Какой антивирус для сервера?
 

Подскажите, какой антивирус для сервера выбрать
Имею контроллер домена Win 2008 r2 и 20 пользователей
Посоветуйте новичку!
Почитал некоторые статьи.
Одни ставят DR WEB Enterprise Suite, другие kasperski Business Spase Security.
Что поставить на контроллер домена?
В инет смотреть не будет.
Заранее спасибо

на файловом сервере у меня установлен NOD32.
При этом пользовательские папки исключены из проверки, т.к. они проверяются на клиентских компьютерах так же NOD32.
В противном случае, открытие документов имеет задержку в несколько секунд.
На контроллере домена у меня нет антивируса. Там кроме роли AD DS ничего нет. Флешек не подключаем, в интернете не сёрфим. От остального защищает фаервол.

Ещё отключить USB порты и можно забить на антивирус. Зараза не передаётся воздушно-капельным путем.

novichok2012, лично я бы поставил лицензию Каспера, а наш администратор сети советовал сдваивать NOD32 и DR web в паре,но никто так не делал)

Моё мнение: на серверах антивирусные мониторы категорически запрещены.

поддерживаю WindowsNT

Я бы так не заявлял категорично, если сервер файловый.
У меня монитор не запущен хотя, но каждую ночку делает полную проверку KAV.

Severny, Это смотря что за файловый сервер. Если у вас там куча мусора то да. А если только документы то он там и не нужен.

Severny: я не задавал вопроса, будет ли кто-то говорить категорично. Я сообщил спрашивающему своё мнение; вы можете сообщить своё, если до сих пор воздерживались.
Сам на файловых серверах с помощью службы FSRM блокирую запись любых исполняемых файлов в домашние директории, равно как и в папку Общие документы.

мы отстали и обитаем на 2003 еще

Если вдруг пригодится, на 2003R2 тоже есть FSRM!

WindowsNT, эммм, поделитесь информацией - как противодействовать распространению заражённых файлов через файловые сервера в неидеальной среде (с точки зрения ИБ) с помощью службы FSRM.

Если среда "неидеальная" то противодействовать я предлагаю начинать не с а с увольнения админа и поиском нормального.

вот и пришёл нормальный, но:
а мы уже увольнять готовы за простые вопросы.

Зависит от компании.
Чем? Чем FSRM хуже? Банально на файловый сервер не смогут писаться исполняемые файлы, а зачем тогда антивирь?
К тому же не факт что антивирус найдет вирус.
exo, Я бы за такие вопросы тоже увольнял.

Существуют файловые вирусы. Он будет жить в ОЗУ, пока запущен зараженный "разрешенный" файл или до ребута. И не надо ему никуда "писаться". Небезызвестному пинчеру этого было достаточно, чтобы увести пассы и открыть дверку.
Помним руткиты типа tdss, которым и разделы то не нужны.
Толку от этого антивируса "какого". Утверждать обратное - флейм, если мы говорим не об антивирусах, как таковых, а о конкретном продукте.
И что? Если он обеспечивает ширину канала, купленного у провайдера, то будет хоть 5 тысяч человек обслуживать, интернет от профессиональной железки шире не станет.
Твой же начальник не соединял с помощью него гигабитные сегменты сети, а наверняка ставил его после прокси. Так какая разница? Dir 300 дал вам количество закупленных мегабит, а вы уже разбирайте, насколько тарифный план куплен.

Severny, При чем тут оперативная память? Права админские на сервере только у меня, более админского доступа не у кого нету. Откуда вирус в оперативной памяти?
Ах да, SRP не даст пинчу на серваке запуститься.
Вы правда думаете что dir-300 успеет обработать столько пакетов? Собственно скажу сразу, не выдержал он.
Не было не каких прокси, он был шлюзом.

А вирус в оперативной памяти после того, как ты сам запустишь зараженный файловым вирусом екзешник. Не нужно исключать такой возможности.

Severny, зачем админу что то запускать из общей шары?

Это что, единственная возможность? Зараженный файл неоткуда больше взять?

Severny, если админ ставит софт со всяких трекеров это его вина.
Я беру с офф сайтов + качаю с обычного компа, с ограниченными правами и проверяю все антивирусом.

Rezor666, давай также запретим записывать файлы форматов DOC, XLS, PDF, DWG и т.п., которые также могут оказаться заражёнными. Только вот беда - окажется ведь, что только ради обмена такими файлами и приобретались файловые сервера. ))) Поэтому FSRM - не панацея для защиты файловых серверов в неидеальных компаниях.

xoxmodav, Эти файлы проверяться на самом клиенте. Зачем их проверять на файловом сервере?

Rezor666, эти файлы проверяются на клиентах в идеальной среде. В неидеальной среде антивирус на клиенте может быть отключен/не установлен/со старыми базами.

Да хотя бы взять 0day-зловред. Он не обнаружился на клиентских. А на серваке теперь уж совсем не обнаружится.
Пусть антивирус не мониторит сервер постоянно, но планируемая (в моем случае каждую ночь) проверка быть должна, ИМХО.

xoxmodav, А еще в неидеальной среде может быть выключен антивирус на сервере или вообще не быть сервера или файловым сервером может являться аппаратный NAS.
Так что давайте не выдумывать 1000 и 1 вариант зачем нужен антивирус на сервере.
Severny, Повторю, откуда взяться 0day на сервере? И кто его там запустит?
И не надо "а мало ли админ запустит". Если админ глупый то это не какой антивирус не поправит.

Rezor666, вы постепенно превращаетесь в WindowsNT, у которого либо всё по правильному только бывает, либо вообще никак. Если человек спрашивает про антивирус на сервере, то из этого можно сделать два вывода - либо он не разбирается в ИБ (а следовательно никто в его компании не разбирается в ИБ со всеми вытекающими из этого выводами про существование неидеальной среды), либо у него как раз такая неидеальная среда, когда гайки закрутить ну никак нельзя, но хоть как-то подстраховаться - просто жизненно необходимо.

xoxmodav, При чем тут WindowsNT? Я не предлагаю не ставить антивирусы на клиентские ПК а лишь говорю что они на серверах вообще не нужны.
Да откуда вы вообще взяли неидеальную среду? Во всех компаниях я ввожу подобное и собственно проблем не каких нету. Пользователям FSRM ну не как не мешает.
Если есть администратор то он должен администрировать сервера а не просто ставить антивирусы.

Rezor666, я его привёл как пример того, что компаний с идеальными условиями не так много, чтобы настаивать на обязательном и повсеместном применении всех имеющихся технологий по наведению порядка и закручиванию гаек. Он же неоднократно с этим спорил и настаивал на том, что таких компаний просто не бывает или виной такому только сам администратор.

Администратор администратору рознь - опять же в каких-то компаниях есть выделенные администраторы под определённые сервисы, а в каких-то администратор сочетает в себе кучу всяческих служб, задач и обязанностей. В таком случае у него не так много времени, чтобы заниматься изучением и настройкой только серверов. Опять же есть куча новичков с различного рода образованием, которые только начинают свою карьеру системного администратора. Да и вообще в жизни много всяких разных НО, ЕСЛИ, ВОТ ЕСЛИ БЫ и т.п. Не надо всех мерить по себе и пытаться "постричь под одну гребёнку" - надо пытаться помогать людям в различных ситуациях, иначе не дай бог кто-нибудь из профи мирового масштаба сравнит себя и вас и ... сделает неутешительный вывод. :)

Возвращаемся к неидеальной среде и нашим баранам ))), расскажите - как защищать компьютеры в сети без установленного антивирусного ПО от заражения через файловые сервера с помощью технологии FSRM?

из крайности в крайность.
на сервере значит FSRM есть, а клиенты голые?
ИБ - это комплекс мер, то есть:
- GPO
- SRP
- FSRM
- контроль на шлюзе
- ограниченые права
- обновления ОС и, что важнее, продукции Adobe/Sun
- Firewall
- строгий регламент ПО, как на рабочих станциях, так и на серверах.

тогда угол атаки значительно уменьшается.
считать что установкой АВ на сервер и на клиента вы этот угол уменьшите меньше - не верно.

т.е. они бесполезны, раз нет эффекта?

не могу найти свой текст, где написано "нет эффекта".

Опять двадцать пять... Чтобы не повторяться - прочитайте все сообщения с самого начала.

Антивирусы сейчас содержат в себе файерволы, аналоги SRP и т.п. Поэтому правильный ответ - установка корпоративного антивирусного продукта на клиенты и сервера уменьшает угол атаки. Но ИБ - это не только антивирусы, поэтому не надо забывать и про остальные средства и методы защиты.

Разговор чем то напоминает этот...

Однажды Сисадмин пожаловался Учителю:

– Наш Техдиректор не хочет выполнять требования безопасности. Всем положено иметь антивирус, а он не ставит. Как на него повлиять?

– Попробуй его убедить, – сказал Инь Фу Во.

Сисадмин ушёл убеждать, но вскоре вернулся разочарованным:

– Я не смог убедить его, Учитель.

– Почему так случилось? – спросил Инь Фу Во и сразу же заметил. – Но только ответь честно, без пристрастия и обиды.

Сисадмин подумал, опустил глаза и тихо сказал:

– Наверное потому, что он знает об информационной безопасности больше меня.

– Ну, если Техдиректор знает больше тебя, что совсем не удивительно, – заметил Учитель, – то ему виднее, где нужен антивирус, а где нет.

– А как же тогда Политика безопасности! – воскликнул Сисадмин.

– А кто писал эту Политику?

Сисадмин потупился и сказал:

– Я.

Учитель мудро промолчал, и Сисадмин ушёл просветлённый.


Спасибо, я предпочту швейцарский нож чем китайский 24 в 1.

"угол уменьшить меньше" - думаю, вы хотели сказать "угол сделаете меньше" или "уменьшите угол" ?

верно.
я прочитала всё с самого начала и это уже, ЕМНИП, не первый спор с вами.
продолжать дискуссию дальше я не вижу смысла - вас не переубедить, а мне от вашего мнения ни холодно, ни жарко. Скажу лишь то, что за последние 5 лет без антивирусов у меня не было ни одной вирусной эпидении, в компаниях где число хостов измеряется сотнями, с ОС Windows XP/7 и безальтернативным браузером IE.
а результирующую политику они тоже показывают?

cameron, правильно ли я понимаю, что при перечисленных вами факторами - АВ действительно не нужен?
Но если ИБ нет в полном объёме, в этом случае АВ сможет уменьшить угрозы или нет? хоть на чуть-чуть...

отлично. я сам два месяца без антивируса на сервере 2012 (в качестве рабочей станции) - вроде норм.

нужен или нет - это решение каждого отдельного взятого специалиста ИТ.
то, что я написала - тоже не всеобъемлющая ИБ.
любое средство предотвращения заражения является годным и действенным способом.
в данном топике, как и в прошлом, я лишь стараюсь донести до сознания коллег, что АВ это не панацея, а ИБ это не только какие-то части технологий, а комплекс мер, каждая из которых, по-одиночке, не является решением.
хотя и все они вместе взятые не дают 100% гарантии результата.

ваше мнение? имеет смысл ставить АВ на КД ?
ТС спросил про антивирус на контроллере домена. тема плавно перешла в обсуждение ИБ...

Аналогично - у вас своё видение ситуации, у меня своё. Однако на этом форуме задаются вопросы, которые вряд ли бы возникли в компаниях с идеальной средой. То есть ваше идеальное мировоззрение к этим компания неприменимо по определению, но вместо уточнения ситуации большинство советующих пытается навязать вопрошающему свою сугубо субъективную точку зрения, наплевав на положение дел у него в компании.
Умничать нынче могут все - давайте вместо этого будем грамотно отвечать на вопросы. Если человек спрашивает какие ему купить очки, не надо ему навязывать операцию на глаза и методы Мирзакарима Норбекова.

А обратного никто и не утверждал ни разу.
А я пытаюсь сказать, что не нужно бояться АВ и вешать на него несуществующих собак. Интернет пестрит.
И не говорил, что надо отбросить другие правильные методы и полагаться только на AВ.

xoxmodav, Можно я задам последние вопросы?
Что такое "неидеальная среда" с точки зрения ИТ?
Я что то не нашел определения не идеальной среде в ИТ.
Сами выдумали?

Rezor666, конечно же сам - с вами ведь по другому никак не получается. :) Вы всё время пытаетесь донести до мира, что в компаниях за ИБ должна отвечать служба ИБ, за сервера, сети и сервисы - служба ИТ, за конечную поддержку пользователей - служба техподдержки, начальник ИТ - крупный профессионал, имеющий влияние в компании на высшие сферы, директор должен всё понимать и без вопросов выделять средства айтишникам и наказывать всех недовольных... Что в компании всё должно быть как описано в мировых "Best Practices" и т.п. и т.д. Такое ощущение, что многие живут не в этой реальности, а в параллельных сказочных мирах. Многие делают распальцовку, рассказывая как надо делать в крупных компаниях с сотнями компьютеров, однако быстро сдают назад когда им предлагают решить весьма несложные задачи (типа использования SRP на промышленном предприятии, у которого пара сотен разработчиков ваяют ПО, пишут драйвера к устройствам и т.п.). Понятное дело, что когда у тебя хоть и крупная, но весьма специфичная компания, то и круг задач в ней минимален, а следовательно унификация ПО, внедрение разносторонних практик ИБ и ограничений проходят на ура. Однако кроме компаний, которые занимаются перепродажей (а это 70-80% от всех компаний) есть ещё научно-производственные предприятия, которые сами разрабатывают, производят и продают. Если первым достаточно набора из офиса, 1с и какой-нибудь ERP/CRM-системы, то вторым этого хватит разве только нескольким отделам - экономистам, бухгалтерии и снабжению.

Опять же - имеется куча компаний, которые не уделяют достаточного внимания развитию ИТ-службы (ну или не могут себе этого позволить), в связи с чем нанимается начинающего уровня администратор (или берётся из уже имеющихся сотрудников самый разбирающийся), который постепенно начинает осваивать специальность сисадмина. Этот человек читает статьи, общается на форумах и не боится задавать вопросы. Через какое-то время он сам начнёт поучать новичков, но энное количество лет будет вопрошающим и изучающим. К тому же стоит вспомнить ещё и о том, что нынче дефицит адекватных и образованных кадров (особенно в регионах), а в ВУЗах профессионалов уже давно не готовят.

Вот из-за всего этого я и придумал термин "идеальная среда", чтобы хоть как-то до вас донести тот факт, что если человек задаёт подобный вопрос - значит у него изначально "неидеальная среда" и все ваши умные высказывания по тому как и что должно быть ему особо-то и не нужны. При желании он почитает Best Practices от гораздо более известных и профессиональных специалистов в той или иной среде, сейчас же ему нужен ответ на весьма простой вопрос с обоснованием ответа, дабы он сам смог определить - насколько этот ответ подходит к его ситуации.

xoxmodav, ну то что первое это рай это точно.
Но давайте взглянем чуть иначе.
У меня на работе на одной из фирм не идеальная среда. Всего 2 сервера, денег почти не выделяют, на ИБ и ИТ всем пофигу.
Но это не помешало мне поднять все то что у них есть сейчас, заявки снижены до минимума, вирусных эпидемий не разу не было, хитрая система от чужаков не дает угнать пароли.
И нету у меня на серверах антивирусов, и не будет.

Есть и другая контора, где есть и начальник и антивирусы и деньги по 1 требованию, служба ИБ...
Сегодня сделал там пентест, упал инет + ушли пароли от почты + ушли пароли от icq, дальше даже копать не стал.
Ну и при чем тут среда?
Все зависит от того кто работает админом.
И давайте лучше говорить иначе, если новичок работает сразу админом то тут даже нам с Вами спорить не о чем, тут и антивирус не поможет и FSRM не выдержит.

exo, Разве на windows server 2012 нет экранной лупы? :cool: Хорошо.

Со многим написанным согласен, однако вывод расстроил - админы действуют в рамках того, что им разрешают основные службы организации (читай - отделы или личности имеющие наибольший удельный вес и влияние на руководство). И будь ты хоть крылатой феей, хоть злобным троллем, хоть рогатым минотавром - всё решит за тебя руководство. Если оно скажет "не трогать админские права у пользователей и игрушки не сметь запрещать", то можно утереться и забыть про множество полезных функций групповых политик Windows. )) Скажут не запрещать флешки и установку пользователями программ - сделать это сможешь только в виде протеста перед увольнением. :)

А антивирус для неидеальных сред - одно из самых простых и надёжных решений (надёжных в плане того, что от 95% самых распространённых угроз он защитит и без тонкой настройки - сразу "из коробки").

При этом, гайки уже можно докручивать при установленном и работающем антивирусе, который осуществляет хоть какую-то защиту, в отличии от тех же SRP и FSRM, которые без тонкой настройки - пустышка.

xoxmodav, Админы в таких конторках и не работают, почти сразу уходят.
Это уже аутсорсинговые компании там сидят.
К тому же админ должен убедить начальника и рассказать преимущества а не просто "хочу SRP".
Если бы он защищал я стал бы ставить SRP? Или считаете мне делать нечего было?

Все же мы отошли даже от темы на счет АВ на ФС. Ответ автору дан еще на 1 странице и 5 страниц интересного материала.
А если Вы хотите продолжить дискуссию то предлагаю или в ЛС или создать тему ну или в ICQ написать. :)

В одной компании, где я работал было две сети.
Вторая была для 1C. Она была гальванически не связана с внешним миром. Со своим доменом.
Пользоваться флешкой было разрешено только ГБ и замГБ. Вот эти два компа и защищались капитально от вирусов. На остальных стояли бесплатные АВ. И права простых пользователей.
Фсё. Было две угрозы - флешка, и недоруки. А да, ГБ долго не хотела пользоваться флешкой... Только дискеты, только хардкор.


На сколько я знаю, сейчас пошли дальше - сделали третью гальванически несвязанную сеть.
Оно конечно не дешёво - по два системника\монитора установлено (у бухов нет третьей сети). Второй для почты и интернета. Зато только одна угроза - недоруки пользователей.

вобще-т вопрос не о ФС, а КД...

Все сводится к тому, что считающему себя правильным админу запрещено опускаться до АВ на сервере.

Это я о нашем разговоре с xoxmodav...
Severny, Да пускай опускается хоть до WOW на сервере терминалов, не горячо не холодно.
Каждый выбирает свое.

Работают - куда им деваться-то? На всех работы в крупных компаниях не хватает, да и многие ли возьмут к себе новичка на обучение? Вы думаете админы из аутсорсинговых контор радеют за идеальный порядок? Как бы не так - многим из них плевать что творится в конторах, главное чтобы прописанное в договоре с их стороны исполнялось и количество оплачиваемых работ/заявок не уменьшалось. :) Я пару раз сталкивался с работой аутсорсинговых компаний - мнение сложилось о них довольно негативное. Не сомневаюсь, что есть и нормальные аутсорсинговые компании, однако что-то мне подсказывает, что и берут за свои услуги они очень немало (особенно на начальных этапах обслуживания).

Вот, тут мы приходим к тому, что админ должен быть не просто техническим специалистом, но ещё и оратором, убеждающим руководство своё или вышестоящее в необходимости перемен. Многие уже на этом этапе забьют - сетка работает, компы работают, сервера крутятся, следовательно и зарплата платится. А если платится зарплата, то какой смысл с кем-то бороться или что-то внедрять исключительно по своим идеологическим соображениям ежели безопасников и директоров и так всё вполне устраивает. Разве что только попытаться зарплату себе поднять или жизнь упростить. Но ... если жизнь и так проста - кто будет барахтаться, ища приключения на свою филейную часть? :)

Ну тут какбы спорный вопрос - автор темы либо получил желаемый ответ на свой вопрос, либо читает происходящую здесь дискуссию и пытается сделать какие-то выводы. Вообще я не стал бы ему хоть что-то рекомендовать, не уточнив сначала его ситуацию. Из первоначальных данных совершенно непонятно - что крутится на сервере кроме роли DC и службы DNS, для чего устанавливать антивирус, что он должен защищать и от кого.

Не кто не говорит про крупную компанию а лишь о нормальном директоре который умеет оценивать риски.
Нет конечно, работал в этой сфере так что знаю.
А как иначе...? Иначе только какраз в крупных и зарубежных компаниях

xoxmodav, Кстати в одной из компаний сеня на сервере с ФС и WSUS антивирус обнаружил не ладное в обновлениях WSUS и убил обновления...
Так что лишний раз убедился что не к чему он на сервере.

Проблема с адекватным руководством нынче практически аналогична проблеме с квалифицированным персоналом.

ВЫ бывали на Платформах или TechEd'ах от Microsoft где докладчиками выступают не только маркетологи. У многих технарей-разработчиков проблемы с навыками общения.

Хуже будет если обновление действительно окажется заражённым и разбредётся по всей сети. :)

Много вы видели заражённых обновлений от MS?

Rezor666, пока нет, но в последнее время мы всё больше узнаём о ранее неизвестных дырах в безопасности и уязвимостях. Кто знает - возможно и такой способ заражения сетей уже используется кем-то.

Так он давным давно используется.
В свое время kaht2 только ленивый не заюзал. А все сассеры и пр. только дыры в системе и использовали.
Вспоминаем недавнего kido. Один из способов заражения - неприкрытая брешь.
Поэтому и такие масштабы лавинообразные.

Не совсем то, это не дырка в WSUS ведь а дырка в RPC.

Я дыр в wsus никаких не имел в виду. И не знаю ни одной. Я отвечал на фразу:

Severny, видно я Вас не верно понял, извините.

Цитата:

Цитата Rezor666 я Вас не верно понял, извините »

Да что ты, чисто как в трамвае.. Здесь все свои.

А если на сервере 1c по RDP, хранилище документов - ставить ли туда антивирус?

Уважаемые форумчане!

Прочитал почти все посты!
На контроллере домена под управлением Windows 2008 R2 хранятся файлы и документы, а так же КонсультантПлюс, Документы ПУ5 и т.д.
Приобретен Kaspersky Busines Security, сетевой, на 25 ПК.
На отдельный ПК (i3, 4Gb ОЗУ, 500 Gb) установлю Антивирус, а так же 1С 77 Предприятие и подключу к контроллеру домена как пользовательский ПК.
В сети 5 бухгалтеров.
1с 8.2 установлю на контроллер домена
1С 7.7 установлю на отдельный ПК, а так же Антивирус.

novichok2012, а в чём вопрос?