¿Cuáles son los argumentos a favor y en contra de tener antivirus en los servidores de dominio?

Algunas personas argumentan que instalar un antivirus en realidad aumentaría la superficie de ataque del sistema porque a las vulnerabilidades del sistema operativo, ahora debe agregar las vulnerabilidades del antivirus.

Otro argumento común es que el antivirus podría reducir el rendimiento y la estabilidad del sistema .

En mi opinión, estos argumentos son válidos y verdaderos, pero debe equilibrar estos hechos con la mayor seguridad que podría obtener al instalar un antivirus.

¿Cómo puede un antivirus aumentar efectivamente la seguridad de un controlador de dominio?

En mi opinión, si implementas y mantienes buenas prácticas de seguridad, no necesitas un antivirus, pero esto es difícil, la instalación de un antivirus te cubrirá en algunos casos.

Esto puede ser específico de servidor a servidor y de aplicación a aplicación

Para:

• Otra capa que detecta amenazas en la máquina (segunda línea de defensa, ya que no tapará la vulnerabilidad).

en contra:

• La mayoría de los antivirus tienen una gran cantidad de recursos y pueden afectar el rendimiento si se configuran para escanear activamente en los archivos de aplicación del servidor de acceso.

Por lo general, recomiendo instalar el antivirus y hacer que realice exploraciones periódicas. Siempre es bueno tener un informe conocido de la compañía que indique que no tuvo infecciones para cubrir su espalda y que puede programarlo para que sea conveniente para que no se degrade el rendimiento.

Además, debe hacer que busque activamente cualquier servidor de archivos que almacene los archivos subidos por el usuario, ya que no quiere ser un vector para compartir malware.

  

Mientras se cubran todos los puntos de ingreso, no se necesita protección para ellos

Esto está bien la mayoría del tiempo, pero AV no detecta el 100% del malware el 100% del tiempo. Sería bueno pensar que su proveedor está agregando nuevas capacidades de detección para enfrentar nuevas amenazas, por lo que es altamente posible que un nuevo virus pueda infectar sus controladores de dominio antes de que sus dispositivos en la periferia tengan la capacidad de detectarlos. Si los servidores de su dominio tenían AV, al menos hay una buena posibilidad de que limpien la infección cuando puedan reconocer el malware.

Hasta cierto punto, esto podría ser mitigado por un HIDS.

Las ventajas son menores. Es extremadamente improbable que un AV en un controlador de dominio realmente prevenga cualquier ataque. Sin embargo, las desventajas también son menores: el costo de la licencia y la sobrecarga de la CPU son bastante mínimos. Debido a que en realidad no importa lo que haga, la mayoría de las personas terminan instalando AV de forma predeterminada. Si tiene un problema, es mucho más fácil justificar esa acción ante un administrador :-)

En general, creo que es muy importante tener AV en las estaciones de trabajo. En los servidores tiene mucho menos beneficio. Hay casos particulares cuando ayuda; un servidor de intercambio de archivos es un ejemplo, donde es una buena idea buscar virus en las escrituras.

La mención de sus colegas de los "puntos de ingreso" me preocupa ya que es difícil definir exactamente qué es un punto de ingreso. Puedo imaginarlos poniendo AV en el cortafuegos, y luego se enojan porque no detectó un virus que llegó sobre SSL.