Quali sono gli argomenti a favore e contro l'antivirus nei server di dominio

Alcuni sostengono che l'installazione di un antivirus aumenterebbe di fatto la superficie di attacco del sistema perché per le vulnerabilità del sistema operativo, ora devi aggiungere le vulnerabilità dell'antivirus.

Un altro argomento comune è che l'antivirus potrebbe ridurre le prestazioni e la stabilità del sistema .

Secondo me, questi argomenti sono validi e veri ma devi bilanciare questi fatti con la maggiore sicurezza che potresti ottenere installando un antivirus.

In che modo un antivirus può effettivamente aumentare la sicurezza di un controller di dominio?

Secondo me, se implementi e mantenga buone pratiche di sicurezza non hai bisogno di un antivirus, ma questo è difficile, l'installazione di un antivirus ti coprirà in alcuni casi.

Potrebbe essere un server specifico per il server e un'applicazione all'applicazione

Per:

• Un altro livello che rileva le minacce sulla macchina (seconda linea di difesa, poiché non eliminerà la vulnerabilità).

Contro:

• La maggior parte degli antivirus sono pesanti e possono influire sulle prestazioni se configurati per la scansione attiva sui file delle applicazioni del server di accesso.

Di solito raccomando di installare l'anti-virus e farlo eseguire scansioni periodiche. È sempre bello avere un rapporto aziendale noto che dice che non hai avuto infezioni per coprirti la schiena e puoi programmarlo in orari convenienti in modo che non peggiorino le prestazioni.

Inoltre, dovresti cercare attivamente qualsiasi file server che archivi i file caricati dall'utente, dal momento che non vuoi essere un vettore sulla condivisione di malware.

as long as all the ingress point are covered, protection for them is not needed

Questo è OK per la maggior parte del tempo - ma AV non rileva il 100% dei malware il 100% delle volte. Sarebbe bello pensare che il fornitore stia aggiungendo nuove funzionalità di rilevamento per gestire nuove minacce: è quindi altamente probabile che un nuovo virus possa infettare i controller di dominio prima che i dispositivi periferici abbiano la capacità di rilevarli. Se i tuoi server di dominio hanno l'AV, almeno ci sono buone probabilità che ripuliscano l'infezione quando possono riconoscere il malware.

In una certa misura questo sarebbe mitigato da un HIDS.

I vantaggi sono minori. È estremamente improbabile che l'AV su un controller di dominio possa effettivamente impedire qualsiasi attacco. Tuttavia, anche gli svantaggi sono minori: il costo della licenza e il sovraccarico della CPU sono piuttosto minimi. Perché in realtà non importa quello che fai, la maggior parte delle persone finisce per installare AV per impostazione predefinita. Se hai un problema, è molto più facile giustificare questa azione a un manager: -)

In generale, penso che sia piuttosto cruciale avere AV nelle workstation. Sui server ha molto meno beneficio. Ci sono casi particolari quando aiuta; un server di condivisione file è un esempio, dove è una buona idea scansionare i virus nelle scritture.

La menzione dei "punti di ingresso" da parte dei tuoi colleghi mi preoccupa poiché è difficile definire esattamente quale sia un punto di ingresso. Posso immaginarli mettendo l'AV sul firewall, poi in seguito arrabbiandosi che non ha rilevato un virus venuto sopra SSL.