Webサーバーにウイルス対策をインストールします。これは良い考えですか？

Windows 2008 Standard Editionを備えた専用サーバーを入手し、その上でWebアプリを実行するために必要な構成をしようとしています。

疑問に思っていましたが、Webサーバーにウイルス対策ソフトウェアをインストールすることをお勧めしますか？アプリでは、ユーザーは画像以外のファイルをアップロードできません（サーバーに保存する前にアプリコードで画像であることを確認しました）。パフォーマンスに影響を与えたり、アプリのトラブルを引き起こさないために、ウイルス対策ソフトウェアをインストールしないことをお勧めします。これを行うことで何かを見逃すことはありますか？

ありがとう

IMHOに商用のアンチウイルス（AV）パッケージがインストールされていない場合、適切に実行されるWebサーバーになります。AVパッケージが最適化されるOfficeマクロウイルスとマスマーケットトロイの木馬の種類は、Webサーバーの問題とあまり一致しません。

あなたがすべきことは：

1. 絶対に入力検証に取りつかれます。例：ユーザーが悪意のあるコンテンツをサイトにアップロードできない（ウイルス、SQLインジェクションなど）; クロスサイトスクリプティング攻撃などに対して脆弱ではないこと
2. サーバーに最新のセキュリティ更新プログラムを適用し、ベストプラクティスに従って構成してください。Microsoftのセキュリティツールキットのようなものを見てください。
3. 個別のファイアウォールを使用します。侵入に関してはあまり役に立ちませんが、誤って設定されたネットワークサービスに対する別の防御層を追加し、単純なDOS攻撃を助けます。また、リモート管理の可能性をロックダウンするのにも役立ちます。
4. ホスト侵入検知システムをインストールする由緒あるTripwireのラインに沿って、サーバーに（H-IDS）をします。

用語については多くの混乱があります。ここでは、言葉が多くの異なる方法で使用されることがよくあります。明確にするために、ここでH-IDSが意味することは次のとおりです。

• コンピューター上のサービス
• コンピューター上のすべての実行可能ファイルを継続的にチェックサムします
• 実行可能ファイルが追加されるたびにアラートをスローしますまたは変更されると（許可なしで）。

実際には、優れたH-IDSは、ファイルのアクセス許可、レジストリアクセスなどを監視するなど、これよりもやや多くのことを行いますが、上記の要点がわかります。

ホスト侵入検知システムは、適切に設定されていないと多くの誤ったエラーを発生させる可能性があるため、いくつかの構成を取ります。しかし、一度実行すると、AVパッケージよりも多くの侵入をキャッチします。特に、H-IDSは、市販のAVパッケージではおそらく検出されない、独自のハッカーバックドアを検出する必要があります。

H-IDSはサーバーの負荷も軽くなりますが、これは副次的な利点です。主な利点は検出率の向上です。

今、リソースが限られている場合。市販のAVパッケージと何もしないのどちらかを選択する場合は、AVをインストールします。しかし、それは理想的ではないことを知ってください。

場合によります。不明なコードを実行していない場合、不要なコードである可能性があります。

ウイルスに感染したファイルがある場合、ファイル自体は無害ですが、ハードドライブ上にあります。一度実行すると有害になります。サーバーで実行されるすべてを制御していますか？

わずかなバリエーションは、ファイルのアップロードです。サーバーに対しては無害です-操作されたイメージまたはトロイの木馬が感染した.exeをアップロードしても、何も起こりません（実行しない限り）。ただし、他の人が感染ファイルをダウンロードした場合（または操作された画像がページで使用された場合）、PCが感染する可能性があります。

サイトでユーザーが他のユーザーに表示またはダウンロード可能なものをアップロードできるようにしている場合は、Webサーバーにウイルススキャナーをインストールするか、すべてのファイルをスキャンするネットワーク内に何らかの「ウイルススキャンサーバー」を配置します。

3番目のオプションは、Anti-Virusをインストールするが、オフアクセス時にスケジュールスキャンを優先してオンアクセススキャンを無効にすることです。

そして、この答えを完全に180°方向転換するには、通常、後悔するよりも安全である方が良いです。Webサーバーで作業している場合、誤って誤ったファイルをクリックして大破するのは簡単です。確かに、何千回も接続してファイルに触れることなくRDPで何かをすることができますが、1001回目は誤ってそのexeを実行して後悔することになります。インターネットからのコードも同様です）、ネットワーク全体で集中的なフォレンジックを実行する必要があります。

それがWindowsベースの場合、あなたがそう言ったと思います。また、何らかの形のホスト侵入検知（サーバー上で変更されているファイルを監視/監査し、変更を警告するプログラム）を見つけようとします。

理由だけであなたは、サーバー上のファイルを変更していないリモートからサーバー上の変更ファイルに他の誰かを許可するバッファオーバーフローや脆弱性が存在しないことを意味するものではありません。

脆弱性がある場合、エクスプロイトが存在するという事実は、通常、発見から修正の配布までの時間内に知られ、修正を取得して適用するまでに時間の余裕があります。当時は通常、何らかの形で自動化されたエクスプロイトが利用可能であり、スクリプトキディがそれを実行してボットネットワークを拡大しています。

これはAVにも影響することに注意してください。新しいマルウェアが作成され、マルウェアが配布され、サンプルがAV会社に送られ、AV会社が分析し、AV会社が新しい署名をリリースし、署名を更新し、「安全」であると考えられ、サイクルを繰り返します。「接種」される前に自動的に広がるウィンドウがまだあります。

理想的には、TripWireまたは同様の機能など、ファイルの変更をチェックして警告するものを実行し、システムが危険にさらされた場合にログが変更されないように、使用から隔離された別のマシンにログを保持することができます。問題は、ファイルが新規または変更として検出されるとすでに感染しており、感染したり侵入者が侵入したりすると、マシンに他の変更が加えられていないことを信用するのが遅すぎることです。誰かがシステムをクラックした場合、他のバイナリを変更した可能性があります。

次に、チェックサムとホスト侵入ログ、およびルートキットとそこにある可能性のある代替データストリームファイルを含むすべてをクリーンアップした独自のスキルを信頼するかどうかの質問になりますか？または、侵入ログは少なくともそれがいつ発生したかを示す必要があるため、「ベストプラクティス」を実行し、バックアップから消去して復元しますか？

サービスを実行しているインターネットに接続されているシステムは、潜在的に悪用される可能性があります。インターネットに接続されているが、実際にはどのサービスでも実行されていないシステムがある場合は、おそらく安全だと思います。Webサーバーはこのカテゴリに該当しません:-)

はい、いつも。スーパーユーザーからの私の答えを引用：

インターネットに接続されている可能性のあるマシンに接続されている場合は、絶対に可能です。

利用可能な多くのオプションがあります。私は個人的にマカフィーやノートンが好きではありませんが、彼らはそこにいます。AVG、F-Secureもあります、ClamAVのは、（Win32のポートがアクティブでなくなったが）、私は数百人が、より確信している:)

マイクロソフトはこれに取り組んでいます。ベータ版以外でもまだ利用可能かどうかはわかりませんが、存在します。

@ J Pabloが言及したClamWin。