Antivirus op Servers ja/nee ?

Op mijn huidige werk en ook bij m'n vorige job werd er ook op de DC een anti-virus geïnstalleerd. Zoals je zegt, de clients zouden de boel moeten scannen voordat 't naar de server gaat, maar hier kunnen ook steken vallen en het is ook mogelijk dat een virus je onbeveiligde server aanvalt en zo de boel infecteert. Denk ook aan virussen die gebruik maken van 0-day exploits of nog niet in definities staan. Als je zo'n virus hebt op je netwerk, kan je client veilig zijn, maar je DC staat ondertussen onder beheer van een botnet of spam te sturen.

Ik denk dat het geen kwestie is van ja/nee, maar ja/soms/nee.

Een DC hoeft geen antivirus te draaien. Een fileserver daarentegen wel (ook al kunnen er gevallen zijn waarbij dit weer niet nodig is). Een Exchange server hoeft weer geen file-antivirus te draaien, maar wel een mailboxscanner.

[ Voor 12% gewijzigd door Trommelrem op 23-05-2013 11:21 ]

Volgens mij scannen veel virusscanners pas bij het lezen van de bestanden of het een virus bevat of niet. Het wegschrijven van een virus gaat dan dus gewoon door. Dus het is zeker verstandig periodiek de server te scannen. Of je real-time scannen aan moet zetten, is een keuze.

Ik installeer nagenoeg altijd AV op servers, in heel uitzonderlijke gevallen niet (om dan hele specifieke redenen, vaak gepaard met goed dichttimeren van software firewalls, etc. en zeer strakke patching).

Wel pas ik de instellingen vaak aan naar alleen scannen bij schrijven en zorg ook altijd voor de juiste exclusies (veel serverapplicaties hebben daar best practices voor).

Periodieke scans, patten-updates, etc. moet je dan vervolgens ook goed plannen om niemand dwars te zitten.

Trommelrem schreef op donderdag 23 mei 2013 @ 11:20:
Ik denk dat het geen kwestie is van ja/nee, maar ja/soms/nee.

Een DC hoeft geen antivirus te draaien. Een fileserver daarentegen wel (ook al kunnen er gevallen zijn waarbij dit weer niet nodig is). Een Exchange server hoeft weer geen file-antivirus te draaien, maar wel een mailboxscanner.

Ik ben even benieuwd naar je achterliggende gedachte. Zeker omdat Microsoft als practise hanteerd om bv een DC wel degelijk te voorzien van een anti-virus oplossing.

Because domain controllers provide an important service to clients, the risk of disruption of their activities from malicious code, from malware, or from a virus must be minimized. Antivirus software is the generally accepted way to lessen the risk of infection.

Virus scanning recommendations for Enterprise computers that are running currently supported versions of Windows

Question Mark schreef op donderdag 23 mei 2013 @ 14:48:
[...]

Ik ben even benieuwd naar je achterliggende gedachte. Zeker omdat Microsoft als practise hanteerd om bv een DC wel degelijk te voorzien van een anti-virus oplossing.

Hoe wordt een virus dan weggeschreven naar een DC? Een user heeft in principe toch alleen leesrechten op een DC?

Mag ik vragen wat je argumenten zijn om het niet te doen?

Trommelrem schreef op donderdag 23 mei 2013 @ 14:51:
[...]


Hoe wordt een virus dan weggeschreven naar een DC? Een user heeft in principe toch alleen leesrechten op een DC?

Je plaatst de profielen op je DC bijvoorbeeld. Maar je kan ook denken aan exploits misbruik door geïnfecteerde systemen die je DC aanvallen.

Enige waar ik geen AV op installeer is eigenlijk HyperV/VMWare Hosts, ISA/TMG server en een database server. Dit vooral omdat het performance vreet waar het eigenlijk vrij weinig doet voor de veiligheid aangezien users er niet direct naar connecten (of kunnen connecten).

Hero of Time schreef op donderdag 23 mei 2013 @ 14:57:
[...]

Je plaatst de profielen op je DC bijvoorbeeld. Maar je kan ook denken aan exploits misbruik door geïnfecteerde systemen die je DC aanvallen.

Waarom zou ik de profielen op een DC plaatsen? Die horen toch thuis op een fileserver?
Bovendien, al zou ik de profielen op de DC plaatsen, dan kan een virus toch geen kwaad? Het is niet dat ik al die .exe files in de AppData van users ga executen vanaf de server.

Tegen exploits kun je je toch niet wapenen met een virusscanner? Volgens mij heb je daar een goed patchregime en goede firewallinstellingen nodig.

Toon-VA schreef op donderdag 23 mei 2013 @ 15:37:
Heb je voor Servers ook specifieke antivirus producten of is een desktop applicatie hier ook geschikt voor?

Jazeker. Op 't werk hebben we AVG Business en hier heb je een aparte server variant voor. Voor Terminal Servers adviseren ze weer de desktop of workstation editie, vanwege de functie van de server (is meer desktop omgeving, dan server taken). Hier zit dan ook verschil in qua functionaliteit. De server versie is een stuk minder uitgebreid, maar is ook niet nodig (waarom zou je web browser integratie, email scanner en identity protection hebben op een DC bijvoorbeeld, of fileserver). Enkel AV en Rootkit beveiliging is in principe genoeg.

Trommelrem schreef op donderdag 23 mei 2013 @ 15:09:
[...]

Waarom zou ik de profielen op een DC plaatsen? Die horen toch thuis op een fileserver?

Bij kleinere organisaties of sattelietlokaties worden de rollen van fileserver en DC vaak gecombineerd...

Bovendien, al zou ik de profielen op de DC plaatsen, dan kan een virus toch geen kwaad? Het is niet dat ik al die .exe files in de AppData van users ga executen vanaf de server.

Wie zegt dat virussen alleen als executables bestaan. Deze kan ook vanuit een werkplek meeliften op het secure channel wat deze werkplek heeft met de DC en gebruik maakt van een exploit. Sommige virusscanners doen niet simpel aan patternfiltering, maar zijn wat intelligenter en kijken ook wat code doet op het systeem en helpen zo ook tegen exploits...

Question Mark schreef op donderdag 23 mei 2013 @ 15:50:
[...]
Bij kleinere organisaties of sattelietlokaties worden de rollen van fileserver en DC vaak gecombineerd...

Maar als er een fileserver op draait, dan is er toch wel een virusscanner nodig? In mijn eerdere posts zei ik DC:nee, Fileserver: ja. Als je een DC en fileserver combineert, dan wordt de antivirusvereiste dus automatisch een ja. Toelichting lijkt mij niet nodig.

Wie zegt dat virussen alleen als executables bestaan. Deze kan ook vanuit een werkplek meeliften op het secure channel wat deze werkplek heeft met de DC en gebruik maakt van een exploit. Sommige virusscanners doen niet simpel aan patternfiltering, maar zijn wat intelligenter en kijken ook wat code doet op het systeem en helpen zo ook tegen exploits...

Tegen exploits kun je je alleen wapenen met goede firewalls en goed patchmanagement. Een virusscanner houdt echt geen exploits tegen, alleen virussen in bestanden die nog niet zijn uitgevoerd. Zodra een executable met een virus is uitgevoerd, dan zal een virusscanner ook nooit meer de infectie herkennen. Daarom het het zo belangrijk om af en toe een offline scan te maken, bijvoorbeeld met WinPE, ongeacht de antivirusvereiste van een systeem.

Trommelrem schreef op donderdag 23 mei 2013 @ 15:58:
[...]

Maar als er een fileserver op draait, dan is er toch wel een virusscanner nodig? In mijn eerdere posts zei ik DC:nee, Fileserver: ja. Als je een DC en fileserver combineert, dan wordt de antivirusvereiste dus automatisch een ja. Toelichting lijkt mij niet nodig.

Met fileserver denk ik eerder aan een server die meer doet dan een paar profieltjes bewaren. Meer in de norm van enkele TBs aan data, hele afdelingen aan bestanden. Is een SBS ook gelijk een fileserver? Niet per sé, maar het huisvest wel roaming profiles.

[...]

Tegen exploits kun je je alleen wapenen met goede firewalls en goed patchmanagement. Een virusscanner houdt echt geen exploits tegen, alleen virussen in bestanden die nog niet zijn uitgevoerd. Zodra een executable met een virus is uitgevoerd, dan zal een virusscanner ook nooit meer de infectie herkennen. Daarom het het zo belangrijk om af en toe een offline scan te maken, bijvoorbeeld met WinPE, ongeacht de antivirusvereiste van een systeem.

Werkelijk? Als een bestand wordt uitgevoerd, wil het nog niet zeggen dat het ook z'n werk kan doen. Ga maar na, als je een keygen wilt uitvoeren, of je verkenner wil het icoon proberen weer te geven, wordt het bestand benaderd. Op dat punt kan een virus actief worden en exploits misbruiken. Het gaat dan actief iets proberen uit te voeren en een degelijke AV zal juist dat tegenhouden. Je bent dan al veilig voordat je ook maar iets met patching en firewalling doet. Sterker nog, een firewall heeft in zo'n geval geen enkel nut. Er zijn ook genoeg momenten geweest waar antivirus fabrikanten een definitie klaar hadden voor een 0-day exploit, voordat MS een patch klaar had.

Nog beter voorbeeld:
Op m'n vorige werk was een USB stick geïnfecteerd met een virus. Dit virus wordt via autorun actief. Omdat dit op Windows 7 is uitgeschakeld, zal je AV dit niet direct vinden tenzij je de stick zelf gaat scannen. Deze stick is op een 2003 server gebruikt om netwerk drivers te installeren. BAM, geïnfecteerd. Maar, dat was nog niet alles. Alle systemen in het bedrijf waren volledig gepatched, maar dat weerhield het virus niet om deze alsnog te infecteren via een bekende exploit die al maanden ervoor was opgelost. De anti-virus software met on-access scanner hield deze netjes tegen, maar waar de on-access was uitgeschakeld waren toch echt de pineut.

Waar ben je dan met je patch management?

Toon-VA schreef op donderdag 23 mei 2013 @ 15:37:
[...]


Ik zou het niet doen omdat het weeral geld gaat kosten :-) per server

En wat kost het je als een bedrijf 100 servers weer moet restoren of nog erger opnieuw installeren omdat AV geld kost?

Vind zelf wel dat je op zoveel mogelijk servers/clients een antivirus oplossing moet hebben; is het een test-lab dan zou ik me er niet zo druk om maken. Maar productie altijd!

Of zet een virusscanner op je SAN of hypervisor dan heb je in een keer heel veel machines.

Hero of Time schreef op donderdag 23 mei 2013 @ 15:48:
[...]

Jazeker. Op 't werk hebben we AVG Business en hier heb je een aparte server variant voor. Voor Terminal Servers adviseren ze weer de desktop of workstation editie, vanwege de functie van de server (is meer desktop omgeving, dan server taken). Hier zit dan ook verschil in qua functionaliteit. De server versie is een stuk minder uitgebreid, maar is ook niet nodig (waarom zou je web browser integratie, email scanner en identity protection hebben op een DC bijvoorbeeld, of fileserver). Enkel AV en Rootkit beveiliging is in principe genoeg.

Werkt AVG een beetje goed?

Hero of Time schreef op donderdag 23 mei 2013 @ 16:24:
[...]

Met fileserver denk ik eerder aan een server die meer doet dan een paar profieltjes bewaren. Meer in de norm van enkele TBs aan data, hele afdelingen aan bestanden. Is een SBS ook gelijk een fileserver? Niet per sé, maar het huisvest wel roaming profiles.

SBS moet je zeker ook beveiligen met een AV

[ Voor 14% gewijzigd door Oid op 23-05-2013 16:31 ]

Volgens Microsoft is het een best practice om alle servers van AV te voorzien, en dat kan ook prima in de praktijk. Je moet alleen erop letten om exclusions te zetten. Je wil niet dat de file based AV op je Exchange server even een lock zet op de gehele mailstore.... Of nog erger op je AD database op een DC. De AV voor de mail zelf kan je weer met een ander product afhandelen.

Microsoft heeft bijvoorbeeld voor hun Forefront Endpoint Protection profielen uitgebracht waardoor voor elke rol automatisch dit soort settings geïmporteerd kunnen worden. Erg handig.

Ik ken genoeg bedrijven die ook vanuit beveiligingsoogpunt alle servers van AV voorzien.

Toon-VA schreef op donderdag 23 mei 2013 @ 15:37:
[...]
Heb je voor Servers ook specifieke antivirus producten of is een desktop applicatie hier ook geschikt voor?

Dit ligt sterk aan de fabrikant. Sommige bakken een OS check in waardoor je een workstation variant niet op een server kan installeren. Maar in het geval van bijvoorbeeld Forefront Endpoint Protection is er geen verschil tussen de workstation en server versie.

Een antivirusoplossing op een server kan - mits goed afgericht - geen problemen veroorzaken.

Volg daarom altijd de instructies van het softwarehuis (McAfee, Symantec, Kaspersky etc etc) voor exclusions gebaseerd op de server waar het op gaat werken.

Ook kan het zijn dat - bijvoorbeeld Microsoft-producten - er per product uitgebreide exclusions bekend zijn. Zeker bij Exchange en SQL kan dit handig zijn

Ook lijkt het mij persoonlijk niet verkeerd een andere scanner te gebruiken op de servers, dan op de werkplekken. Tenzij dit beheertechnisch niet te doen is (en vaak dan ook licentietechnisch)

Oid schreef op donderdag 23 mei 2013 @ 16:28:

[...]


Werkt AVG een beetje goed?

Tot nu toe prima. Laptops heeft 't prima beschermt, zie in de management console op de server iig een paar werkplekken waar 't z'n werk op heeft gedaan en op de andere systemen niets te zien of merken dat er een virus oid actief is.

[...]

SBS moet je zeker ook beveiligen met een AV

Het ging even om het punt dat een DC dat profielen huist gezien wordt als fileserver en het dan standaard een AV nodig heeft. Maar SBS is juist geen fileserver. Althans, daar zou je 't niet voor moeten inzetten.

Het zou prettig zijn als er bij Server2012 een fatsoenlijke AV-scanner geleverd zou zitten met profielen voor verschillende type servers (DC,SQL etc.)
Zelfde geld voor de backup van MS die nog steeds erg matig is.

Dit zijn 2 zaken die MS al lang hadden kunnen verbeteren afgelopen 10 jaar naar mijn mening.

Trommelrem schreef op donderdag 23 mei 2013 @ 15:58:
[...]
Tegen exploits kun je je alleen wapenen met goede firewalls en goed patchmanagement. Een virusscanner houdt echt geen exploits tegen, alleen virussen in bestanden die nog niet zijn uitgevoerd.

Think again.... een virusscanner doet tegenwoordig echt wel meer...

What is Exploit protection in Kaspersky Anti-Virus

This functionality protects your computer from malicious programs that use vulnerabilities in the most common applications, such as Adobe Reader, Internet Explorer, Firefox and etc. to perform their malicious actions in order to get control over computer, steal personal data and other.

Exploit Prevention functionality in Kaspersky Anti-Virus 2013 does the following:

• Controls executable files started from vulnerable applications and web browsers (for example, an attempt to run an executable file by a program designed for viewing documents).
• Controls suspicious actions of vulnerable applications (for example, if the rights of a running vulnerable application are exceeded and it writes itself into the other processes’ system memory).
• Monitors previous program starts (for example, whether the program was started by the user or by an exploit).
• Tracks a source of a malicious code (for example, a web browser that started download of an infected file; remote web address).
• Prevents using application vulnerabilities.

pitchdown schreef op donderdag 23 mei 2013 @ 17:10:
Het zou prettig zijn als er bij Server2012 een fatsoenlijke AV-scanner geleverd zou zitten met profielen voor verschillende type servers (DC,SQL etc.)
Zelfde geld voor de backup van MS die nog steeds erg matig is.

Dit zijn 2 zaken die MS al lang hadden kunnen verbeteren afgelopen 10 jaar naar mijn mening.

Dat zal wel niet mogen van de EU... Da's oneerlijke concurrentie tegenover de AV-boeren... Klinkt wat cynisch, maar ik gok dat er een aardige kern van waarheid in zit...

[ Voor 16% gewijzigd door Question Mark op 23-05-2013 20:12 ]

Ik installeer altijd AV op servers, maar als ik het niet overal zou doen dan zou bij mij enkel uitgezonderd worden de servers waar de clients simpelweg niet bijkunnen vanwege interne firewall etc.

Een client-av doet helemaal niets voor je server in de meeste MKB-organisaties, het is leuke theorie dat de besmetting enkel via de client kan binnenkomen en als die deur dichtzit dat er dan niets binnenkomt, totdat je in de praktijk gaat kijken en mensen VPN-rechten hebben of dat de directeur een persoon op bezoek heeft die even zijn laptop op het netwerk aansluit of ... of ...

Op het moment dat jij een wifi hebt of een network zonder (op switch nivo) mac-adress protection dan kunnen inpandig virussen bij jouw servers komen zonder dat ze ooit AV gezien hebben.

Hero of Time schreef op donderdag 23 mei 2013 @ 16:54:
Maar SBS is juist geen fileserver. Althans, daar zou je 't niet voor moeten inzetten.

Jawel, een SBS server is zowel fileserver als DC plus nog een paar andere rollen. Echter om daar AV op te krijgen is lastig. De standaard oplossingen herkennen een SBS server niet goed waardoor ze niet willen installeren. Je moet dan echt op zoek naar specifieke oplossingen voor SBS omgevingen. Gelukkig maakt Kaspersky een hele goede daarvoor.

Voor wat betreft de ingebouwde AV, ik denk dat dat niet nodig is en al zouden ze het doen dat het niet mag. Microsoft biedt een eigen AV oplossing aan in de vorm van Forefront Endpoint Protection. Wat overigens ook een erg goed pakket is.

Oid schreef op donderdag 23 mei 2013 @ 16:28:
[...]
En wat kost het je als een bedrijf 100 servers weer moet restoren of nog erger opnieuw installeren omdat AV geld kost?

Dit. Er is qua performance geen enkele reden om antivirus op je servers te skippen. De licentiekosten vallen in het niet tegenover de kosten als je zelfs maar één server laat infecteren en moet opschonen, waarbij je gebruikers er niet mee kunnen werken en er dus bedrijfsprocessen de mist in gaan op die dag even eventueel een opvolgende dag.

Of zet een virusscanner op je SAN of hypervisor dan heb je in een keer heel veel machines.

Als je een virusscanner op je hypervisor zet scant hij toch niet alle processen in alle VMs? Op je SAN is uit dat oogpunt ook geen optimale oplossing, omdat je dan alleen de file scanning functie kunt gebruiken, terwijl hierboven een aantal scenario's worden aangegeven waar de virusscanner dingen afvangt niet op het file-read moment maar op het execute moment. Dat mis je dus met AV die alleen je SAN bekijkt.

Wij gebruiken Forefront op alle Windows servers, en clients. En de policy is redelijk duidelijk: geen AV, geen netwerktoegang. Uitzondering voor manufacturing machines zijn mogelijk maar die worden dan gesandboxed met een uiterst restrictive firewall policy op hun netwerkaansluiting, zodat ze geen bron van infectie kunnen zijn voor overige manufacturing machines.

Productieservers zónder AV is wat mij betreft, met de huidige performance die je zelfs in huis- tuin- en keukenservertjes krijgt, geen beslissing meer die je echt kunt verantwoorden.

Op je thuisnetwerk is er, mits je geen héél spannende dingen doet, niets op tegen om een gratis desktop AV te gebruiken, mits die draaien wil op Windows Server versies.

Avira werkte volgens mij wel op Windows Server, maar dat weet ik niet helemaal zeker.

Anoniem: 399 schreef op maandag 27 mei 2013 @ 16:12:
[...]

[...]

Als je een virusscanner op je hypervisor zet scant hij toch niet alle processen in alle VMs?

Omdat juist alles via de hypervisor laag gaat is dit de ideale plek om virusscanning te doen.
Voor VMware bijv.
https://www.vmware.com/fi...d5-Endpoint-Datasheet.pdf
Tredmicro/vmware: https://www.vmware.com/fi...tual-datacenter-sb-en.pdf

Op je SAN is uit dat oogpunt ook geen optimale oplossing, omdat je dan alleen de file scanning functie kunt gebruiken, terwijl hierboven een aantal scenario's worden aangegeven waar de virusscanner dingen afvangt niet op het file-read moment maar op het execute moment. Dat mis je dus met AV die alleen je SAN bekijkt.

Uiteraard moet je dit goed afwegen, alleen op het SAN is niet wat je wilt inderdaad.

Toon-VA schreef op maandag 27 mei 2013 @ 16:35:
Kan ik er ook een gewone desktop AV op servers zetten?

Want alle producten die ik bekijk, speciaal ontwikkeld voor servers, zijn wel fors duurder en niet echt nodig (in mijn ogen) voor mijn thuisnetwerk.

Het gaat hier over een Windows Server die een domein beheert voor 8 pc's en Updates voorziet. Fileserver is op FreeNAS - Linux dus daar heb ik niet veel schrik voor om geïnfecteerd mee te raken.

Stel dat ik dan een Kaspersky AV aankoop voor die éne server dan kost mij dit 50€ ipv 500€ voor een Server editie.

Gratis ? http://geekswithblogs.net...-for-windows-2008-r2.aspx kost niets.

Toon-VA schreef op maandag 27 mei 2013 @ 16:35:
Kan ik er ook een gewone desktop AV op servers zetten?

Het probleem is vaak dat er bij installatie een OS check ingebakken zit. Als die een server OS vindt dan stopt de installatie. Soms kan je die om de tuin leiden, maar vaak niet.

Let ook dat als het lukt iets erop te zetten dit geen garantie is dat het goed werkt. Ik heb een keer een AV product dat geschikt was voor een SBS 2011 geïnstalleerd op een Standard Edition server, die liep daarna steeds vast. Heel vreemd, want SBS 2011 is eigenlijk ook een Standard Edition maar met aanpassingen.