или "уменьшите угол" »
верно.
Опять двадцать пять... Чтобы не повторяться - прочитайте все сообщения с самого начала. »
я прочитала всё с самого начала и это уже, ЕМНИП, не первый спор с вами.
продолжать дискуссию дальше я не вижу смысла - вас не переубедить, а мне от вашего мнения ни холодно, ни жарко. Скажу лишь то, что за последние 5 лет без антивирусов у меня не было ни одной вирусной эпидении, в компаниях где число хостов измеряется сотнями, с ОС Windows XP/7 и безальтернативным браузером IE.
Антивирусы сейчас содержат в себе файерволы, аналоги SRP и т.п. »
а результирующую политику они тоже показывают?

cameron, правильно ли я понимаю, что при перечисленных вами факторами - АВ действительно не нужен?
Но если ИБ нет в полном объёме, в этом случае АВ сможет уменьшить угрозы или нет? хоть на чуть-чуть...

Скажу лишь то, что за последние 5 лет без антивирусов у меня не было ни одной вирусной эпидении »
отлично. я сам два месяца без антивируса на сервере 2012 (в качестве рабочей станции) - вроде норм.

правильно ли я понимаю, что при перечисленных вами факторами - АВ действительно не нужен? »
нужен или нет - это решение каждого отдельного взятого специалиста ИТ.
Но если ИБ нет в полном объёме »
то, что я написала - тоже не всеобъемлющая ИБ.
в этом случае АВ сможет уменьшить угрозы или нет? хоть на чуть-чуть... »
любое средство предотвращения заражения является годным и действенным способом.
в данном топике, как и в прошлом, я лишь стараюсь донести до сознания коллег, что АВ это не панацея, а ИБ это не только какие-то части технологий, а комплекс мер, каждая из которых, по-одиночке, не является решением.
хотя и все они вместе взятые не дают 100% гарантии результата.

нужен или нет - это решение каждого отдельного взятого специалиста ИТ »
ваше мнение? имеет смысл ставить АВ на КД ?
я лишь стараюсь донести до сознания коллег, что АВ это не панацея, а ИБ это не только какие-то части технологий, а комплекс мер »
ТС спросил про антивирус на контроллере домена. тема плавно перешла в обсуждение ИБ...

вас не переубедить, а мне от вашего мнения ни холодно, ни жарко »
Аналогично - у вас своё видение ситуации, у меня своё. Однако на этом форуме задаются вопросы, которые вряд ли бы возникли в компаниях с идеальной средой. То есть ваше идеальное мировоззрение к этим компания неприменимо по определению, но вместо уточнения ситуации большинство советующих пытается навязать вопрошающему свою сугубо субъективную точку зрения, наплевав на положение дел у него в компании.
Умничать нынче могут все - давайте вместо этого будем грамотно отвечать на вопросы. Если человек спрашивает какие ему купить очки, не надо ему навязывать операцию на глаза и методы Мирзакарима Норбекова.

стараюсь донести до сознания коллег, что АВ это не панацея »
А обратного никто и не утверждал ни разу.
А я пытаюсь сказать, что не нужно бояться АВ и вешать на него несуществующих собак. Интернет пестрит.
И не говорил, что надо отбросить другие правильные методы и полагаться только на AВ.

в компаниях где число хостов измеряется сотнями »
Нехилая экономия на таком количестве.

xoxmodav, Можно я задам последние вопросы?
Что такое "неидеальная среда" с точки зрения ИТ?
Я что то не нашел определения не идеальной среде в ИТ.
Сами выдумали?

Rezor666, конечно же сам - с вами ведь по другому никак не получается. :) Вы всё время пытаетесь донести до мира, что в компаниях за ИБ должна отвечать служба ИБ, за сервера, сети и сервисы - служба ИТ, за конечную поддержку пользователей - служба техподдержки, начальник ИТ - крупный профессионал, имеющий влияние в компании на высшие сферы, директор должен всё понимать и без вопросов выделять средства айтишникам и наказывать всех недовольных... Что в компании всё должно быть как описано в мировых "Best Practices" и т.п. и т.д. Такое ощущение, что многие живут не в этой реальности, а в параллельных сказочных мирах. Многие делают распальцовку, рассказывая как надо делать в крупных компаниях с сотнями компьютеров, однако быстро сдают назад когда им предлагают решить весьма несложные задачи (типа использования SRP на промышленном предприятии, у которого пара сотен разработчиков ваяют ПО, пишут драйвера к устройствам и т.п.). Понятное дело, что когда у тебя хоть и крупная, но весьма специфичная компания, то и круг задач в ней минимален, а следовательно унификация ПО, внедрение разносторонних практик ИБ и ограничений проходят на ура. Однако кроме компаний, которые занимаются перепродажей (а это 70-80% от всех компаний) есть ещё научно-производственные предприятия, которые сами разрабатывают, производят и продают. Если первым достаточно набора из офиса, 1с и какой-нибудь ERP/CRM-системы, то вторым этого хватит разве только нескольким отделам - экономистам, бухгалтерии и снабжению.

Опять же - имеется куча компаний, которые не уделяют достаточного внимания развитию ИТ-службы (ну или не могут себе этого позволить), в связи с чем нанимается начинающего уровня администратор (или берётся из уже имеющихся сотрудников самый разбирающийся), который постепенно начинает осваивать специальность сисадмина. Этот человек читает статьи, общается на форумах и не боится задавать вопросы. Через какое-то время он сам начнёт поучать новичков, но энное количество лет будет вопрошающим и изучающим. К тому же стоит вспомнить ещё и о том, что нынче дефицит адекватных и образованных кадров (особенно в регионах), а в ВУЗах профессионалов уже давно не готовят.

Вот из-за всего этого я и придумал термин "идеальная среда", чтобы хоть как-то до вас донести тот факт, что если человек задаёт подобный вопрос - значит у него изначально "неидеальная среда" и все ваши умные высказывания по тому как и что должно быть ему особо-то и не нужны. При желании он почитает Best Practices от гораздо более известных и профессиональных специалистов в той или иной среде, сейчас же ему нужен ответ на весьма простой вопрос с обоснованием ответа, дабы он сам смог определить - насколько этот ответ подходит к его ситуации.

xoxmodav, ну то что первое это рай это точно.
Но давайте взглянем чуть иначе.
У меня на работе на одной из фирм не идеальная среда. Всего 2 сервера, денег почти не выделяют, на ИБ и ИТ всем пофигу.
Но это не помешало мне поднять все то что у них есть сейчас, заявки снижены до минимума, вирусных эпидемий не разу не было, хитрая система от чужаков не дает угнать пароли.
И нету у меня на серверах антивирусов, и не будет.

Есть и другая контора, где есть и начальник и антивирусы и деньги по 1 требованию, служба ИБ...
Сегодня сделал там пентест, упал инет + ушли пароли от почты + ушли пароли от icq, дальше даже копать не стал.
Ну и при чем тут среда?
Все зависит от того кто работает админом.
И давайте лучше говорить иначе, если новичок работает сразу админом то тут даже нам с Вами спорить не о чем, тут и антивирус не поможет и FSRM не выдержит.

ой, если вы обсуждаете ИБ в теме об АВ на сервере, не пишите офтопами... ппц вглядываться приходится... :clever-ma Спасибо.

exo, Разве на windows server 2012 нет экранной лупы? :cool: Хорошо.

Все зависит от того кто работает админом.
И давайте лучше говорить иначе, если новичок работает сразу админом то тут даже нам с Вами спорить не о чем, тут и антивирус не поможет и FSRM не выдержит. »
Со многим написанным согласен, однако вывод расстроил - админы действуют в рамках того, что им разрешают основные службы организации (читай - отделы или личности имеющие наибольший удельный вес и влияние на руководство). И будь ты хоть крылатой феей, хоть злобным троллем, хоть рогатым минотавром - всё решит за тебя руководство. Если оно скажет "не трогать админские права у пользователей и игрушки не сметь запрещать", то можно утереться и забыть про множество полезных функций групповых политик Windows. )) Скажут не запрещать флешки и установку пользователями программ - сделать это сможешь только в виде протеста перед увольнением. :)

А антивирус для неидеальных сред - одно из самых простых и надёжных решений (надёжных в плане того, что от 95% самых распространённых угроз он защитит и без тонкой настройки - сразу "из коробки").

При этом, гайки уже можно докручивать при установленном и работающем антивирусе, который осуществляет хоть какую-то защиту, в отличии от тех же SRP и FSRM, которые без тонкой настройки - пустышка.

xoxmodav, Админы в таких конторках и не работают, почти сразу уходят.
Это уже аутсорсинговые компании там сидят.
К тому же админ должен убедить начальника и рассказать преимущества а не просто "хочу SRP".
что от 95% самых распространённых угроз »
Если бы он защищал я стал бы ставить SRP? Или считаете мне делать нечего было?

Все же мы отошли даже от темы на счет АВ на ФС. Ответ автору дан еще на 1 странице и 5 страниц интересного материала.
А если Вы хотите продолжить дискуссию то предлагаю или в ЛС или создать тему ну или в ICQ написать. :)

В одной компании, где я работал было две сети.
Вторая была для 1C. Она была гальванически не связана с внешним миром. Со своим доменом.
Пользоваться флешкой было разрешено только ГБ и замГБ. Вот эти два компа и защищались капитально от вирусов. На остальных стояли бесплатные АВ. И права простых пользователей.
Фсё. Было две угрозы - флешка, и недоруки. А да, ГБ долго не хотела пользоваться флешкой... Только дискеты, только хардкор.


На сколько я знаю, сейчас пошли дальше - сделали третью гальванически несвязанную сеть.
Оно конечно не дешёво - по два системника\монитора установлено (у бухов нет третьей сети). Второй для почты и интернета. Зато только одна угроза - недоруки пользователей.

Все же мы отошли даже от темы на счет АВ на ФС »
вобще-т вопрос не о ФС, а КД...

Все сводится к тому, что считающему себя правильным админу запрещено опускаться до АВ на сервере.

вобще-т вопрос не о ФС, а КД... »
Это я о нашем разговоре с xoxmodav...
Severny, Да пускай опускается хоть до WOW на сервере терминалов, не горячо не холодно.
Каждый выбирает свое.

Админы в таких конторках и не работают, почти сразу уходят. »
Работают - куда им деваться-то? На всех работы в крупных компаниях не хватает, да и многие ли возьмут к себе новичка на обучение? Вы думаете админы из аутсорсинговых контор радеют за идеальный порядок? Как бы не так - многим из них плевать что творится в конторах, главное чтобы прописанное в договоре с их стороны исполнялось и количество оплачиваемых работ/заявок не уменьшалось. :) Я пару раз сталкивался с работой аутсорсинговых компаний - мнение сложилось о них довольно негативное. Не сомневаюсь, что есть и нормальные аутсорсинговые компании, однако что-то мне подсказывает, что и берут за свои услуги они очень немало (особенно на начальных этапах обслуживания).

К тому же админ должен убедить начальника и рассказать преимущества а не просто "хочу SRP". »
Вот, тут мы приходим к тому, что админ должен быть не просто техническим специалистом, но ещё и оратором, убеждающим руководство своё или вышестоящее в необходимости перемен. Многие уже на этом этапе забьют - сетка работает, компы работают, сервера крутятся, следовательно и зарплата платится. А если платится зарплата, то какой смысл с кем-то бороться или что-то внедрять исключительно по своим идеологическим соображениям ежели безопасников и директоров и так всё вполне устраивает. Разве что только попытаться зарплату себе поднять или жизнь упростить. Но ... если жизнь и так проста - кто будет барахтаться, ища приключения на свою филейную часть? :)

Все же мы отошли даже от темы на счет АВ на ФС. »
Ну тут какбы спорный вопрос - автор темы либо получил желаемый ответ на свой вопрос, либо читает происходящую здесь дискуссию и пытается сделать какие-то выводы. Вообще я не стал бы ему хоть что-то рекомендовать, не уточнив сначала его ситуацию. Из первоначальных данных совершенно непонятно - что крутится на сервере кроме роли DC и службы DNS, для чего устанавливать антивирус, что он должен защищать и от кого.

Работают - куда им деваться-то? »
Не кто не говорит про крупную компанию а лишь о нормальном директоре который умеет оценивать риски.
Вы думаете админы из аутсорсинговых контор радеют за идеальный порядок? »
Нет конечно, работал в этой сфере так что знаю.
Вот, тут мы приходим к тому, что админ должен быть не просто техническим специалистом, но ещё и оратором, убеждающим руководство своё или вышестоящее в необходимости перемен. »
А как иначе...? Иначе только какраз в крупных и зарубежных компаниях

xoxmodav, Кстати в одной из компаний сеня на сервере с ФС и WSUS антивирус обнаружил не ладное в обновлениях WSUS и убил обновления...
Так что лишний раз убедился что не к чему он на сервере.

Не кто не говорит про крупную компанию а лишь о нормальном директоре который умеет оценивать риски. »
Проблема с адекватным руководством нынче практически аналогична проблеме с квалифицированным персоналом.

А как иначе...? Иначе только какраз в крупных и зарубежных компаниях »
ВЫ бывали на Платформах или TechEd'ах от Microsoft где докладчиками выступают не только маркетологи. У многих технарей-разработчиков проблемы с навыками общения.

xoxmodav, Кстати в одной из компаний сеня на сервере с ФС и WSUS антивирус обнаружил не ладное в обновлениях WSUS и убил обновления...
Так что лишний раз убедился что не к чему он на сервере. »
Хуже будет если обновление действительно окажется заражённым и разбредётся по всей сети. :)