Active-Directory

我應該在我的域控制器上安裝 AV 產品嗎?

  • June 2, 2016

我應該在我的伺服器(尤其是我的域控制器)上執行特定於伺服器的防病毒軟體、正常防病毒軟體還是根本不執行防病毒軟體?

這裡有一些關於我為什麼要問這個問題的背景:

我從來沒有質疑過防病毒軟體應該在所有 Windows 機器上執行,期間。最近我遇到了一些與 Active Directory 相關的晦澀難懂的問題,我已將這些問題追溯到在我們的域控制器上執行的防病毒軟體。

具體問題是 Symantec Endpoint Protection 正在所有域控制器上執行。有時,我們的 Exchange 伺服器會依次在每個 DC 上觸發 Symantec 的“網路威脅防護”中的誤報。在用盡對所有 DC 的訪問後,Exchange 開始拒絕請求,可能是因為它無法與任何全域編錄伺服器通信或執行任何身份驗證。

中斷一次會持續大約十分鐘,並且每隔幾天就會發生一次。隔離問題需要很長時間,因為它不容易重現,並且通常在問題自行解決後進行調查。

即使採取了其他威脅預防措施,反病毒軟體絕對應該在管理得當的網路中的所有機器上執行。它也應該在伺服器上執行,原因有兩個:1)它們是您環境中最關鍵的電腦,遠遠超過客戶端系統,以及 2)它們的風險並不小,只是因為沒有人積極使用(或至少應該沒有積極地使用它們來上網:有很多惡意軟體可以自動在您的網路中傳播,如果它甚至可以控制單個主機。

也就是說,您的問題與正確配置防病毒軟體更相關。

您使用的產品帶有內置防火牆:在伺服器系統上執行它時應該考慮到這一點,並進行相應的配置(或完全關閉)。

幾年前,防病毒軟體因偶然發現儲存在物理數據文件中的某些電子郵件消息中的病毒簽名而隨機刪除 Exchange 數據庫而(臭名昭著);每個防毒廠商在產品手冊中都對此進行了警告,但仍有一些人沒有掌握它,並讓他們的商店遭到了核爆。

沒有任何軟體可以“直接安裝並執行”,而無需三思而後行。

引用自:https://serverfault.com/questions/47819