Installer un antivirus sur un serveur web, est-ce une bonne idée?

Je viens de recevoir un serveur dédié avec Windows 2008 Standard Edition et j'essaie de faire la configuration nécessaire pour exécuter mon application Web dessus.

Je me demandais, est-ce une bonne idée d'installer un antivirus sur le serveur Web? Dans l'application, les utilisateurs ne peuvent pas télécharger de fichiers à l'exception des images (et ils ont vérifié qu'il s'agissait d'images dans le code de l'application avant d'être enregistrés sur le serveur). Je suis encouragé à ne pas installer d'antivirus afin de ne pas affecter les performances ou causer des problèmes avec l'application, vais-je manquer quelque chose en faisant cela?

Merci

Un serveur Web bien géré ne devrait à mon humble avis pas installé de package antivirus commercial (AV). Le type de virus de macro Office et de chevaux de Troie de masse pour lesquels les packages AV sont optimisés ne correspond pas aux problèmes d'un serveur Web.

Ce que vous devez faire, c'est:

1. Absolument obsédé par la validation des entrées. Exemples: que les utilisateurs ne peuvent pas télécharger de contenu malveillant sur votre site (virus, injection SQL, etc.); que vous n'êtes pas vulnérable aux attaques de script intersite, etc.
2. Gardez votre serveur mis à jour avec les dernières mises à jour de sécurité et configuré selon les meilleures pratiques. Regardez des choses comme la boîte à outils de sécurité Microsofts .
3. Avoir un pare-feu séparé. Ne vous aide pas beaucoup en ce qui concerne les intrusions, mais il ajoute une autre couche de défense contre les services réseau mal configurés et aide aux attaques DOS simples. Cela aide également beaucoup à verrouiller les possibilités de gestion à distance, etc.
4. Installez un système de détection d'intrusion hôte (H-IDS) sur votre serveur, sur le modèle du vénérable Tripwire .

Il y a beaucoup de confusion sur les termes, les mots sont souvent utilisés de différentes manières ici. Pour être clair, ce que je veux dire par un H-IDS ici est:

• un service sur un ordinateur
• qui contrôle en continu tous les fichiers exécutables sur l'ordinateur
• et lance une alerte chaque fois qu'un fichier exécutable a été ajouté ou modifié (sans autorisation).

En fait, un bon H-IDS fera un peu plus que cela, comme la surveillance des autorisations de fichiers, l'accès au registre, etc., mais ce qui précède en donne l'essentiel.

Un système de détection d'intrusion hôte prend une certaine configuration, car il peut donner beaucoup de fausses erreurs s'il n'est pas configuré correctement. Mais une fois qu'il sera opérationnel, il détectera plus d'intrusions que les packages AV. En particulier, H-IDS devrait détecter une porte dérobée de pirate unique en son genre, qu'un package AV commercial ne détectera probablement pas.

H-IDS est également plus léger sur la charge du serveur, mais c'est un avantage secondaire - le principal avantage est un meilleur taux de détection.

Maintenant, si les ressources sont limitées; si le choix est entre un package AV commercial et ne rien faire, j'installe l'AV . Mais sachez que ce n'est pas idéal.

Ça dépend. Si vous n'exécutez aucun code inconnu, cela peut ne pas être nécessaire.

Si vous avez un fichier infecté par un virus, le fichier lui-même est inoffensif lorsqu'il se trouve sur le disque dur. Il ne devient dangereux qu'une fois que vous l'exécutez. Contrôlez-vous tout ce qui est exécuté sur le serveur?

Une légère variation est le téléchargement de fichiers. Ils sont inoffensifs pour votre serveur - si je télécharge une image manipulée ou un .exe infesté de chevaux de Troie, rien ne se passera (sauf si vous l'exécutez). Cependant, si d'autres personnes téléchargent ensuite ces fichiers infectés (ou si l'image manipulée est utilisée sur la page), leurs PC peuvent être infectés.

Si votre site permet aux utilisateurs de télécharger tout ce qui est affiché ou téléchargeable pour d'autres utilisateurs, vous pouvez soit installer un antivirus sur le serveur Web, soit disposer d'une sorte de "Virus Scanning Server" sur votre réseau qui analyse chaque fichier.

Une troisième option serait d'installer Anti-Virus mais de désactiver l'analyse à l'accès au profit d'une analyse planifiée pendant les heures creuses.

Et pour inverser complètement cette réponse de 180 °: il vaut généralement mieux prévenir que guérir. Si vous travaillez sur le serveur Web, il est facile de cliquer accidentellement sur un mauvais fichier et de faire des ravages. Bien sûr, vous pouvez vous y connecter mille fois pour faire quelque chose sur RDP sans toucher à aucun fichier, mais la 1001e fois, vous exécuterez accidentellement cet exe et le regretterez, car vous ne pouvez même pas savoir avec certitude ce que fait un virus (de nos jours, ils téléchargent de nouveaux code à partir d'Internet également) et devrait effectuer des analyses approfondies sur l'ensemble de votre réseau.

Si c'est basé sur Windows, ce que vous avez dit, je le ferais. J'essaierais également de trouver une forme de détection d'intrusion d'hôte (un programme qui surveille / audite les fichiers qui changent sur le serveur et vous alerte des changements).

Ce n'est pas parce que vous ne modifiez pas les fichiers sur le serveur qu'il n'y a pas de débordement de tampon ou de vulnérabilité qui permettra à quelqu'un d'autre de modifier les fichiers à distance sur le serveur.

Lorsqu'il y a une vulnérabilité, le fait qu'il y ait un exploit est généralement connu dans un laps de temps entre la découverte et la distribution du correctif, alors il y a une fenêtre de temps jusqu'à ce que vous obteniez le correctif et l'appliquiez. Pendant ce temps, il existe généralement une forme d'exploitation automatisée disponible et les script kiddies l'exécutent pour étendre leurs réseaux de robots.

Notez que cela affecte également les AV depuis: nouveau malware créé, malware distribué, l'échantillon va à votre entreprise AV, analyse de l'entreprise AV, entreprise AV publie une nouvelle signature, vous mettez à jour la signature, vous êtes censé être "sûr", répétez le cycle. Il y a encore une fenêtre où il se propage automatiquement avant d'être «inoffensé».

Idéalement, vous pouvez simplement exécuter quelque chose qui vérifie les modifications de fichiers et vous avertit, comme TripWire ou des fonctionnalités similaires, et conserver les journaux sur une autre machine qui est un peu isolée de l'utilisation, donc si le système est compromis, les journaux ne sont pas modifiés. Le problème est qu'une fois que le fichier est détecté comme nouveau ou modifié, vous êtes déjà infecté et une fois que vous êtes infecté ou qu'un intrus est arrivé, il est trop tard pour croire que la machine n'a pas subi d'autres modifications. Si quelqu'un a piraté le système, il aurait pu modifier d'autres fichiers binaires.

Ensuite, il s'agit de faire confiance aux sommes de contrôle et aux journaux d'intrusion de l'hôte et à vos propres compétences pour tout nettoyer, y compris les rootkits et les fichiers de flux de données alternatifs qui s'y trouvent éventuellement? Ou faites-vous les «meilleures pratiques» et effacez et restaurez à partir de la sauvegarde, car les journaux d'intrusion devraient au moins vous dire quand cela s'est produit?

Tout système connecté à Internet exécutant un service peut être potentiellement exploité. Si vous avez un système connecté à Internet mais ne fonctionne pas avec des services, je dirais que vous êtes très probablement en sécurité. Les serveurs Web n'entrent pas dans cette catégorie :-)

Oui toujours. Citant ma réponse du superutilisateur :

S'il est connecté à des machines qui peuvent être connectées à Internet, alors absolument oui.

De nombreuses options sont disponibles. Bien que je n'aime pas personnellement McAfee ou Norton, ils sont là-bas. Il y a aussi AVG , F-Secure , ClamAV (bien que le port win32 ne soit plus actif), et je suis sûr que des centaines d'autres :)

Microsoft a même travaillé sur un - je ne sais pas s'il est disponible en dehors de la version bêta, mais il existe.

ClamWin , mentionné par @ J Pablo .