iT邦幫忙

3

Server 安裝防毒軟體?

  • 分享至 

  • xImage

如果一台Windows 的Server
只做服務
不讓User或任何人連上本機操作
這樣還有裝防毒軟體的必要嗎?

印象中病毒
都是要在本機上被執行才會開始破懷的行為
透過微軟某個漏洞來攻擊的病毒
防毒軟體的作用應該也不大

還是太小看防毒軟體了? XDXD

看更多先前的討論...收起先前的討論...
allenjung iT邦新手 5 級 ‧ 2017-09-11 10:52:00 檢舉
有開80port對外嗎???
如果Local Lan機率確實比較低~~
實體設備~建議可以用acronis
vm的話就snapshot吧!!
有開網芳只要USER有權限就有辦法給伺服器上面的檔案加密,伺服器防毒要找有能力防止異常加密的,自己找吧
除非你的備援政策弄得很好沒在怕,那裝不裝就無所謂了
丹尼 iT邦研究生 4 級 ‧ 2017-09-11 11:29:23 檢舉
我都裝賽門鐵克
WanaCry 那次有些防毒軟體是有擋下來的
至少裝個免費版心安一下吧 ~~
andylau iT邦新手 3 級 ‧ 2017-09-11 12:53:41 檢舉
To 發大:
依你說的情形, 所以排除掉當File Server的部分, 其他Server (Web/SQL) 應該就沒有裝的需要了吧?
msnman iT邦研究生 1 級 ‧ 2017-09-11 13:33:32 檢舉
很多病毒中毒後是會鏈鎖式感染其他電腦的,像蠕蟲、僵屍…等。
裝賽門鐵克 +1
Endpoint 企業授權
andylau:基本上,個人建議一定要裝,因為或多或少都一定會開SMB這個服務,除非你們環境打算關掉它,目前說 3.0版很安全,問題是零點攻擊的時代,誰能保證絕對安全,就我所知,光是要防異常加密的防毒,十人環境一年就要六十萬左右,有些甚至要百萬以上,看你們啦,很多時候,基本功做好,就算資料全毀也沒再怕的,我去年公司中獎,我也只花一小時就把資料倒回來,除了大包工那個人的電腦要重灌之外,也沒什麼覺得,病毒有多可怕
看你要時不時地災復或是買基本的保心安,最重要的是教育訓練,要不停地提醒用戶端什麼不能做,最好每周都提醒,工作忙碌,有些小事,你沒提醒,一堆大包工會幫你包攬一堆只能你才能處理的大工程
莫非定律,認為不會,就一定會,所以樓主考量的都是我不要幹啥,可是那些狀況鐵定會發生
IT人員有降低環境風險的職責,除非你今天薪水太低,低到沒辦法讓你的腦袋動起來
那麼,我們也不能講什麼,有時候要痛一次,老闆才知道預算不能省
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
iT邦新手 2 級 ‧ 2017-09-11 10:40:46

雖然知道不可能裝了防毒就無敵,
不過該做的防護還是得做,
多少還是可以擋去基本攻擊~

0
hsiang11
iT邦好手 1 級 ‧ 2017-09-11 12:14:25

目前windows server最大的漏洞在網芳吧
除非捨棄不用,我猜想還是有不少洞存在
wannacry那次打趴了不少電腦
如果區網中一台,其他電腦也群聚感染
這就真的考驗IT的管理 有沒有把防火牆管好,patch有沒有上
要說防毒不重要
應該會像我公司省到防毒都沒買,有趣的也還沒人反應有中毒
問我公司電腦有沒有中毒,我不知道,因為沒有掃描的報告與記錄給我看
我也沒辦法每天去看每台電腦有沒有中毒跡象
看起來沒事,大家就當沒這回事了

其實防毒大量買大多也是很好談的
以前待過大公司談進來的授權根本是隨便你裝的
根本不會擔心電腦沒防毒這事

0
James
iT邦大師 6 級 ‧ 2017-09-11 12:26:48

Server 不裝防毒的這邊按Like

8
Ray
iT邦大神 1 級 ‧ 2017-09-11 21:02:10

安全, 需要培養正確的意識, 才能有效防禦...看看以下問答:

  1. 沒人登入的 Server, 就不會受害?
    1A: 請問: 一台「完全沒人可以登入的 Server」, 有誰可以進去修改各種設定和調整? 如果連 IP/密碼 都不能有任何人進去改, 這台 Server 安裝好之後還能幹嘛?

所以, administrator 是不是人? Domain Admins 群組裡面的那群人是不是人? 委外廠商是不是人? (我知道: 這些都累得像「狗」了) 以上這些「人」, 誰敢保證自己登入的時候, 不會無意中帶了病毒進去? 誰能 100% 保證: 登入一千次, 一萬次, 都不會發生一次嗎?....(只要一次就好....讓你死光光)

  1. 病毒要在本機上執行才能進行破壞?
    2A: 請看看這篇漏洞影響多少作業系統:Vulnerability in HTTP.sys Could Allow Remote Code Execution (3042553), 但是, 這個漏洞需要本機執行嗎? 不用耶, 有人寫了一個 PowerShell, 從遠端就可以把你幹掉:
    Exploiting MS15-034 with PowerShell

漏洞有多少? 這裡有 Server 2003 所有的漏洞:
Microsoft » Windows Server 2003 : Security Vulnerabilities, 你可以自己在右上角輸入你想查的作業系統版本, 然後選搜尋結果裡面的: List of security vulnerabilities 就可以知道...

(可是微軟會負責補這些漏洞啊, 我只要負責更新就好了不是嗎?)

是啊, 問題是: 從漏洞被公開, 到微軟發布更新, 中間隔多久? 這段時間內, 你是處於完全沒有防禦的狀態喔! 我們稱這段空窗期間為「Zero Day」, 利用 Zero Day 進行攻擊的手法稱為: 零時差攻擊 (Zero Day Attack )

更何況, Microsoft 不一定會幫你補漏洞耶:
研究人員找到瀏覽器漏洞,但微軟拒絕修補Microsoft Edge

附贈一個, 這裡有針對所有漏洞撰寫的自動攻擊碼, 任何人 (包括公司內部的員工, 那些: 快要離職的啦, 不滿上司的啦, 昨晚吵架的啦.....) 只要拿到這些攻擊碼在自己的電腦上執行, 就有可能可以破壞某個目標系統, 你無須在目標 Server 上面執行這攻擊碼:
Remote Code Execution Exploits

  1. 透過漏洞攻擊, 防毒軟體也沒作用?
    3A: 請問 WannaCry 在內網是否透過漏洞傳播的? (是吧, 不知道的人可以去查查看, 要不然怎麼只要有一台中了, 全公司電腦就都中了?), 這裡實測 20 款防毒軟體, 其中有 5 款可以攔住 WannaCry:
    WannaCry 勒索病毒 : 20 款防毒軟體 主動防禦測試
    有沒有效? 你可以自己判斷....

一個好的防毒/防惡意軟體, 必定有 Client 版和 Server 版兩種分別, 因為 Client 端要防禦的東西, 跟 Server 上的東西是截然不同的. 如果你拿 Client 版去裝在 Server 上, 然後再來說 Server 上裝防毒沒有用?....那我也只能醉了....

(...那我只提供 Web 服務, 是否就可以避免發生漏洞?)

你要不先看一下這個? 這邊的漏洞全部都是透過 Web 打出來的:
用戶所提交的漏洞列表。
當然, 這種漏洞已經不是防毒可以擋的, 屬於 WAF 的層次了....

(............那我只裝 SQL 呢?......)
/images/emoticon/emoticon16.gif
你就一定要看到屍體才會死心是嘛?
Microsoft » Sql Server : Security Vulnerabilities
.
.
總結, 到底 Server 能不能不要裝防毒軟體?
.
.
.
.
.
....當然可以, 如果你內心完全不會感到恐懼的話....
....或是你覺得, 上面寫的都不可能發生在你身上....
....而且你有把握, 公司同事裡面不會有個豬隊友....

看更多先前的回應...收起先前的回應...
froce iT邦大師 1 級 ‧ 2017-09-12 06:57:13 檢舉

大神真是語重心長啊。
要是我就只會說,你當然可以不要裝,如果你覺得出了事,還會有公司敢找你當IT的話。
就算每天都拜一箱乖乖,我也不敢server不裝防毒,不做防護。

尼克 iT邦大師 1 級 ‧ 2017-09-12 09:17:25 檢舉

開示!/images/emoticon/emoticon34.gif

這篇最中肯

hsiang11 iT邦好手 1 級 ‧ 2017-09-15 16:03:13 檢舉

其實我估計台灣的Linux Server應該有8成沒有裝防毒XD
只要有Linux就像神功護體一樣 百毒不侵阿

Ray iT邦大神 1 級 ‧ 2017-09-15 16:37:52 檢舉

其實我管的 Linux 都有裝防毒或某種掃描機制....因為過去 20 年以來, 我曾遇過十多次 Linux Server 被入侵裝了木馬或後門的經驗....

我要發表回答

立即登入回答