Нужен ли антивирус на контроллере домена

Обновлено: 02.07.2024

В прошлой статье мы рассказывали о вирусах на сайте: какими они бывают и как попадают на сайт. В этот раз поговорим о способах устранения вредоносного кода с помощью специальной программы — Антивирус для сайта RU-CENTER.

Что говорят цифры

Отчет об актуальных угрозах за первый квартал 2020 года от Positive Technologies показывает, что из-за эпидемии коронавируса цифры по киберинцидентам и атакам на сайты только растут. В 2020-м бизнес срочно уходил в онлайн, и продолжает делать это сейчас. Часто переход в онлайн происходит в сжатые сроки и предприниматели оставляют вопросы безопасности данных на потом, в первую очередь думая о том, как сохранить клиентов и организовать удаленную работу для сотрудников.

По данным компании Sitelock, глобального поставщика решений по кибербезопасности и защите данных, по состоянию на 2020 год в мире от вирусов страдают уже около 12 миллионов сайтов. Это означает, что 1 из 100 сайтов в сети заражен.

Поисковики и браузеры постоянно работают над тем, чтобы защитить пользователей от попадания на такие сайты и, как следствие, заражения. «Гугл» делает это с помощью сервиса «Безопасный просмотр» — предупреждает пользователей о том, что сайт опасен, в строке поиска или уведомлением в браузере.

Но вирусы с каждым годом становятся умнее и маскируются все лучше. По данным того же отчета SiteLock, 9 из 10 зараженных сайтов свободно работают — поисковики не занесли их в черный список. Это значит, что любой пользователь может зайти на один из этих сайтов и поймать вирус. Также это означает, что владелец зараженного сайта может долго не замечать, что с сайтом что-то не так.

Чтобы не узнавать о заражении от поисковиков в момент, когда сайт уже недоступен, важно регулярно сканировать его на предмет уязвимостей. Покажем, как в этом помогает Антивирус RU-CENTER.

Что такое Антивирус для сайта

Антивирус для сайта делает то же самое, что и антивирус для ПК: ищет вирусы и устраняет их. Только проверяет он не файлы на компьютере, а файлы сайта в папках на хостинге.

Посмотрите интервью с Георгием Казаровым — экспертом по безопасности RU-CENTER — « Антивирус для сайта: как использовать эффективно ».

Там мы обсуждаем безопасность сайтов, вирусы и другие виды угроз, защиту от заражения и показываем, как работает Антивирус для сайта.

Антивирус RU-CENTER ищет вредоносный код в двух направлениях — по сигнатурам и с помощью эвристического анализа.

Сигнатуры вирусов — неизменные общие участки кодов известных вирусов. У каждого антивируса есть база таких сигнатур. Антивирус ищет в коде файлов сайта известные ему сигнатуры и, если находит, отмечает подозрительными.

Этот принцип работы антивируса работает не всегда. Например, полиморфные вирусы так обнаружить нельзя — они не имеют сигнатур, их коды постоянно изменяются. Плюс постоянно появляются новые вирусы, которых еще нет в базах антивирусов, а значит, поиск по сигнатурам невозможен.

Эвристический анализ работает иначе. Антивирус наблюдает за работой кодов программ и отслеживает те, которые ведут себя как вирусы, — выявляет паттерны поведения. С помощью эвристического анализа Антивирус может находить полиморфные вирусы и определять угрозу до того, как в базу попадет ее сигнатура.

Такой принцип работы позволяет Антивирусу RU-CENTER распознавать все самые популярные и опасные уязвимости:

  • XSS или межсайтовый скриптинг,
  • LFI — включение локального файла,
  • SQL-инъекции,
  • Malware,
  • Spyware,
  • Трояны,
  • Червей,
  • Rootkits,
  • Keyloggers,
  • Майнеры и др.

Подробно о том, чем опасны эти вирусы, мы рассказали в статье «Вирусы на сайте: какие бывают и как могут навредить».

Как работает Антивирус для сайта

Антивирус начинает поиск вирусов сразу же с момента подключения к хостингу. Он будет активен весь период действия услуги, если не остановить его работу принудительно. Расскажем об основных функциях Антивируса.

Находит и удаляет вредоносный код

Антивирус автоматически ищет вредоносный код в файлах сайта. Автопоиск можно настроить на каждые 6, 12 или 24 часа — периодичность выбирается в панели управления услугой.

Запускать автопоиск вирусов желательно чаще — каждые 6 часов, если вы постоянно обновляете контент на сайте: загружаете новые файлы по FTP, скачиваете темы для сайта и т. д. Если же изменения на сайте происходят нечасто, достаточно проверять площадку раз в сутки. Делать это лучше в нерабочее время компании: во время проверки тратятся вычислительные мощности хостинга — хоть и незначительные, но сайт может работать медленнее.

График проверки и отчет сканирования в панели управления Антивирусом

Результаты сканирования сайта в отчете Антивируса RU-CENTER

В окне отчета доступны следующие опции:

  • вылечить вирус — антивирус уничтожит кусок вредоносного кода в файле, сохранив остальной код нетронутым;
  • удалить файл с вирусом полностью;
  • добавить файл в исключение — чтобы при следующей проверке он снова не попал в отчет.

Антивирус позволяет лечить вирусы вручную и автоматически.

Лечение вручную актуально, например, когда разработчик вашего сайта писал код самостоятельно и использовал при этом нетиповые подходы к разработке. Антивирус может посчитать неизвестные ему участки кода опасными и ошибиться — такое случается с любыми антивирусами.

Вы сможете посмотреть, что именно Антивирус посчитал угрозой, вылечить реальные вирусы и добавить безопасные файлы в список исключений для будущих проверок.

Антивирус предлагает вылечить зараженный файл php

Если вы не разбираетесь в коде, доверьте дело разработчику или самому Антивирусу — он сделает все автоматически.

В режиме Автоматического лечения программа сама решает, удалять вредоносные файлы или лечить их. Если решает лечить, то вырежет из кода только опасную часть, а сами файлы оставит.

Антивирус предлагает автоматически лечить зараженные файлы

Информацию о вылеченном файле можно будет посмотреть в отчете, где было найдено заражение.

Отчет о вылеченном файле

Все удаленные файлы записываются в отдельную директорию на хостинге сайта. Они становятся резервными копиями и не несут опасности для сайта или его посетителей. Делается это на случай, если какой-то файл удалится случайно — тогда из директории его можно будет быстро восстановить.

Менеджер файлов: позволяет управлять файлами хостинга и просматривать зараженный код

Антивирус RU-CENTER поддерживает встроенный Менеджер файлов — инструмент, с помощью которого можно совершать все стандартные операции с файлами и директориями на хостинге: удалять, добавлять и искать их. Это аналог стандартного FTP-клиента.

Панель Менеджера файлов Антивируса RU-CENTER

Также с помощью Менеджера файлов вы можете работать с зараженными файлами — просматривать вредоносный код, который они содержат. Обычно файлы состоят из тысяч строк кода, и вредоносный код среди них найти непросто. Для удобства Менеджер файлов подсвечивает такие участки кода.

Подсвеченный участок вредоносного кода в Менеджере файлов Антивируса

Помогает найти сайт в черных списках

Черные списки поисковиков и браузеров — это базы опасных, зараженных доменов, IP-адресов и ресурсов. В такие списки попадают сайты, которые распространяют вирусы, занимаются фишингом, перенаправляют посетителей на опасные страницы и т. д.

Если сайт оказывается в черном списке Яндекса или «Гугла», он теряет позиции в поиске или вовсе исключается из него. Если в черном списке браузера — пользователь будет видеть предупреждение об опасности, когда попытается зайти на такой сайт. В обоих случаях попасть в черный список означает потерять трафик, репутацию и клиентов.

Антивирус RU-CENTER проверяет сайт по всем известным черным спискам. Проверка происходит автоматически, не зависит от периодичности проверки сайта на вирусы и не требует настройки.

Если сайт был обнаружен в черных списках, в панели управления появится специальная иконка.

Иконка в панели управления Антивирусом сообщает, что сайт попал в черный список

Если нажать на иконку, можно увидеть детали отчета и базы, в которые попал сайт.

Антивирус сообщает, что сайт попал в 5 черных списков

В этом же окне Антивирус предлагает рекомендации по удалению сайта из черного списка. Чтобы увидеть рекомендацию, нужно кликнуть на знак вопроса рядом с названием списка, в который попал сайт.

Антивирус рассказывает, что делать, чтобы удалить сайт из черного списка

Web App Firewall для популярных CMS

Web App Firewall (WAF) — еще одна важная опция Антивируса. WAF сканирует весь трафик, поступающий на сайт, и блокирует все запросы, которые хоть немного похожи на подозрительные: попытки взлома, деятельность ботов и другие.

Окно WAF в интерфейсе Антивируса. На верхнем графике справа виден всплеск трафика

Следить за объемом и качеством трафика очень важно. Активность ботов съедает ресурсы сайта, нагружает его — это может привести к тому, что сайт будет недоступен для пользователей. Но самое опасное, что через подобные атаки злоумышленник может взломать сайт.

Сервис Web App Firewall в рамках услуги Антивирус доступен только для сайтов, использующих следующие CMS-системы:

Yii framework 2.x

Если вы используете самописную CMS-систему или систему не из списка выше, то сервис WAF будет недоступен для вашего сайта. Работа WAF основана на определенных свойствах CMS и их поведении при обработке поступающих запросов извне. Зная эти свойства, WAF обнаруживает нелегитимные запросы и блокирует их. Пока WAF знаком только с работой вышеперечисленных систем управления сайтом — этот список будет дополняться по мере развития сервиса.

Какой тариф Антивируса выбрать

RU-CENTER предлагает три тарифа Антивируса. Тариф выбирают в зависимости от потребностей, бюджета и квалификации специалистов, которые отвечают за безопасность сайта.

Тарифы Антивируса RU-CENTER

Тарифы «Персональный» и «Профессиональный» подойдут тем, у кого большой опыт и достаточно знаний в области безопасности, кто самостоятельно следит за сайтом, контентом и проблемами с ним. Эти тарифы упростят ручную работу и позволят оперативно узнавать о проблемах. Здесь нет дополнительных функций, которые не нужны опытным специалистам безопасности.

Тариф «Для бизнеса» подходит тем, кто не очень разбирается в сфере безопасности, и крупным компаниям — тем, кому важны надежность сайта, быстрое решение проблем и автоматизация. В этот тариф включены опции автоматического лечения и WAF.

Антивирус RU-CENTER можно подключить к любому сайту, независимо от того, у какой хостинговой компании обслуживается ваш сайт. Главное, чтобы хостинг поддерживал PHP.

Подключить и настроить Антивирус можно за несколько несложных шагов: мы подробно рассказали о них в разделе «Помощь».

Чек-лист защиты от вредоносного кода

Работайте с опытными и компетентными разработчиками и старайтесь как можно реже их менять. Специалисту будет легче работать над кодом, который он написал, и вероятность неожиданной ошибки сведется к минимуму. А каждому новому специалисту будет все сложнее анализировать чужой код и находить в нем уязвимые места.

Не размещайте сайт у сомнительных хостинг-провайдеров с плохими отзывами. Такие хостеры могут экономить на защите своих серверов — это может привести ко взлому со стороны веб-сервера хостера.

Устанавливайте разные пароли. Если злоумышленник подберет один ключ, он не сможет открыть им все остальные двери.

Прочитайте все о CMS вашего сайта, обратите особенное внимание на ее минусы и слабые места. Так вы будете во всеоружии, если злоумышленники попробуют пробить защиту сайта.

Используйте лицензионные CMS и вовремя обновляйте их. Устаревшая версия CMS — одна из самых популярных уязвимостей, из-за которой вирусы проникают на сайт.

Не устанавливайте сторонние плагины и скрипты для CMS из непроверенных источников. Удаляйте старые неиспользуемые плагины.

Ежедневно проверяйте сайт Антивирусом от RU-CENTER. Лучше использовать полный тариф — «Для бизнеса». В этом случае программа сможет не только защищать сайт от вирусов, но и будет автоматически лечить зараженные файлы и фильтровать подозрительный трафик с помощью Web App Firewall.

Должен ли я запускать серверный антивирус, обычный антивирус или вообще не устанавливать антивирус на моих серверах, особенно на контроллерах домена?

Вот некоторая предыстория о том, почему я задаю этот вопрос:

Я никогда не сомневался, что антивирусное программное обеспечение должно работать на всех компьютерах с Windows, и точка. В последнее время у меня были некоторые неясные проблемы, связанные с Active Directory, которые я отследил до антивирусного программного обеспечения, работающего на наших контроллерах домена.

Особая проблема заключалась в том, что Symantec Endpoint Protection работал на всех контроллерах домена. Время от времени наш сервер Exchange вызывал ложное срабатывание Symantec «Защита от сетевых угроз» на каждом DC последовательно. После исчерпания доступа ко всем DC, Exchange начал отклонять запросы, предположительно потому, что он не мог обмениваться данными с серверами глобального каталога или выполнять какую-либо аутентификацию.

Отключения будут длиться около десяти минут за раз, и будут происходить раз в несколько дней. Потребовалось много времени, чтобы изолировать проблему, потому что это было нелегко воспроизвести, и обычно расследование проводилось после того, как проблема разрешилась сама собой.

Для меня это звучит как неприятная инфекция Symantec Endpoint Protection. Я бы убрал это как можно скорее. Серьезно, однако, продукт вызвал у нас серьезные проблемы с клиентами, потерявшими доступ к своим серверам и т. Д. Это было ужасно, когда он был выпущен, и «выпуски техобслуживания» только улучшали его. Мы отбрасываем их для Trend Micro везде, где это возможно. Согласитесь, продукты Symantec действительно заставляют вас желать, чтобы вы подхватили какой-нибудь неприятный вирус вместо них. Забавно, мы перешли из Trend Micro в Symantec. Я думаю, что это все разные оттенки дерьма. «Symantec» и «антивирус» никогда не должны использоваться в одном и том же предложении, поскольку между ними нет заметных взаимосвязей.

Антивирусное программное обеспечение обязательно должно работать на всех компьютерах в правильно управляемой сети, даже если существуют другие меры по предотвращению угроз. Он должен работать на серверах тоже по двум причинам: 1) они наиболее важных компьютеров в вашей среде, гораздо больше , чем клиентские системы, и 2) они не менее подвержены риску только потому , что никто активно использует (или , по крайней мере , должны их не используют активно для серфинга в Интернете: существует множество вредоносных программ, которые могут автоматически распространяться по вашей сети, если они могут захватить даже один хост.

Тем не менее, ваша проблема больше связана с правильной настройкой антивирусного программного обеспечения.

Используемый вами продукт поставляется со встроенным межсетевым экраном: это то, что следует учитывать при запуске его на серверных системах и соответствующим образом настраивать (или вообще отключать).

Там нет программного обеспечения, которое вы можете "просто установить и запустить", не задумываясь о том, что вы делаете.

Замечательно потратить время на правильную настройку любого программного обеспечения AV. AV программное обеспечение, вероятно, является наиболее важным классом программного обеспечения, чтобы не "спешить". Я видел случаи, когда у Exchange были свои файлы данных, «восстановленные» из-под него, до большой фанфары от людей, пытающихся использовать их электронную почту.

Все наши серверы (включая файл / sql / exchange) работают с Symantec Antivirus с проверкой в ​​реальном времени и еженедельным сканированием по расписанию. Программное обеспечение увеличивает нагрузку на машины на

2% для средних рабочих нагрузок (в среднем 10% использования ЦП в течение дня без сканирования в реальном времени, 11,5-12,5% при сканировании в реальном времени на нашем файловом сервере).

Эти ядра ничего не делали в любом случае.

У меня всегда было программное обеспечение AV с включенным сканированием при доступе на всех серверах Windows, и я был благодарен за это не раз. Вы нуждаетесь в программном обеспечении, которое эффективно и хорошо ведет себя. Хотя я знаю, что есть некоторые, кто не согласится, я должен сказать вам, что Symantec - такой же плохой выбор, как вы могли бы сделать.

Пакеты типа «все в одном» редко бывают настолько эффективными, насколько хорошо подобранные отдельные компоненты (как, например, я еще никогда не видел достойного примера). Выберите то, что вам нужно для защиты, а затем выберите каждый компонент отдельно для лучшей защиты и производительности.

Следует помнить, что, вероятно, не существует AV-продукта с достойными настройками по умолчанию. Большинство этих дней идет на сканирование как на чтение, так и на запись. Хотя это было бы хорошо, это часто приводит к проблемам с производительностью. Достаточно плохо в любое время, но очень плохо, когда у вашего DC есть проблемы, потому что файл, к которому он должен получить доступ, был заблокирован, пока AV-сканер проверяет его. Большинство сканеров также сканируют очень большое количество типов файлов, которые даже не могут быть заражены, поскольку они не могут содержать активный код. Проверьте ваши настройки и отрегулируйте их по своему усмотрению.

Я собираюсь предложить контрапункт к преобладающим ответам на эту тему.

Я не думаю, что вы должны запускать антивирусное программное обеспечение на большинстве своих серверов, за исключением файловых серверов. Все, что нужно, - это одно неверное обновление определения, и ваше антивирусное программное обеспечение может легко сломать важное приложение или полностью остановить аутентификацию в вашем домене. И хотя программное обеспечение AV за последние годы значительно улучшило свое влияние на производительность, некоторые типы сканирования могут оказать негативное влияние на приложения ввода-вывода или чувствительные к памяти приложения.

Я думаю, что есть довольно хорошо задокументированные недостатки использования антивирусного программного обеспечения на серверах, так в чем же преимущество? Якобы, вы защитили свои серверы от любой неприятности, которая фильтруется через ваши пограничные брандмауэры или вводится в вашу сеть. Но действительно ли вы защищены? Это не совсем понятно, и вот почему.

Кажется, что большинство успешных вредоносных программ имеют векторы атак, которые делятся на три категории: а) полагаться на невежественного конечного пользователя, чтобы случайно загрузить его, б) полагаться на уязвимость, которая существует в операционной системе, приложении или службе, или в) это нулевой день эксплуатируют. Ни один из них не должен быть реалистичным или уместным вектором атаки для серверов в хорошо управляемой организации.

а) Ты не будешь пользоваться Интернетом на своем сервере. Сделано и сделано. Серьезно, просто не делай этого.

б) Помните NIMDA? Код красный? Большинство их стратегий распространения опирались либо на социальную инженерию (конечный пользователь нажимал «да»), либо на известные уязвимости , для которых патчи уже были выпущены. Вы можете значительно уменьшить этот вектор атаки, следя за тем, чтобы быть в курсе обновлений безопасности.

в) Трудно иметь дело с подвигами нулевого дня. Если это нулевой день, по определению у вашего поставщика антивирусов еще не будет определений для него. Принцип глубокой защиты, принцип наименьших привилегий и минимальная поверхность атаки, действительно помогает. Короче говоря, не так много AV может сделать для этих типов уязвимостей.

Вы должны выполнить анализ риска самостоятельно, но в моей среде я думаю, что преимущества AV не настолько значительны, чтобы компенсировать риск.

Обычно мы настраиваем AV по расписанию и не используем сканирование в реальном времени (т. Е. Файлы не сканируются при их создании).

Это позволяет избежать большинства проблем, связанных с наличием AV на сервере. Поскольку никто (в идеале) ничего не выполняет на сервере, необходимость в защите в реальном времени уменьшается, особенно с учетом того, что клиенты имеют AV с Real Time.

Мы запускаем серверный продукт Vexira на наших серверах, но это может быть скорее функцией дисконтирования цен, чем эффективности. У нас было несколько рабочих станций, использующих их настольный продукт, которые откажутся от обновления, если мы не удалим и не переустановим последнюю версию.

У меня такое ощущение, что многие из этих проблем вызваны тем, что люди настраивают AV на серверах так, как если бы они были домашними ПК. Это может быть из-за недальновидного управления, жестких ограничений, жесткой приверженности корпоративным политикам, которые не учитывают должным образом различные потребности разных пользователей / машин, или бывшего администратора, который не совсем разбирался, но конечный результат - то же самое: хаос.

В идеальном мире я бы сказал: «используйте другой AV-продукт для своих серверов, такой же, как на ваших ПК, перед покупкой убедитесь, что он является подходящим серверным AV-продуктом, и возьмите что-нибудь с надписью« Symantec »на его ушах и выбросить это за дверь ".

С другой стороны, за 20 лет с десятками клиентов я никогда не видел контроллера домена, у которого не было зараженных общих дисков. Даже тогда на диске остались только инфекции, а не настоящие инфекции ОС. Вредоносное ПО, которое мы наблюдаем чаще всего, - это «криптолокер», которое фактически не заражает серверы. Он просто шифрует общие файлы. Если рабочая станция защищена должным образом, сервер не будет зашифрован.

То, что я вижу, является программным обеспечением AV, вызывающим проблемы. Я потратил часы, пытаясь выяснить, что изменилось только, чтобы найти обновление AV вызвало проблему. Даже при правильной настройке я видел проблемы. Я знаю, что люди расскажут мне лучшие практики, и все должны работать с AV. Я знаю, что кто-то укажет, что когда-нибудь это укусит меня за то, что у меня нет AV на каждом сервере. Вплоть до года или около того мы никогда не видели криптолокера, и теперь мы довольно часто делаем варианты (все, что не может быть остановлено несколькими разными брендами AV, правильно установленными на рабочей станции, между прочим.) Возможно, однажды будет другой червь вирус типа, который заражает серверы, но до этого времени я счастлив, что мне не приходится сталкиваться с проблемами AV на моих серверах SQL, печати и DC.

Я бы сказал, что это по сути то же самое, что и ответ KCE , поскольку он фактически не связан с контроллером домена, являющимся контроллером домена, и в большей степени связан с тем, что он является файловым сервером. Если вы решите объединить свой файловый сервер и роли DC, то вам придется рассматривать сервер как оба. DC никогда не должен работать вместе с базами данных, почтовыми серверами или файловыми серверами . Одна из первых вещей, которая происходит, когда сервер является DC, заключается в том, что кеширование файлов на этом сервере выключено.

Я понимаю, что эта ветка довольно старая, но я чувствовал, что эта тема не была полностью обсуждена, поскольку единственное упоминание касалось Антивируса или программного обеспечения AV на сервере DC.

1.) По моему мнению, программные AV прошли долгий путь по эффективности, но есть и подводные камни. Мало того, что AV потенциально глючит, AV имеет тенденцию потреблять память и не высвобождать ее, что не очень хорошо в производственной среде, вы действительно можете себе это позволить? Уч.

2.) Подумайте об этом . Если ваша первая линия защиты начинается на вашем DC и на других серверах, вы уже более чем наполовину побеждены. Почему кто-то хочет начать свою схему защиты на своих серверах . Начать усилия по активному сопротивлению угрозам в ядре сетевой вселенной - это безумие. Установление активной защиты на этом уровне вашей модели безопасности должно означать, что ваша сеть была уничтожена хакерами, и вы пытаетесь сохранить свою сеть в последней попытке (да, ваша сеть больше не подключена к чему-либо извне и вы активно боретесь с инфекцией внутри страны), вот как это должно быть плохо, чтобы начать защиту на DC и других серверах. Отфильтруйте и активно защищайтесь от угроз задолго до того, как угроза окажется на ваших серверах. Как же так? Пункт 3

3.) Вот почему некоторые CCIE / CCNP делают большие деньги. Любая организация, которая стоит своих усилий, купит какой-либо тип оборудования у Cisco / Barracuda / Juniper или иным образом, чтобы получить аппаратное решение на месте (потому что программное обеспечение AV не приближается к сокращению горчицы). Большинство программных AV (даже часто упоминаемые как корпоративные версии Symantec, McAfee, Norton и т. Д. И т. Д. И т. П.) Просто не подходят для обеспечения такой же защиты, как установка IronPorts от Cisco или других подобных продуктов от любой крупный поставщик. За 10 тысяч долларов из вашего бюджета на ИТ-отдел вы можете иметь очень респектабельную защиту, которую программные AV просто не предоставят вам.

4.) Я сократил программные AV до размеров, поэтому позвольте мне собрать их обратно. Программные AV, для меня, являются обязательными на любых рабочих станциях / ПК пользователя, без исключений. Они предотвращают причинение вреда / разрушение неведомыми или злонамеренными вашими сетями из внешних источников, например, они принесли свою флешку из дома и попытались скопировать некоторые работы, которые они выполняли дома прошлой ночью, на свою рабочую станцию. Эта область - единственная главная причина хорошего программного обеспечения AV. Вот почему программное обеспечение AV было изобретено (венский вирус), безо всякой другой причины, вупс . почти забыл реальную причину . чтобы воровать ваши деньги хорошо, хорошо, нм

5.) В любом случае . Ваш DC не будет извлекать выгоду или иметь препятствия от наличия программного обеспечения AV на нем. Ваши БД-серверы, веб-серверы пострадают, никаких программных AV-файлов на них нет, если вы действительно не находитесь под известной и устойчивой атакой (вы узнаете об этом не понаслышке из-за IronPorts и т. Д., Упомянутых в пункте 3).

6.) И последнее, но не менее важное: если вы не можете позволить себе хорошую настройку от Cisco или Juniper, переходите на Linux! Если у вас есть запасной компьютер или два лежащих рядом, проверьте свои варианты с некоторыми решениями OpenSource, доступными для вашей сети . Они мощные . и, как было отмечено выше, выбранный ответ, они должны быть настроены правильно . Помните того парня из CCIE / CCNP, о котором я говорил? Ага.

Контроллеры домена предоставляют физическое хранилище для AD DS базы данных, помимо предоставления служб и данных, позволяющих предприятиям эффективно управлять своими серверами, рабочими станциями, пользователями и приложениями. Если привилегированный доступ к контроллеру домена получает злоумышленник, этот пользователь может изменить, повредить или уничтожить базу данных AD DS и, по своему расширению, все системы и учетные записи, управляемые Active Directory.

Так как контроллеры домена могут считывать данные из базы данных AD DS и записывать их в любые данные, компрометация контроллера домена означает, что лес Active Directory не может считаться доверенным повторно, если вы не сможете восстановиться с помощью известной хорошей резервной копии и закрыть пропуски, которые позволили бы снизить безопасность процесса.

В зависимости от подготовки злоумышленника, инструментария и навыка, изменение или даже неустранимогоные AD DS повреждения базы данных могут быть выполнены за несколько минут, а не дней или недель. Важно то, что у злоумышленника есть привилегированный доступ к Active Directory, но сколько у злоумышленника запланирована на момент получения привилегированного доступа. Поставная безопасность контроллера домена может обеспечить наибольший укороченного путь к распространению уровня доступа или самый прямой путь к уничтожению рядовых серверов, рабочих станций и Active Directory. по этой причине контроллеры домена должны быть защищены по отдельности и более жестко, чем общая инфраструктура Windows.

Физическая безопасность для контроллеров домена

В этом разделе содержатся сведения о физической защите контроллеров домена, будь то контроллеры домена: физические или виртуальные машины, расположения центров обработки данных, офисы филиалов и даже удаленные расположения только с базовыми элементами управления инфраструктурой.

Контроллеры домена центра обработки данных

Физические контроллеры домена

В центрах обработки данных физические контроллеры домена должны быть установлены в выделенные защищенные стойки или отсеки, которые отделены от общего заполнения сервера. По возможности контроллеры домена должны быть настроены с использованием микропроцессоров доверенный платформенный модуль (TPM) (TPM), а все тома на серверах контроллеров домена должны быть защищены с помощью шифрование диска BitLocker. BitLocker обычно увеличивает затраты на производительность в процентах, состоящих из одной цифры, но защищает каталог от компрометации, даже если диски удаляются с сервера. BitLocker также помогает защитить системы от атак, таких как rootkit-программы, поскольку изменение загрузочных файлов приведет к загрузке сервера в режиме восстановления, чтобы можно было загрузить исходные двоичные файлы. Если контроллер домена настроен для использования программного RAID-массива, подключенного через последовательный порт SCSI, хранилища SAN/NAS или динамических томов, BitLocker не может быть реализован, поэтому в контроллерах домена по возможности следует использовать локально подключенное хранилище (с аппаратным RAID-массивом или без него).

Виртуальные контроллеры домена

При реализации виртуальных контроллеров домена следует убедиться, что контроллеры домена работают на разных физических узлах, а не на других виртуальных машинах в среде. даже если вы используете платформу виртуализации стороннего производителя, рассмотрите возможность развертывания виртуальных контроллеров домена на сервере Hyper-V в Windows Server 2012 или Windows Server 2008 R2, который обеспечивает минимальную поверхность атак и может управляться с помощью контроллеров домена, на которых он размещен, а не управлять с помощью остальных узлов виртуализации. при реализации System Center Virtual Machine Manager (SCVMM) для управления инфраструктурой виртуализации можно делегировать администрирование физическим узлам, на которых находятся виртуальные машины контроллера домена, и контроллерами домена для полномочных администраторов. Также следует рассмотреть возможность разделения хранилища виртуальных контроллеров домена, чтобы предотвратить доступ администраторов хранилища к файлам виртуальных машин.

Если вы планируете совместное размещение виртуализированных контроллеров домена с другими, менее конфиденциальными виртуальными машинами на тех же физических серверах виртуализации (узлами), рассмотрите возможность реализации решения, которое обеспечивает разделение обязанностей на основе ролей, например экранированные виртуальные машины в Hyper-V. Эта технология обеспечивает комплексную защиту от вредоносных или ненужных администраторов структуры (включая администраторов виртуализации, сети, хранилища и резервного копирования). Он использует физический корень доверия с удаленной аттестацией и безопасной подготовкой виртуальной машины, а также обеспечивает высокий уровень безопасности с выделенным физическим сервером.

Расположения ветвей

Физические контроллеры домена в ветвях

В расположениях, в которых несколько серверов находятся, но физически не защищены в степени, когда серверы центра обработки данных защищены, физические контроллеры домена должны быть настроены с использованием микросхемы TPM и шифрование диска BitLocker для всех томов сервера. Если контроллер домена не может храниться в заблокированной комнате в расположениях филиалов, следует рассмотреть возможность развертывания RODC в этих расположениях.

Виртуальные контроллеры домена в ветвях

По возможности следует запускать виртуальные контроллеры домена в филиалах на разных физических узлах, а не на других виртуальных машинах сайта. В филиалах, в которых виртуальные контроллеры домена не могут работать на разных физических узлах из оставшейся части заполнения Virtual Server, следует реализовать микросхемы TPM и шифрование диска BitLocker на узлах, где виртуальные контроллеры домена работают как минимум, и все узлы, если это возможно. В зависимости от размера филиала и безопасности физических узлов следует рассмотреть возможность развертывания RODC в расположениях ветвей.

Удаленные расположения с ограниченным пространством и безопасностью

Если в инфраструктуре есть расположения, в которых можно установить только один физический сервер, сервер, на котором выполняются рабочие нагрузки виртуализации, должен быть установлен в удаленном расположении, а шифрование диска BitLocker должны быть настроены для защиты всех томов на сервере. Одна виртуальная машина на сервере должна работать под управлением RODC, а другие серверы, работающие как отдельные виртуальные машины на узле. Сведения о планировании развертывания RODC приведены в руководств по планированию и развертыванию контроллера домена только для чтения. Дополнительные сведения о развертывании и защите виртуализованных контроллеров домена см. в статье работа с контроллерами домена в Hyper-V. Более подробные инструкции по усилению защиты Hyper-V, делегирования управления виртуальными машинами и защите виртуальных машин см. в статье акселератор решений для руководства по безопасности Hyper-v на веб-сайте Майкрософт.

Операционные системы контроллера домена

необходимо запустить все контроллеры домена в новейшей версии Windows Server, поддерживаемой в организации, и расставить приоритеты в списании устаревших операционных систем в совокупности контроллера домена. Сохраняя контроллеры домена в актуальном виде и исключая устаревшие контроллеры домена, часто можно воспользоваться преимуществами новых функций и безопасности, которые могут быть недоступны в доменах или лесах с контроллерами домена, работающими под управлением устаревшей операционной системы.

Как и для любой конфигурации с учетом параметров безопасности и с одним назначением, рекомендуется развернуть операционную систему в варианте установки Server Core . Он предоставляет несколько преимуществ, таких как минимизация уязвимой зоны, повышение производительности и снижение вероятности ошибки человека. Рекомендуется, чтобы все операции и управление выполнялись удаленно, от выделенных высокозащищенных конечных точек, таких как рабочие станции привилегированного доступа (привилегированным доступом) или безопасных административных узлов.

Защита конфигурации контроллеров домена

ряд свободно доступных средств, некоторые из которых устанавливаются по умолчанию в Windows, можно использовать для создания базового плана базовой конфигурации безопасности для контроллеров домена, которые впоследствии могут быть принудительно применены объектами групповой политики. Эти средства описаны в разделе Администрирование параметров политики безопасности документации по операционным системам Microsoft.

Ограничения RDP

Групповая политика объекты, которые связываются со всеми подразделениями контроллеров домена в лесу, должны быть настроены на разрешение подключений по протоколу RDP только от полномочных пользователей и систем (например, серверы переходят). Это можно сделать с помощью сочетания параметров прав пользователей и конфигурации с ПОВЫШЕНной настройкой, которые должны быть реализованы в объектах групповой политики для согласованного применения политики. Если это не так, при следующем групповая политика обновления возвращается система к соответствующей конфигурации.

Управление исправлениями и конфигурациями для контроллеров домена

хотя это может показаться нелогичным, следует рассмотреть возможность исправления контроллеров домена и других критических компонентов инфраструктуры отдельно от общей инфраструктуры Windows. Если вы используете программное обеспечение для управления конфигурацией предприятия для всех компьютеров в вашей инфраструктуре, для компрометации или уничтожения всех компонентов инфраструктуры, управляемых этим программным обеспечением, может быть использована компрометация программного обеспечения управления системами. Разделяя управление исправлениями и системами для контроллеров домена из общей совокупности, можно уменьшить объем программного обеспечения, установленного на контроллерах домена, в дополнение к тесному управлению ими.

Блокировка доступа к Интернету для контроллеров домена

Одной из проверок, выполняемых в рамках оценки безопасности Active Directory, является использование и Настройка Internet Explorer на контроллерах домена. Internet Explorer (или любой другой веб-браузер) не следует использовать на контроллерах домена, но анализ тысяч контроллеров домена обнаружил множество случаев, в которых привилегированные пользователи использовали Internet Explorer для просмотра интрасети организации или Интернета.

как было описано в разделе "недопущенная настройка", подключаясь к компрометации, просмотрев интернет (или зараженную интрасеть) от одного из самых мощных компьютеров в инфраструктуре Windows, используя учетную запись с высоким уровнем привилегий (по умолчанию единственными учетными записями, разрешенными для локального входа на контроллеры домена), обеспечивается безопасность организации. Независимо от того, есть ли у диска Загрузка или загрузка зараженных вредоносными программами программ, злоумышленник может получить доступ ко всем необходимым, чтобы полностью ослабить или уничтожить Active Directoryную среду.

несмотря на то, что Windows Server 2012, Windows server 2008 R2, Windows Server 2008 и текущие версии Internet Explorer предлагают ряд средств защиты от вредоносных загрузок, в большинстве случаев, когда контроллеры домена и привилегированные учетные записи использовались для просмотра интернета, контроллеры домена работают Windows Server 2003, или защита, предлагаемая более новыми операционными системами и браузерами, была намеренно отключена.

Запуск веб-браузеров на контроллерах домена должен быть запрещен не только политикой, но и техническими элементами управления, и контроллеры домена не должны иметь разрешения на доступ к Интернету. Если контроллеры домена должны реплицироваться между сайтами, следует реализовать безопасные подключения между сайтами. Хотя подробные инструкции по конфигурации выходят за рамки этого документа, можно реализовать ряд элементов управления, чтобы ограничить возможности контроллеров домена неправильно используемыми или ненастроенными и скомпрометированными.

Ограничения брандмауэра периметра

Брандмауэры периметра должны быть настроены для блокировки исходящих подключений от контроллеров домена к Интернету. Несмотря на то, что контроллерам домена может потребоваться взаимодействовать через границы сайта, брандмауэры периметра можно настроить таким способом, чтобы разрешить межсайтовую связь, следуя указаниям в руководстве Настройка брандмауэра для Active Directory доменов и отношений доверия на веб-сайте Служба поддержки Майкрософт.

Конфигурации брандмауэра контроллера домена

как было сказано ранее, следует использовать мастер настройки безопасности для записи параметров конфигурации брандмауэра Windows с повышенной безопасностью на контроллерах домена. Следует проверить выходные данные мастера настройки безопасности, чтобы убедиться, что параметры конфигурации брандмауэра соответствуют требованиям Организации, а затем использовать объекты групповой политики для применения параметров конфигурации.

Предотвращение веб-обзора с контроллеров домена

Для предотвращения доступа контроллеров домена к Интернету и предотвращения использования веб-браузеров на контроллерах домена можно использовать сочетание конфигурации AppLocker, конфигурации прокси-сервера "Черная дыра" и конфигурации с WFAS.

date

09.06.2021

directory

Windows Server 2016, Windows Server 2019

comments

комментариев 10

В Windows Server 2016 и 2019 по умолчанию установлен и включен “родной” бесплатный антивирус Microsoft — Windows Defender (начиная с Windows 10 2004 используется название Microsoft Defender). В этой статье мы рассмотрим особенности настройки и управления антивирусом Windows Defender в Windows Server 2019/2016.

Графический интерфейс Windows Defender

В версиях Windows Server 2016 и 2019 (в том числе в Core редакции) уже встроен движок антивируса Windows Defender (Защитник Windows). Вы можете проверить наличие установленного компонента Windows Defender Antivirus с помощью PowerShell:

Get-WindowsFeature | Where-Object | ft Name,DisplayName,Installstate

проверить, что движок Microsoft Defender антивируса установлен в Windows Server

Однако в Windows Server 2016 у Windows Defender по-умолчанию нет графического интерфейса управления. Вы можете установить графическую оболочку Windows Defender в Windows Server 2016 через консоль Server Manager (Add Roles and Features -> Features -> Windows Defender Features -> компонент GUI for Windows Defender).

GUI for Windows Defender установка на Windows Server 2016

Install-WindowsFeature -Name Windows-Defender-GUI

графический интерфейс Windows-Defender

Для удаления графического консоли Defender используется командлет:
Uninstall-WindowsFeature -Name Windows-Defender-GUI

В Windows Server 2019 графический интерфейс Defender основан на APPX приложении и доступен через меню Windows Security (панель Settings -> Update and Security).

Настройка Windows Defender производится через меню “Virus and threat protection”.

Панель управления Virus and threat protection в Windows Server 2019

Если вы не можете открыть меню настроек Defender, а при запуске апплета Windows Security у вас появляется ошибка “You’ll need a new app to open this windowsdefender”, нужно перерегистрировать APPX приложение с помощью файла манифеста такой командой PowerShell:

Add-AppxPackage -Register -DisableDevelopmentMode "C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppXManifest.xml"

Windows Security You’ll need a new app to open this windowsdefender

Удаление антивируса Microsoft Defender в Windows Server 2019 и 2016

В Windows 10 при установке любого стороннего антивируса (Kaspersky, McAfee, Symantec, и т.д.) встроенный антивирус Windows Defender автоматически отключается, однако в Windows Server этого не происходит. Отключать компонент встроенного антивируса нужно вручную (в большинстве случаев не рекомендуется использовать одновременно несколько разных антивирусов на одном компьютере/сервере).

Удалить компонент Windows Defender в Windows Server 2019/2016 можно из графической консоли Server Manager или такой PowerShell командой:

Uninstall-WindowsFeature -Name Windows-Defender

Не удаляйте Windows Defender, если на сервере отсутствует другой антивирус.

Add-WindowsFeature Windows-Defender-Features

Управление Windows Defender с помощью PowerShell

Рассмотрим типовые команды PowerShell, которые можно использовать для управления антивирусом Windows Defender.

Проверить, запущена ли служба Windows Defender Antivirus Service можно с помощью команды PowerShell Get-Service:

служба WinDefend (Windows Defender Antivirus Service )

Как вы видите, служба запушена (статус – Running ).

Некоторые причины, из-за которых служба Windows Defender не запускается в Windows 10 рассмотрены в статье Служба работы с угрозами остановлена.

Текущие настройки и статус Defender можно вывести с помощью командлета:

Get-MpComputerStatus команда проверки состояния антивируса Microosft Defender

Вывод комадлета содержит версию и дату обновления антивирусных баз (AntivirusSignatureLastUpdated, AntispywareSignatureLastUpdated), включенные компоненты антвируса, время последнего сканирования (QuickScanStartTime) и т.д.

Отключить защиту в реальном времени Windows Defender (RealTimeProtectionEnabled) можно с помощью команды:

Set-MpPreference -DisableRealtimeMonitoring $true

После выполнения данной команды, антивирус не будет сканировать на лету все обрабатываемые системой файлы.

Set-MpPreference -DisableRealtimeMonitoring $false

Более полный список командлетов PowerShell, которые можно использовать для управления антивирусом есть в статье Управление Windows Defender с помощью PowerShell.

Добавить исключения в антивирусе Windows Defender

В антивирусе Microsoft можно задать список исключений – это имена, расширения файлов, каталоги, которые нужно исключить из автоматической проверки антивирусом Windows Defender.

Особенность Защитника в Windows Server – он автоматически генерируемый список исключений антивируса, который применяется в зависимости от установленных ролей сервера. Например, при установке роли Hyper-V в исключения антивируса добавляются файлы виртуальных и дифференциальных дисков, vhds дисков (*.vhd, *.vhdx, *.avhd), снапшоты и другие файлы виртуальных машин, каталоги и процессы Hyper-V (Vmms.exe, Vmwp.exe)

Если нужно отключить автоматические исключения Microsoft Defender, выполните команду:

Set-MpPreference -DisableAutoExclusions $true

Чтобы вручную добавить определенные каталоги в список исключения антивируса, выполните команду:

Set-MpPreference -ExclusionPath "C:\Test", "C:\VM", "C:\Nano"

Чтобы исключить антивирусную проверку определенных процессов, выполните команду:

Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe"

Получаем статус Windows Defender с удаленных компьютеров через PowerShell

Вы можете удаленно опросить состояние Microsoft Defender на удаленных компьютерах с помощью PowerShell. Следующий простой скрипт при помощи командлета Get-ADComputer выберет все Windows Server хосты в домене и через WinRM (командлетом Invoke-Command) получит состояние антивируса, время последнего обновления баз и т.д.

$Report = @()
$servers= Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) $defenderinfo= Invoke-Command $server -ScriptBlock
If ($defenderinfo) $objReport = [PSCustomObject]@User = $defenderinfo.PSComputername
Antivirusenabled = $defenderinfo.Antivirusenabled
RealTimeProtectionEnabled = $defenderinfo.RealTimeProtectionEnabled
AntivirusSignatureLastUpdated = $defenderinfo.AntivirusSignatureLastUpdated
QuickScanAge = $defenderinfo.QuickScanAge
FullScanAge = $defenderinfo.FullScanAge
>
$Report += $objReport
>
>
$Report|ft

Опрос состояния Microsoft Defender на серверах Windows Server в домене Active Directory через PowerShell

Для получения информации о срабатываниях антивируса с удаленных компьютеров можно использовать такой PowerShell скрипт:

$Report = @()
$servers= Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"'| Select-Object -ExpandProperty Name
foreach ($server in $servers) $defenderalerts= Invoke-Command $server -ScriptBlock
If ($defenderalerts) foreach ($defenderalert in $defenderalerts) $objReport = [PSCustomObject]@Computer = $defenderalert.PSComputername
DomainUser = $defenderalert.DomainUser
ProcessName = $defenderalert.ProcessName
InitialDetectionTime = $defenderalert.InitialDetectionTime
CleaningActionID = $defenderalert.CleaningActionID
Resources = $defenderalert.Resources
>
$Report += $objReport
>
>
>
$Report|ft

В отчете видно имя зараженного файла, выполненное действие, пользователь и процесс-владелец.

poweshell скрипт для сбора информации об обнаруженных угрозах Windows Defender с удаленных компьютеров

Обновление антивируса Windows Defender

Антивирус Windows Defender может автоматически обновляться из Интернета с серверов Windows Update. Если в вашей внутренней сети установлен сервер WSUS, антивирус может получать обновления с него. Убедитесь, что установка обновлений одобрена на стороне WSUS сервера (в консоли WSUS обновления антивирусных баз Windows Defender, называются Definition Updates), а клиенты нацелены на нужный сервер WSUS с помощью GPO.

WSUS - Definition Updates

В некоторых случаях, после получения кривого обновления, Защитник Windows может работать некорректно. В этом случае рекомендуется сбросить текущие базы и перекачать их заново:

"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -RemoveDefinitions -All
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" –SignatureUpdate

Если на сервере нет прямого доступа в Интернет, вы можете настроить обновление Microsoft Defender из сетевой папки.

Укажите путь к сетевому каталогу с обновлениями в настройках Defender:
Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \\fs01\Updates\Defender

Запустите обновление базы сигнатур:

Update-MpSignature -UpdateSource FileShares

Управление настройками Microsoft Defender Antivirus с помощью GPO

Вы можете управлять основными параметрами Microsoft Defender на компьютерах и серверах домена централизованно с помощью GPO. Для этого используется отдельный раздел групповых политик Computer Configurations -> Administrative Template -> Windows Component -> Windows Defender Antivirus.

В этом разделе доступно более 100 различных параметров для управления настройками Microsoft Defender.

Например, для отключения антивируса нужно включить параметр GPO Turn off Windows Defender Antivirus.

Групповые политики для управления антвирусом Microsoft Defender

Централизованное управление Windows Defender доступно через Advanced Threat Protection доступно через портал “Azure Security Center” (ASC) при наличии подписки (около 15$ за сервер в месяц).

Читайте также: