我应该在域控制器上安装AV产品吗？

即使采取了其他威胁预防措施，反病毒软件也应该在正确pipe理的networking中的所有机器上运行。 它也应该在服务器上运行，原因有两个：1）它们是环境中最关键的计算机，远远多于客户端系统; 2）它们不会因为没有人积极使用（或者至less应该而不是主动使用）他们浏览网页：有大量的恶意软件可以自动传播你的networking，如果它甚至可以得到一个单一的主机。

也就是说，你的问题更多地涉及到正确configuration你的防病毒软件。

您使用的产品附带内置的防火墙：在服务器系统上运行时应该考虑到这一点，并进行相应的configuration（或closures）。

几年前，反病毒软件以着名的方式随机删除Exchange数据库，如果偶然的话，它会在存储在物理数据文件中的某些电子邮件中遇到病毒签名; 每个反病毒厂商都在产品手册中对此提出了警告，但有些人还是没有把握，拿到了自己的商店。

没有任何软件可以“只需安装和运行”，而不用考虑你正在做什么。

我们所有的服务器（包括文件/ sql / exchange）都运行Symantec Antivirus，并提供实时扫描和每周计划扫描。 该软件将平均工作负载的机器负载增加了大约2％（在实时扫描的情况下，白天的平均CPU使用率为10％，而在我们的文件服务器上实时扫描则为11.5-12.5％）。

那些核心没有做任何事情。

因人而异。

我一直在所有Windows服务器上启用AV访问扫描function，并且不止一次地感谢它。 你需要既有效又好的软件。 虽然我知道有几个人会不同意，但我必须告诉你，赛门铁克的select可能不是你所能做的。

“一体式”包装很less像select好的单个组件一样有效（因为我从来没有见过一个体面的例子）。 select您需要保护的内容，然后分别select每个组件以获得最佳保护和性能。

有一件事要注意的是，可能没有AV产品有正常的默认设置。 大多数这些日子去扫描读取和写入。 虽然这将是很好的，但往往会导致性能问题。 在某些情况下不够好，但是当DC有问题时很糟糕，因为当AV扫描器正在检查它时，需要访问的文件已经被locking。 大多数扫描仪还扫描大量的文件types，因为它们不能包含活动代码，所以甚至不能被感染。 检查您的设置，并酌情调整。

我要提供一个相反的观点来回答这个主题。

我不认为你应该在大多数的服务器上运行反病毒软件，文件服务器是例外。 所需要的只是一个不好的定义更新，您的防病毒软件可能会轻易地破坏重要的应用程序或完全停止在您的域中的身份validation。 而且，虽然AV软件多年来在性能方面取得了实质性进展，但某些types的扫描可能会对I / O或对内存敏感的应用程序产生负面影响。

我认为在服务器上运行防病毒软件有很好的证据缺点，所以有什么好处呢？ 表面上，你已经保护了你的服务器免受任何通过你的边缘防火墙过滤或者被引入你的networking的讨厌的内容。 但是你真的受到保护了吗？ 这并不完全清楚，这是为什么。

似乎大多数成功的恶意软件的攻击媒介分为三类： a）依赖无知的最终用户意外下载; b）依赖操作系统，应用程序或服务中存在的漏洞;或c）零日利用。 这些都不应该是一个运行良好的组织中的服务器的现实或相关的攻击媒介。

a）你不应该在你的服务器上上网。 完成并完成。 严重的是，不要这样做。

b）记住NIMDA？ 红色代码？ 他们的大部分传播策略都依赖于社交工程（最终用户点击是）或者已经发布的已知漏洞 。 您可以通过确保您保持最新的安全更新来显着减轻此攻击媒介。

c）零日攻击很难处理。 如果是零天，根据定义，反病毒厂商还没有定义。 进行纵深防御，最小特权和最小攻击面的原则可能确实有帮助。 简而言之，这些types的漏洞没有太多的AV可以做。

你必须自己做风险分析，但在我的环境中，我认为AV的好处不足以弥补风险。

我们通常按照时间表设置AV并且不使用实时扫描（即，在创build文件时不扫描文件）。

这似乎避免了在服务器上出现AV问题。 由于没有人（理想情况下）实际上在服务器上运行任何东西，所以对实时保护的需求减less了，特别是考虑到客户端具有实时AV。

我们在我们的服务器上运行Vexira的服务器产品，但它可能更多地是折扣价格而不是效率。 我们有几个工作站使用他们的桌面产品，将拒绝更新，除非我们卸载并重新安装最新版本。

我感觉到很多这些问题是由在服务器上configurationAV的人造成的，就好像他们是家用PC一样。 这可能归结为短视的pipe理，严格的豆类计数器，严格遵守不适合不同用户/机器的不同需求的公司政策，或者是一个不太熟悉的前pipe理者，但最终的结果是同样的：浩劫。

在一个理想的世界中，我会说：“在你的电脑上使用不同的AV产品作为你的服务器，确保在你购买之前，确保它是一个合适的服务器AV产品，并且用耳朵抓住任何带有”赛门铁克“把它扔出去“。

20年来，在数十个客户端硬币的另一面，我从来没有见过一个没有感染共享驱动器的域控制器。 即使只有感染是在驱动器上留下的文件，而不是实际的操作系统感染。 我们所看到的甚至影响共享的恶意软件都是cryptolocker，并不会真正感染服务器。 它只是encryption共享文件。 如果工作站被妥善保护，那么服务器将不会被encryption。

我所看到的是AV软件引起的问题。 我花了几个小时试图找出什么改变只是find一个AV更新造成的问题。 即使正确configuration，我也看到了问题。 我知道人们会告诉我最好的做法，都是运行AV。 我知道有人会指出，有一天这会咬我没有AV在每台服务器上。 直到一年前，我们从来没有见过一个cryptolocker，现在我们经常变换（所有这些都不能被正确安装在工作站上的几个不同品牌的AV所阻止）。也许有一天会有另一个蠕虫input病毒感染服务器，但直到那个时候，我很高兴不必处理我的SQL，打印和DC服务器上的AV问题。

我意识到这个主题已经很老了，但是我觉得这个主题还没有完全讨论过，因为唯一提到的就是DC服务器上的反病毒（AV）软件保护。

1.）在我看来，软件AV的效率已经走了很长的一段路，但是还有一些缺陷。 AV不仅有潜在的错误，AV有消费记忆的倾向，而且在生产环境中也不会释放它，不好，你真的可以承受吗？ 哎哟。

2.）想一想……如果你的第一道防线是在你的DC和其他服务器上开始的，那么你已经失败了一半了。 为什么要有人想在他们的服务器内部开始他们的防御计划？ 开始积极抵抗networking核心威胁的努力是疯狂的。 在你的安全模型的这一层上放置一个积极的防御应该意味着你的networking已经被黑客抹杀了，并且你试图在最后一次尝试中保存你的networking（是的，你的networking不再连接到外部的任何东西，你在内部积极地对抗感染），那就是为了在DC和其他服务器上开始防御，这应该是多么的糟糕。 在威胁到达您的服务器之前很久就过滤掉并主动防范威胁。 怎么会这样？ 第3项。

3.）这就是为什么一些CCIE / CCNP赚大钱。 任何值得购买的组织都会从Cisco / Barracuda / Juniper购买某种types的硬件，否则就会得到一个硬件解决scheme（因为软件AV并没有接近削减芥末）。 大多数软件AV（即使是经常被吹捧为Symantec，McAfee，Norton等的企业版本等）也不足以为您提供与Cisco的IronPorts设置或其他类似产品任何主要供应商。 如果您的IT部门预算中只有一万美元，那么软件AV根本不会为您提供非常可观的保护。

4.）我已经把软件AV的尺寸缩小了，所以让我把它们build立起来。 对于我来说，软件AV是任何“用户”工作站/ PC上的必备软件，没有例外。 他们防止不知情或恶意的人伤害/破坏您的networking，例如他们从家里带入自己的闪存驱动器，并试图将他们前一天晚上在家中做的一些工作复制到他们的工作站上。 这个领域是拥有一个好的软件AV最重要的原因。 这就是为什么软件AV被发明（维也纳病毒），没有其他原因，woops …几乎忘记了真正的原因…抢夺你的钱好吧好吧，纳米。

5.）不pipe怎么说…你的DC并不会真正受益于或者被软件AV所阻碍。 你的数据库服务器，Web服务器将会受到影响，除非你真的受到了已知和持续的攻击（因为IronPorts等等，你会知道这个第一点）。

6.）最后但并非最不重要，如果你买不起思科或瞻博networking的一个很好的设置，那就去Linux吧！ 如果您有一台备用机器或两台备用机器，请使用一些适用于您的networking的OpenSource解决scheme来检查您的选项……它们function强大…并且如上面select的答案突出显示， 它们必须正确configuration 。 请记住，我正在谈论CCIE / CCNP的家伙..？ 是的。