A menos que vaya a utilizar los agentes de la herramienta durante una investigación, mantendría las herramientas forenses fuera de los servidores de producción. En general, estas herramientas están diseñadas para ejecutarse en un entorno cliente, como en una computadora portátil o computadora de escritorio de un investigador.
Hay algunas razones para esta sugerencia:
- la persistencia de las herramientas forenses en un entorno de servidor puede hacer que el compromiso sea más fácil
- aparte de la colección de memoria, los análisis forenses deben realizarse en una imagen, y así se haría fuera de un entorno de servidor en vivo
- es más fácil recopilar y bloquear computadoras portátiles o computadoras de escritorio para procedimientos legales que una granja de servidores con las herramientas forenses
La excepción a esto es el software de administración de casos. Puede haber una necesidad o necesidad de tener un software de administración de casos del lado del servidor que los investigadores usen durante la vida de un incidente. Esto no es raro en los entornos empresariales. Sin embargo, separo esto del software forense real, como los paquetes EnCase y FTK que mencionó. La gestión de casos debe estar donde los investigadores comentan el incidente, comparten los detalles, pero la recopilación y gestión de imágenes se deben realizar en el entorno del cliente contenido.