ドメインコントローラーにAV製品をインストールする必要がありますか？

サーバー、特にドメインコントローラーでサーバー固有のウイルス対策、通常のウイルス対策、またはウイルス対策をまったく実行しないでください。

これがなぜ私がこの質問をしているのかについての背景です：

私は、ウイルス対策ソフトウェアがすべてのWindowsマシンで実行されているべきだと疑問に思ったことはありません。最近、Active Directoryに関連する不明瞭な問題があり、ドメインコントローラーで実行されているウイルス対策ソフトウェアまで追跡しました。

具体的な問題は、Symantec Endpoint Protectionがすべてのドメインコントローラーで実行されていることでした。場合によっては、Exchangeサーバーが各DCのシマンテックの「ネットワーク脅威防止」で誤検知を順番にトリガーしました。Exchangeは、すべてのDCへのアクセスを使い果たした後、おそらくグローバルカタログサーバーと通信できなかったか、認証を実行できなかったために、要求を拒否し始めました。

停止は一度に約10分間続き、数日に1回発生します。問題を簡単に再現することができず、問題が自動的に解決した後、一般的に調査が行われたため、問題を特定するのに長い時間がかかりました。

ウイルス対策ソフトウェアは、他の脅威防止策が講じられている場合でも、適切に管理されたネットワーク内のすべてのマシンで確実に実行されている必要があります。次の2つの理由により、サーバーでも実行する必要があります。1）クライアントシステムよりもはるかに環境内で最も重要なコンピューターであり、2）誰もアクティブに使用していない（または少なくとも必要がある）それらを積極的に使用していない）Webサーフィンのためにそれらを使用する：単一のホストをつかまえることができる場合、ネットワーク全体に自動的に広がるマルウェアがたくさんあります。

とはいえ、問題はウイルス対策ソフトウェアを適切に構成することに関連しています。

使用している製品にはファイアウォールが組み込まれています。これは、サーバーシステムで実行するときに考慮に入れ、それに応じて構成する（またはまったくオフにする）必要があるものです。

数年前、ウイルス対策ソフトウェアは、物理データファイルに格納された電子メールメッセージ内のウイルス署名に偶然遭遇した場合に、Exchangeデータベースをランダムに削除することで有名でした。すべてのアンチウイルスベンダーは製品マニュアルでこれについて警告しましたが、一部の人々はまだそれを把握できず、店舗に迷惑をかけました。

何をしているのかよく考えずに「インストールして実行する」だけのソフトウェアはありません。

すべてのサーバー（file / sql / exchangeを含む）はSymantec Antivirusを実行しており、リアルタイムスキャンと毎週の定期スキャンが実行されます。ソフトウェアは、平均的なワークロードの場合、マシンの負荷を約2％増加させます（リアルタイムスキャンを行わない日中の平均CPU使用率は10％、ファイルサーバーでのリアルタイムスキャンでは11.5-12.5％）。

それらのコアはとにかく何もしていませんでした。

YMMV。

私は常にすべてのWindowsサーバーでオンアクセススキャンを有効にしたAVソフトウェアを使用しており、何度も感謝しています。効果的で動作の良いソフトウェアが必要です。私は反対する人が何人かいることを知っていますが、シマンテックはあなたがすることができるのと同じくらい悪い選択であることをあなたに伝えなければなりません。

「オールインワン」タイプのパッケージは、選択した個々のコンポーネントと同じくらい効果的であることはめったにありません（例として、まともな例はまだ見たことがありません）。保護に必要なものを選択し、各コンポーネントを個別に選択して、最高の保護とパフォーマンスを実現します。

注意すべきことの1つは、まともなデフォルト設定を持つAV製品がおそらくないことです。最近では、読み取りと書き込みの両方をスキャンするようになっています。それは良いことですが、パフォーマンスの問題につながることがよくあります。AVスキャナーがチェックしている間、アクセスする必要のあるファイルがロックされているため、DCに問題がある場合は、いつでも十分に悪いです。ほとんどのスキャナーは、アクティブなコードを含めることができないため感染することもできない非常に多くのファイルタイプをスキャンします。設定を確認し、慎重に調整してください。

このスレッドへの一般的な答えに対抗するポイントを提供します。

ファイルサーバーを除いて、ほとんどのサーバーでウイルス対策ソフトウェアを実行している必要はないと思います。必要なのは1つの不正な定義の更新だけであり、ウイルス対策ソフトウェアは重要なアプリケーションを簡単に破壊したり、ドメイン内の認証を完全に停止したりする可能性があります。また、AVソフトウェアはそのパフォーマンスへの影響で長年にわたって大幅な進歩を遂げてきましたが、特定の種類のスキャンは、I / Oまたはメモリの影響を受けやすいアプリケーションに悪影響を及ぼす可能性があります。

サーバー上でウイルス対策ソフトウェアを実行することには、十分に文書化された欠点があると思います。表面的には、エッジファイアウォールを介してフィルタリングされたり、ネットワークに導入されたりする悪質なものからサーバーを保護しています。しかし、本当にあなたは保護されていますか？それは完全に明確ではなく、ここに理由があります。

最も成功したマルウェアは、3つのカテゴリに分類される攻撃ベクトルを持っているようです：a）誤ってダウンロードするために無知のエンドユーザーに依存する、b）オペレーティングシステム、アプリケーション、またはサービスに存在する脆弱性に依存する、またはc）ゼロデイ悪用。これらはどれも、適切に運営されている組織のサーバーに対する現実的または関連する攻撃ベクトルであってはなりません。

a）あなたはあなたのサーバーでインターネットをサーフしてはなりません。完了しました。真剣に、それをしないでください。

b） NIMDAを覚えていますか？コード・レッド？それらの伝播戦略のほとんどは、ソーシャルエンジニアリング（エンドユーザーが[はい]をクリックする）またはパッチが既にリリースされている既知の脆弱性に依存していました。セキュリティ更新プログラムを最新の状態に保つことで、この攻撃経路を大幅に緩和できます。

c）ゼロデイ攻撃は対処するのが困難です。それがゼロ日である場合、定義により、あなたのアンチウイルスベンダーはまだその定義を出していません。多層防御、最小特権の原則、および可能な限り最小の攻撃面を持つという原則は、本当に役立ちます。つまり、この種の脆弱性に対してAVができることはあまりありません。

リスク分析は自分で行う必要がありますが、私の環境ではAVのメリットはリスクを補うほど重要ではないと思います。

私たちは通常、スケジュールに従ってAVをセットアップし、リアルタイムスキャンを使用しません（つまり、ファイルが作成されるときにスキャンされません）。

これにより、サーバーでAVを使用するときに発生するほとんどの問題を回避できるようです。誰も（理想的には）サーバー上で実際に何かを実行しているわけではないので、特にクライアントがリアルタイムのAVを持っていることを考えると、リアルタイム保護の必要性は減少します。

私たちはサーバーでVexiraのサーバー製品を実行していますが、効果よりも割引価格の機能の可能性があります。アンインストールして最新バージョンで再インストールしない限り、更新を拒否するデスクトップ製品を使用するワークステーションがいくつかありました。

これらの問題の多くは、まるで自宅のPCのようにサーバー上でAVを構成している人が原因であると感じています。これは、近視眼的な管理、緊張した手探り、さまざまなユーザー/マシンに対するさまざまなニーズを適切に考慮しない企業ポリシーの厳格な順守、またはまったく最初から十分ではなかった元の管理者に原因がある可能性がありますが、最終結果は同じ：大混乱。

理想的な世界では、「PCでそのままサーバーに別のAV製品を使用し、購入する前に、それが適切なサーバーAV製品であることを確認し、耳に 'Symantec'と書かれているものをつかんでください。それをドアから捨てなさい」。

数十のクライアントを持つ20年間のコインの反対側では、共有ドライブが感染していないドメインコントローラーを見たことがありません。それでも、ドライブに残されたファイルは感染のみで、実際のOS感染ではありません。効果の共有でさえ暗号ロッカーであり、実際にはサーバーに感染しないことが最もよく見られるマルウェアです。単に共有ファイルを暗号化します。ワークステーションが適切に保護されている場合、サーバーは暗号化されません。

私が見ているのは、問題を引き起こしているAVソフトウェアです。何が変わったのかを把握するために何時間も費やして、AVアップデートが問題の原因であることを見つけました。適切に構成されている場合でも、問題が発生しました。私は人々がベストプラクティスを教えてくれ、すべてがAVを実行することであることを知っています。私は誰かがいつかこれがすべてのサーバーにAVを持っていないために私を噛むと指摘するのを知っています。ほんの1年前までは、cryptolockerを見たことはなく、今ではかなり頻繁に亜種が存在します（これらはすべて、ワークステーションに正しくインストールされたいくつかの異なるブランドのAVで止められません）。サーバーに感染するタイプのウイルスですが、それまでは、SQLサーバー、プリントサーバー、DCサーバーのAVの問題に対処する必要がありません。

このスレッドはかなり古いものだと思いますが、DCサーバー上のアンチウイルス、つまり「AV」ソフトウェアの保護に関してのみ言及されていたため、このトピックは完全には議論されていないと感じました。

1.）私の意見では、ソフトウェアAVは効果的に長い道のりを歩んできましたが、まだ落とし穴があります。AVは潜在的にバグが多いだけでなく、AVはメモリを消費して解放しない傾向があり、実稼働環境では良くありません。本当にそれを買う余裕がありますか？痛い。

2.）考えてみてください... DCと他のサーバーで最初の防御線が始まった場合、すでに中途半端に負けています。なぜ誰もがサーバーの内側で防御スキームを開始したいのですか???? 脅威に対する積極的な抵抗をネットワークユニバースの中心に置く努力を始めるのは、非常識です。セキュリティモデルのこの層でアクティブな防御を行うことは、ネットワークがハッカーによって破壊され、最後の溝の試みでネットワークを保存しようとしていることを意味します（そうです、ネットワークはもはや外部の何にも接続されておらず、あなたは積極的に内部で感染と戦っています）、これはDCと他のサーバーで防御を開始するためにこれがどれほど悪いはずであるかです。脅威がサーバーに侵入するずっと前に、脅威を除外して積極的に防御します。どうして？アイテム3。

3.）これが、一部のCCIE / CCNPが大金を稼ぐ理由です。有能な組織は、Cisco / Barracuda / Juniperから何らかのハードウェアを購入するか、ハードウェアソリューションを導入します（ソフトウェアAVがマスタードの切断に近づかないため）。ほとんどのソフトウェアAV（Symantec、McAfee、NortonなどのEnterpriseバージョンとしてよく宣伝されています）は、CiscoのIronPortsセットアップまたは他の類似の製品と同じ保護を提供することはできません主要ベンダー。IT部門の予算からわずか1万ドルで、ソフトウェアAVでは提供されない非常に立派な保護を受けることができます。

4.）ソフトウェアAVのサイズを切り刻んだので、バックアップを作成できるようにします。私にとってソフトウェアAVは、例外なく、「ユーザー」ワークステーション/ PCの必須アイテムです。彼らは、知らないまたは悪意のあるユーザーがネットワークを外部ソースから傷つけたり破壊したりするのを防ぎます。たとえば、自宅からフラッシュドライブを持ち込み、前夜自宅で行った作業の一部をワークステーションにコピーしようとしました。この領域が、優れたソフトウェアAVを持つ最大の理由の1つです。これが、ソフトウェアAVが発明された理由です（ウィーンウイルス）。他の理由もなく、おっと...本当の理由をほとんど忘れてしまいました...

5.）とにかく...あなたのDCが実際にソフトウェアAVを利用することで利益を得たり、妨げられたりすることはありません。実際に既知の持続的な攻撃を受けていない限り、DBサーバー、Webサーバーは影響を受けず、ソフトウェアAVは発生しません（これは、IronPortsなどの理由で直接知っています...ポイント3で説明されています）。

6.）最後に重要なことですが、CiscoまたはJuniperから適切なセットアップを行う余裕がない場合は、Linuxを使用してください。予備のマシンが1つか2つある場合は、ネットワークで使用できるいくつかのOpenSourceソリューションを使用してオプションを確認してください。強力です。上記の選択された回答が強調表示されているため、正しく構成する必要があります。私が話していたCCIE / CCNPの男を覚えている… うん。