iT邦幫忙

0

win2003 DC 和 Exchange2007 平常應該多久掃毒一次 ?

請問大大:
公司有2台Win2003 R2 DC server(AD、DHCP、DNS) + 一台exchange2007(WIN2003X64 R2) , 以前國外長官說平常不要啟動掃毒?! 請教大大, 這樣說法是正確的嗎? 還是怕掃毒程式萬一誤判把核心重要檔案刪了嗎? 那平常該如何規劃這部份的掃毒? 3Q~

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

14
Ray
iT邦大神 1 級 ‧ 2010-06-17 16:33:38
最佳解答

我個人也傾向 DC 和 Exchange 不要輕易啟動全面掃毒作業, 否則會被公司員工追殺...

主要有幾個問題:

  1. 全面掃毒會霸佔住 Disk I/O, 造成所有服務, 例如: DC, DNS, DHCP, Exchange...等反應遲鈍, 如果當初規劃的儲存體效能不足的話, 有可能一個查詢就會卡上10幾20分鐘, 別說是 User 等不下去, 有些像 DC 只要卡住幾十秒, 就可能造成全公司大當機了....

  2. DC 和 Exchange 都會以 Exclusive Open 的方式來開檔, 當他開啟檔案時, 你的掃毒軟體也無法對這些檔案進行掃毒, 尤其 Exchange, 很多檔案只要服務一起動, 就是永遠霸佔住, 掃毒軟體根本沒機會進去掃, 除非你把服務停掉.

  3. 就算服務沒有獨占檔案, 但萬一掃毒軟體正在掃某個檔案時, 某個服務卻正好需要對該檔案建立 Exclusive Open, 這時很可能會造成開檔失敗, 萬一運氣不好, 說不定整個服務都馬上停擺 (不是每個程式設計師都會好心的幫妳寫 Re-Try 函式). 一樣要被公司同仁追殺....

  4. 如果你能嚴守以下規定:

不在 DC/Exchange 主機連上任何不信任的網站;
不把任何不信任的檔案拷貝到 DC/Exchange 主機;
不再 DC/Exchange 主機執行任何不信任的程式;

基本上, 只要做到以上三點, 主機本身中毒的機率微乎其微 (除非微軟自己撒出來...:-), 剩下的問題, 就只有透過網路去入侵或攻擊 DC/Exchange 主機了, 但這個問題可以用幾個方法來解決:

在主機上安裝 IPS/IDP 防禦軟體 (這跟防毒軟體不一樣, 不會耗用硬碟效能)
在主機周圍安裝 IPS/IDP 網路防禦設備 (例如: UTM 防火牆)

透過這些方法, 都可以確保你的主機不會中毒或當機, 且還維持高效能服務.

將來如果你升級到 2008, 想要使用 2008 DFS 功能的話, 更是要注意防毒軟體是否能與 DFS 相容? 如果防毒軟體不懂得針對 DFS 做特殊處理的話 (目前懂 DFS 的防毒只有一種), 您的整個系統可能會隨時都被觸發全面複寫, 把所有網路頻寬都給塞爆....

所以我的建議是: 不要輕易在主機上安裝防毒軟體, 除非你很清楚這些防毒軟體在做甚麼, 以及他對於你系統的干擾程度有多少, 同時你的企業也能忍受這些干擾....

但這並不代表你可以完全放棄安全防禦, 別忘了, 防禦可以從網路外圍就開始...

vicyeh5 iT邦新手 2 級 ‧ 2010-06-18 00:20:49 檢舉

感謝大大這麼用心說明^^ 我終於了解了~ 謝謝.

我要發表回答

立即登入回答