A meno che non si usino gli agenti dello strumento durante un'indagine, terrei gli strumenti forensi fuori dai server di produzione. Generalmente questi strumenti sono destinati ad essere eseguiti in un ambiente client, ad esempio sul laptop o sul desktop di uno sperimentatore.
Ci sono alcuni motivi per questo suggerimento:
- la persistenza degli strumenti forensi in un ambiente server può semplificare ulteriormente il compromesso
- a parte la raccolta della memoria, le analisi forensi dovrebbero essere eseguite su un'immagine, e così farebbero all'esterno di un ambiente server live
- è più facile raccogliere e bloccare computer portatili o desktop client per i procedimenti giudiziari rispetto a una server farm con gli strumenti forensi
L'eccezione a questo è il software di gestione dei casi. Potrebbe esserci la necessità o la necessità di avere un software di gestione dei casi sul lato server che gli investigatori utilizzano durante la vita di un incidente. Questo non è raro negli ambienti aziendali. Tuttavia, lo separo dal software forense attuale come i pacchetti EnCase e FTK che hai menzionato. La gestione dei casi dovrebbe essere quella in cui gli investigatori commentano l'incidente, condividono i dettagli, ma la raccolta e la gestione delle immagini devono essere eseguite nell'ambiente client contenuto.