Windows/IIS Web 服务器上的防病毒软件

Question 1

我们在所有 Windows 机器上运行实时 AV，无论它们的功能如何。这只是另一层纵深防御，我一直认为这是在 Windows 上运行的成本的一部分。我也不会仅限于上传目录——如果确实有恶意软件通过或您的机器以其他方式受到损害，通常首先会立即下载更多恶意软件，并且可能下载到不是上传目录的地方。这肯定会影响性能，虽然这对我们来说是值得的，但我们没有大量的用户/访问者可以扩展，所以请接受它的价值。

Answer

我们在所有 Windows 机器上运行实时 AV，无论它们的功能如何。这只是另一层纵深防御，我一直认为这是在 Windows 上运行的成本的一部分。我也不会仅限于上传目录——如果确实有恶意软件通过或您的机器以其他方式受到损害，通常首先会立即下载更多恶意软件，并且可能下载到不是上传目录的地方。这肯定会影响性能，虽然这对我们来说是值得的，但我们没有大量的用户/访问者可以扩展，所以请接受它的价值。

Question 2

答案

1. 您是否排除了除放置上传内容的目录之外的所有目录？

进行性能测试很有好处没有在决定是否有必要排除这些漏洞之前，我们需要考虑这些排除。如果性能令人满意，并且不需要我们自己设计新的安全漏洞，那我们为什么要费心呢？

2. 您是否启用了实时扫描或仅启用了计划扫描？

在几乎所有的企业环境中，答案都是“两者兼而有之”。

3. 如何设置 AV 来响应威胁，自动还是需要用户输入？

通常，您希望它能够自动立即响应，但要执行一些可能可逆的操作（即隔离，而不是删除）。

4. 性能损失怎么样？

事实证明您选择的防病毒产品在性能方面比配置排除可以产生更大的差异。

有趣的是：根据我的个人经验，在企业环境中，ESET不排除对性能的影响远小于赛门铁克，因为赛门铁克几乎可以排除所有可能的情况——即使在驱动器异常繁忙的服务器上，例如 SQL 数据库和呼叫中心记录。在做出决定之前，请务必在您自己的测试环境中评估多种反恶意软件产品。

结论

除非实际的防火墙规则强制执行“禁止从机器上网”之类的规则，否则您可以假设这些规则会被破坏。人都会犯错。此外，相信您可以预测恶意软件可能传播的所有方式是不明智的。

正如其他人所说，传统观点是全部无论 Windows 计算机扮演什么角色，都需要反恶意软件。作为管理员，我们可以决定安装哪种 AV 产品以及如何配置它。

Answer

答案

1. 您是否排除了除放置上传内容的目录之外的所有目录？

进行性能测试很有好处没有在决定是否有必要排除这些漏洞之前，我们需要考虑这些排除。如果性能令人满意，并且不需要我们自己设计新的安全漏洞，那我们为什么要费心呢？

2. 您是否启用了实时扫描或仅启用了计划扫描？

在几乎所有的企业环境中，答案都是“两者兼而有之”。

3. 如何设置 AV 来响应威胁，自动还是需要用户输入？

通常，您希望它能够自动立即响应，但要执行一些可能可逆的操作（即隔离，而不是删除）。

4. 性能损失怎么样？

事实证明您选择的防病毒产品在性能方面比配置排除可以产生更大的差异。

有趣的是：根据我的个人经验，在企业环境中，ESET不排除对性能的影响远小于赛门铁克，因为赛门铁克几乎可以排除所有可能的情况——即使在驱动器异常繁忙的服务器上，例如 SQL 数据库和呼叫中心记录。在做出决定之前，请务必在您自己的测试环境中评估多种反恶意软件产品。

结论

除非实际的防火墙规则强制执行“禁止从机器上网”之类的规则，否则您可以假设这些规则会被破坏。人都会犯错。此外，相信您可以预测恶意软件可能传播的所有方式是不明智的。

正如其他人所说，传统观点是全部无论 Windows 计算机扮演什么角色，都需要反恶意软件。作为管理员，我们可以决定安装哪种 AV 产品以及如何配置它。

Question 3

我同意 nedm。

无论用途是什么，我们都在所有客户端和服务器上运行 McAffe VirusScan Enterprise。

他们每周日（维护窗口时间）都会进行实时扫描和全面扫描

威胁会自动处理，并向系统管理员发送电子邮件通知他们。

虽然在没有最终用户交互的机器上感染病毒的可能性较小，但总是有可能有恶意用户利用您的网络服务器并试图将病毒上传到机器。

当然，没有哪种病毒软件是 100% 安全的，如果是某些自定义代码，则可能无法捕获，但如果是现成的代码，病毒防护软件就会捕获它，您的服务器将是安全的。

这只是另一层额外的保护。

那里的 AV 软件应该保持最新，但这并不是不定期检查访问日志和查找网络服务器上其他奇怪活动的借口……

Answer