我是一名开发人员,而不是系统管理员,所以我正在寻找一些关于虚拟化的意见和答案。为了解决一些项目截止日期问题,开发团队安装并设置了 Windows Server 2008 Hyper-V“裸机”版本(这意味着 Windows UI 和功能非常少)。IT 部门正确地提出了一些安全问题,我无法通过 Google 搜索找到答案。
裸机版本可以运行防病毒产品吗?指的是主机操作系统,而不是客户虚拟机。如果不能,您如何绕过这个限制?让主机暴露在攻击之下?如果可以,支持哪些?仅限 Security Essentials?还是支持 Symantec 和其他供应商?
组策略是否推送至裸机版本?
提前感谢您的专业知识!
答案1
我想说不要这么做。读这个。
使用精简版裸机虚拟机管理程序服务器,您不需要它。病毒需要攻击媒介...它是如何进入该机器的?网络共享?电子邮件?网页浏览?如果它是第一类虚拟机管理程序机器,它不应该有网络服务或工作站类用途。
此外,您还增加了扫描问题(什么,您要让 AV 文件扫描程序在每次访问时实时扫描虚拟硬盘吗?)、安全问题(AV 软件也有错误),并且增加了攻击面(可以利用的软件),此外,如果软件停止工作、出现更新问题等,您还会遇到问题,而所有这些都是因为 AV 软件本身并不是一个完美的恶意软件和病毒解决方案。
完整的答案是,是的,看起来你可以运行 AV,并排除我刚才批评的大多数文件(但我想强调...如果它是裸机,除了虚拟机和基本操作系统之外,你还在那台电脑上放了什么?)参见这里供参考。我个人不想这样做,如果你正确使用机器,我认为唯一需要 AV 的是客户机。裸机系统应该受到保护,因为它不运行除最低限度必要的服务之外的服务,也不被用作工作站,因此攻击面应该非常浅。
如果它被利用,那么工作就是恢复虚拟机;即使重新安装虚拟机管理程序也应该是小菜一碟,因为它非常薄,而且很小,可以从头开始恢复。
答案2
我发现 Kapersky、Sophos 和 McAfee 支持 Server 2008 Core 版本。主要问题是该产品是否可以从远程控制台、远程脚本或命令行安装(这是 Core 提供的大部分界面...)
赛门铁克和趋势很可能也会这样做,因为它们之前的版本可以完全通过管理控制台进行管理。
正如上面的评论所说,检查有关 AV 的 Microsoft 指导,并确保任何 AV 供应商都支持 Hyper-V。
更新: 一些资源:
答案3
我知道卡巴斯基 6 使用 Server 2008 Core 版本运行良好(这是正确名称,因为常规版本也是裸机)。抱歉,可以告诉您有关其他产品的信息。