Toon posts:

Wel of geen anti-virus op Hyper-V host

Pagina: 1
Acties:

maandag 18 juli 2016 16:07

Acties:
  • jimbo123
  • Registratie: November 2007
  • Laatst online: 26-03-2023

jimbo123

Topicstarter
Momenteel ben ik bezig met het overwegen of ik wel of niet een virusscanner op een Windows Server 2012 R2 Standaard Hyper-V host wil installeren.

Voor de host volg ik de best-practises van Microsoft: https://blogs.technet.mic...s-in-easy-checklist-form/

Voor de virusscanner heeft Microsoft ook enkele best-practises: http://social.technet.mic...ns-for-hyper-v-hosts.aspx

Bovenstaand artikel geeft echter niet aan of het verstandiger is om wel/niet een virusscanner op de host te draaien (natuurlijk wel binnen de Hyper-V Guest VM's)

Er blijkt wel wat voor te zeggen te zijn om geen virusscanner te installeren i.v.m. performance.
https://blogs.technet.mic...us-and-hyper-v-yes-or-no/

Zelf kan ik 2 redenen verzinnen waarom ik een virusscanner zou moeten installeren op de host:
1) Indien een systeembeheerder een menselijke fout (denkfout) maakt door op de host een programma te starten zoals een webbrowser en/of externe tooling
2) Indien ik fysieke toegang tot de server niet kan beperken en dus het risico loop dat iemand een USB stick o.i.d. aansluit met een "autorun virus".

Mijn vraag aan jullie:

- Indien ik de best-practises van Microsoft volg, zou het dan veel performance kosten om een virusscanner te installeren?
- Wat doen jullie? Wel of geen AV installeren op de host?

Het gaat overigens om een server incl. GUI en Sophos Endpoint Protection Standaard.

maandag 18 juli 2016 16:17

Acties:
  • Meekoh
  • Registratie: April 2005
  • Laatst online: 06-11 13:43

Meekoh

Wat wij (en MS) doen:
Geen AV op de hosts. (wel guests)
- Hosts zijn ontdaan van GUI. Dus alleen remote access met Powershell of RSAT tools. Windows Firewall staat ook zo dicht mogelijk.
- USB disabled via GPO.
Zijn jou redenen niet meer van toepassing ;)

[ Voor 9% gewijzigd door Meekoh op 18-07-2016 16:17 ]

Computer says no

maandag 18 juli 2016 16:18

Acties:
  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Als je een server draait met GUI. Dan zeker AV. Zorg gewoon voor goede afstelling, excluions etc.

maandag 18 juli 2016 16:30

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 21:48

Hero of Time

Moderator LNX

There is only one Legend

Autorun van USB sticks heb je al sinds Windows 7 niet meer, dus daar hoef je geen zorgen om te maken. Tenzij het een cdrom drive emuleert, dan wel.

Maar volgens mij zijn er ook licentie implicaties als je een antivirus gaat installeren op de host. Houd hier rekening mee. En uiteraard exclude je de locatie van de VM images.

Commandline FTW | Tweakt met mate

maandag 18 juli 2016 16:33

Acties:
  • Dennism
  • Registratie: September 1999
  • Laatst online: 00:12

Dennism

Hero of Time schreef op maandag 18 juli 2016 @ 16:30:
Autorun van USB sticks heb je al sinds Windows 7 niet meer, dus daar hoef je geen zorgen om te maken. Tenzij het een cdrom drive emuleert, dan wel.

Maar volgens mij zijn er ook licentie implicaties als je een antivirus gaat installeren op de host. Houd hier rekening mee. En uiteraard exclude je de locatie van de VM images.
Licentie implicaties heb je als het goed is als je andere rollen dan de Hyper-V rol dan wel 3rd party services gaat installeren op een host.

Een AV client zou geen compliance issues mogen opleveren, ga je echter een AV management console installeren weer wel.

maandag 18 juli 2016 16:36

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
Alias gemaakt van SWS naar BV.

Edit: oeps, ik had het topic verplaatst ipv. er een alias van te maken |:(

[ Voor 52% gewijzigd door F_J_K op 18-07-2016 19:51 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 18 juli 2016 16:42

Acties:

Verwijderd

Dennism schreef op maandag 18 juli 2016 @ 16:33:
[...]


Licentie implicaties heb je als het goed is als je andere rollen dan de Hyper-V rol dan wel 3rd party services gaat installeren op een host.

Een AV client zou geen compliance issues mogen opleveren, ga je echter een AV management console installeren weer wel.
Klopt helemaal.

maandag 18 juli 2016 19:02

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 21:48

Hero of Time

Moderator LNX

There is only one Legend

Dennism schreef op maandag 18 juli 2016 @ 16:33:
[...]


Licentie implicaties heb je als het goed is als je andere rollen dan de Hyper-V rol dan wel 3rd party services gaat installeren op een host.

Een AV client zou geen compliance issues mogen opleveren, ga je echter een AV management console installeren weer wel.
Ik heb een paar jaar geleden de hele licentiegeneuzel van MS al vaarwel gezegd, want het wordt er niet makkelijker op. Ik geef alleen aan wat ik op verschillende plekken heb gehoord en dat de TS even na moet gaan hoe dit zit, want echt duidelijk is het tenslotte niet (anders had ik het wel onthouden ;)).

Beter nagaan, dan straks met de gebakken peren zitten.

Commandline FTW | Tweakt met mate

maandag 18 juli 2016 20:40

Acties:
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

Een paar jaar geleden had een AV boer (ik geloof Symantec) een antivirus pakket gemaakt juist voor virtualisatie hosts. Het idee was dat dan alle guests zonder antivirus konden omdat dit vanuit de host werd afgedekt. Het was een interessant concept, maar geen idee of het ooit verder is uitgewerkt.

Indien je toch besluit antivirus op je Hyper-V host te installeren let heel goed op de exclusions en de instellingen. On access scans als een VM iets doet gaat niet bevorderlijk zijn voor de prestaties.

maandag 18 juli 2016 20:47

Acties:
  • buymeball
  • Registratie: April 2011
  • Laatst online: 31-10 14:48

buymeball

Wij gebruiken kaspersky security center. Ik heb op alle host kaspersky sever staan. Maar alle functie staan uit. Mocht er iets mis gaan kan ik met 1 druk op de knop op afstand alles weer aanzetten. Alle guest draaien ook kaspersky maar deze staat wel aan.

maandag 18 juli 2016 23:15

Acties:
  • Dennism
  • Registratie: September 1999
  • Laatst online: 00:12

Dennism

CMD-Snake schreef op maandag 18 juli 2016 @ 20:40:
Een paar jaar geleden had een AV boer (ik geloof Symantec) een antivirus pakket gemaakt juist voor virtualisatie hosts. Het idee was dat dan alle guests zonder antivirus konden omdat dit vanuit de host werd afgedekt. Het was een interessant concept, maar geen idee of het ooit verder is uitgewerkt.

Indien je toch besluit antivirus op je Hyper-V host te installeren let heel goed op de exclusions en de instellingen. On access scans als een VM iets doet gaat niet bevorderlijk zijn voor de prestaties.
Binnen vSphere heeft bijna iedere AV boer hier wel een oplossing voor inderdaad via vShield dan wel NSX. Of dit voor Hyper-V ook bestaat weet ik eigenlijk niet, ik weet iig dat Trend Micro Deep Security op vSphere wel Agentless AV kan, maar niet op Hyper-V

maandag 18 juli 2016 23:38

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 21:48

Hero of Time

Moderator LNX

There is only one Legend

CMD-Snake schreef op maandag 18 juli 2016 @ 20:40:
Indien je toch besluit antivirus op je Hyper-V host te installeren let heel goed op de exclusions en de instellingen. On access scans als een VM iets doet gaat niet bevorderlijk zijn voor de prestaties.
Om nog maar te zwijgen over de staat van je VM als er iets 'verdachts' in gebeurt dat de Host AV wil voorkomen.

Commandline FTW | Tweakt met mate

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq