我应该在我的服务器(特别是我的域控制器)上运行特定于服务器的防病毒软件、常规防病毒软件,还是根本不运行防病毒软件?
以下是我提出这个问题的原因的一些背景:
我从未质疑过所有 Windows 机器上都应该运行防病毒软件。最近我遇到了一些与 Active Directory 相关的模糊问题,我已将其追溯到我们域控制器上运行的防病毒软件。
具体问题是 Symantec Endpoint Protection 在所有域控制器上运行。有时,我们的 Exchange 服务器会依次触发 Symantec 在每个 DC 上的“网络威胁防护”中的误报。在用尽对所有 DC 的访问权限后,Exchange 开始拒绝请求,大概是因为它无法与任何全局目录服务器通信或执行任何身份验证。
每次停机大约持续十分钟,每隔几天就会发生一次。由于问题不易重现,因此需要很长时间才能找出问题所在,而且一般都是在问题自行解决后才进行调查。
答案1
即使采取了其他威胁预防措施,防病毒软件也应该在管理良好的网络中的所有计算机上运行。它也应该在服务器上运行,原因有二:1)它们是您环境中最重要的计算机,比客户端系统更重要;2)它们的风险不会因为没有人主动使用(或至少不应该您不应积极使用它们来浏览网页:只要能够控制一台主机,许多恶意软件就能够自动在您的网络中传播。
也就是说,你的问题更多地与正确配置你的防病毒软件。
您正在使用的产品带有内置防火墙:在服务器系统上运行它时应该考虑到这一点,并进行相应的配置(或完全关闭)。
几年前,如果防病毒软件偶然发现存储在物理数据文件中的某些电子邮件中存在病毒签名,它就会随机删除 Exchange 数据库,这一行为非常臭名昭著;每个防病毒软件供应商都会在产品手册中对此发出警告,但有些人仍然没有意识到这一点,导致他们的商店被病毒感染。
没有任何软件可以让你“只安装并运行”而不用再三考虑自己在做什么。
答案2
我们的所有服务器(包括文件/sql/exchange)都运行 Symantec Antivirus,并进行实时扫描和每周计划扫描。该软件将机器的负载增加约 2%(白天不进行实时扫描时 CPU 使用率平均为 10%,而文件服务器进行实时扫描时 CPU 使用率平均为 11.5-12.5%)。
无论如何,那些核心都没做任何事情。
因人而异。
答案3
我一直都在所有 Windows 服务器上启用了 AV 软件的按访问扫描功能,并且不止一次为此而感激。您需要既有效又性能良好的软件。虽然我知道有些人会不同意,但我不得不告诉您,赛门铁克是您能做出的最糟糕的选择。
“一体化”类型的套件很少像精心挑选的单个组件那样有效(因为我还没有见过像样的例子)。选择您需要的保护,然后分别选择每个组件以获得最佳保护和性能。
需要注意的一点是,可能没有一款 AV 产品具有合适的默认设置。如今,大多数产品都同时进行读写扫描。虽然这样做很好,但通常会导致性能问题。这在任何时候都已经够糟糕的了,但当您的 DC 出现问题时,情况就更糟糕了,因为它需要访问的文件在 AV 扫描程序检查时被锁定了。大多数扫描程序还会扫描大量文件类型,这些文件类型甚至无法被感染,因为它们不能包含活动代码。请检查您的设置并酌情调整。
答案4
我们通常按照计划设置 AV,并且不使用实时扫描(即,文件在创建时不会被扫描)。
这似乎可以避免服务器上安装 AV 所带来的大多数问题。由于没有人(理想情况下)在服务器上实际运行任何东西,因此实时保护的需求减少了,尤其是考虑到客户端拥有实时 AV。