者根本不运行防病毒软件吗？

这是一些为什么我问这个问题的背景：

我从来没有质疑过防病毒软件应该在所有Windows计算机上运行。最近，我遇到了一些与Active Directory相关的模糊问题，这些问题可以追溯到域控制器上运行的防病毒软件。

特定的问题是Symantec Endpoint Protection正在所有域控制器上运行。有时，我们的Exchange服务器会依次在每个DC上触发Symantec“网络威胁防护”中的假阳性。耗尽对所有DC的访问权限后，Exchange开始拒绝请求，可能是因为它无法与任何Global Catalog服务器通信或无法执行任何身份验证。

一次中断大约持续十分钟，并且每隔几天就会发生一次。解决问题花了很长时间，因为它不容易重现，并且通常在问题解决后进行调查。

即使已采取其他威胁防御措施，防病毒软件也应绝对在适当管理的网络中的所有计算机上运行。它也应该在服务器上运行，这有两个原因：1）它们是您环境中最关键的计算机，比客户端系统要多得多； 2）它们之所以受到威胁的原因仅仅是因为没有人积极使用（或至少应该没有积极地使用它们）来网上冲浪：有很多恶意软件，即使可以容纳单个主机，也会自动在您的网络中传播。

也就是说，您的问题与正确配置防病毒软件有关。

您正在使用的产品带有内置防火墙：在服务器系统上运行该产品时应予以考虑，并对其进行相应配置（或完全关闭）。

几年前，如果防病毒软件偶然发现存储在物理数据文件中的某些电子邮件中的病毒签名，就会以随机删除Exchange数据库而闻名。每个反病毒软件供应商都在产品手册中对此进行了警告，但是有些人仍然无法理解它，从而使商店陷入困境。

没有没有您可以三思而后行的软件，便可以“安装并运行”。

我们所有的服务器（包括文件/ sql / exchange）都通过实时扫描和每周计划扫描来运行Symantec Antivirus。对于平均工作负载，该软件将计算机的负载增加了约2％（无实时扫描的一天中平均cpu使用率为10％，在我们的文件服务器上进行实时扫描时，平均为11.5-12.5％）。

这些核心什么也没做。

YMMV。

我一直在所有Windows服务器上启用了按访问扫描功能的AV软件，对此不胜感激。您需要既有效又行为良好的软件。虽然我知道有些人会不同意，但我必须告诉您，Symantec（赛门铁克）可能会做出一个糟糕的选择。

“多合一”类型的软件包很少像选择的单个组件那样有效（例如，我还没有见过像样的示例）。选择所需的保护，然后分别选择每个组件以实现最佳保护和性能。

要注意的一件事是，可能没有一款具有像样的默认设置的AV产品。这些天大部分时间用于扫描读取和写入。那样很好，但通常会导致性能问题。有时很糟糕，但是当您的DC出现问题时则非常糟糕，因为在AV扫描仪检查它时，它需要访问的文件已被锁定。大多数扫描仪还会扫描大量甚至无法被感染的文件类型，因为它们无法包含活动代码。检查您的设置并酌情进行调整。

我将对此线程的普遍答案提供一个反驳。

我认为您不应该在大多数服务器上运行防病毒软件，但文件服务器除外。它所需要的只是一个错误的定义更新，您的防病毒软件很容易破坏重要的应用程序或完全停止您域中的身份验证。而且，尽管反病毒软件多年来在性能方面取得了长足的进步，但某些类型的扫描可能会对I / O或内存敏感应用程序产生负面影响。

我认为在服务器上运行防病毒软件有很多有据可查的缺点，那么有什么好处呢？从表面上看，您已经保护了服务器免受通过边缘防火墙过滤或引入网络的任何麻烦。但实际上您是否受到保护？这还不是很清楚，这就是原因。

似乎大多数成功的恶意软件的攻击媒介都可以分为三类：a）依靠无知的最终用户意外下载它，b）依靠操作系统，应用程序或服务中存在的漏洞，或者c）零时差利用。对于运行良好的组织中的服务器，这些都不应该是现实的或相关的攻击向量。

a）不要在您的服务器上浏览Internet。做完了。认真地说，就是不要这样做。

b）还记得NIMDA吗？红色代码？他们的大多数传播策略都依赖于社会工程（最终用户单击“是”）或已发布补丁程序的已知漏洞。您可以通过确保与时俱进的安全更新来显着缓解此攻击媒介。

c）零日漏洞很难处理。如果是零时差，根据定义，您的防病毒供应商尚无此定义。进行深度防御，最小特权原则和尽可能小的攻击面确实很有帮助。简而言之，针对这些类型的漏洞没有多少AV可以做。

您必须自己进行风险分析，但是在我的环境中，我认为AV的优势还不足以弥补风险。

我们通常按计划设置AV，并且不使用实时扫描（即，在创建文件时不会对其进行扫描）。

这似乎可以避免在服务器上安装AV带来的大多数问题。由于没有人（理想情况下）实际上在服务器上运行任何东西，因此减少了对实时保护的需求，尤其是考虑到客户端具有具有实时功能的AV。

我们在服务器上运行Vexira的服务器产品，但这可能更多是打折价格而不是有效性。我们有多个使用其台式机产品的工作站，除非我们卸载并重新安装最新版本，否则它们将拒绝更新。

我感觉到这些问题很多是由于人们在服务器上配置AV所致，就好像它们是家用PC一样。这可能归因于短视的管理，杂乱无章的bean计数器，对公司策略的严格遵守，这些策略没有适当考虑不同用户/机器的不同需求，或者是前管理员还没有完全掌握，但是最终结果是一样：浩劫。

在理想的情况下，我会说：“在服务器上使用与PC上不同的AV产品，在购买之前，请确保它是正确的服务器AV产品，并抓住耳朵上带有“ Symantec”字样的任何东西。把它扔出去”。

在20年来与数十个客户交流的另一面，我从未见过没有共享驱动器被感染的域控制器。即使那样，仅感染文件仍留在驱动器上，而不是实际的OS感染文件。我们看到最多甚至影响共享的恶意软件是cryptolocker，并且实际上并未感染服务器。它只是加密共享文件。如果工作站受到适当的保护，则服务器将不会被加密。

我看到的是AV软件引起了问题。我花了几个小时试图找出仅是为了查找AV更新而引起的更改。即使配置正确，我也看到了问题。我知道人们会告诉我最佳实践，所有这些都是运行AV。我知道有人会指出，有一天这会因为没有在每台服务器上安装AV而使我感到痛苦。直到大约一年前，我们还没有看到过加密锁，现在我们经常进行变种（顺便说一下，所有这些变种都无法通过正确安装在工作站上的几种不同品牌的AV来阻止。）也许有一天，还会有另一种蠕虫类型的病毒会感染服务器，但在那之前，我很高兴不必在我的SQL，打印和DC服务器上处理AV问题。

我意识到这个线程已经很老了，但是我觉得这个话题还没有被完全讨论，因为唯一提到的就是DC服务器上的Anti-Virus aka，即“ AV”软件保护。

1.）我认为软件AV的有效性已经走了很长一段路，但也存在一些陷阱。在生产环境中，不仅AV可能会引起故障，而且AV倾向于消耗内存而不释放内存，这不好，您真的能负担得起吗？哎哟。

2.）考虑一下...如果您的第一道防线开始在DC和其他服务器上，那么您已经失败了一半。为什么有人要在服务器内部开始防御计划？？？？开始努力在网络宇宙的核心建立对威胁的积极抵抗是疯狂的。在您的安全模型的这一层进行积极的防御，应该意味着您的网络已被黑客抹杀，并且您正试图在最后一次尝试中保存您的网络（是的，您的网络不再与外部任何设备连接，并且您正在内部积极地抗击感染），这对于在DC和其他服务器上开始防御应该是多么糟糕。在威胁出现在服务器上之前就可以过滤掉并主动防御威胁。为何如此？项目3

3.）这就是为什么某些CCIE / CCNP赚钱的原因。任何物有所值的组织都会从Cisco / Barracuda / Juniper购买某种类型的硬件，或者以其他方式获得适当的硬件解决方案（因为软件AV几乎不能满足需求）。大多数软件视音频（甚至经常被吹捧为Symantec，McAfee，Norton等，等等的企业版，等等...）也几乎无法为您提供与Cisco的IronPorts安装或其他类似产品相同的保护。任何主要供应商。仅需IT部门预算中的一万美元，您就可以得到非常受人尊敬的保护，软件视音频根本无法为您提供保护。

4.）我将软件AV缩小了，因此请允许我将其备份。对我来说，在任何“用户”工作站/ PC上都必须安装软件AV，无一例外。它们可以防止来自外部的未知或恶意破坏/破坏您的网络，例如，他们从家里带入了闪存驱动器，并试图将前一天晚上在家做的一些工作复制到工作站上。这是拥有良好软件AV的唯一最大原因。这就是为什么发明了AV软件（维也纳病毒）的原因，而没有其他原因，......几乎忘记了真正的原因...抢钱，好吧，nm。

5.）无论如何...您的DC并不会真正受益或受阻于其上的软件AV。您的数据库服务器，Web服务器将遭受苦难，除非您确实受到已知和持续的攻击（否则，您将没有软件AV）（由于IronPort等原因，您会第一手知道这一点，...在第3点中提到）。

6.）最后但并非最不重要的一点，如果您不能负担得起Cisco或Juniper提供的出色安装，请使用Linux！如果您有一台或两台备用计算机，请使用适用于您网络的一些OpenSource解决方案来检查您的选择...它们功能强大...并且如上面选择的答案突出显示，必须正确配置它们。还记得我在说的CCIE / CCNP家伙吗？是的