none
Антивирус на хостах виртуализации. RRS feed

  • Общие обсуждения

  • Добрый день Уважаемые коллеги!

    Есть два хоста виртуализации с WS 2012 R2 c ролью Hyper-V. На данный момент на гипервизоре "крутятся" виртуалки в продакшине.

    Есть Антивирусный продукт, который мы собираемся поставить на текущие хосты виртуализации - продукт NOD32.

    Вопрос:

     Есть ли какие ни будь подводные камни дабы избежать проблем для виртуального окружения ? Либо официальные документы от MS, рекомендации по данному поводу ?

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    3 февраля 2014 г. 5:18

Все ответы

  • И совершенно зря Вы это собираетесь делать. Тем более с NOD32. Вообще, не рекомендуется установка каких-либо сторонних приложений (а антивирус таковым является) в родительский раздел.

    Рекомендации от Майкрософт изложен в базе знаний 961804, если уж Вы установили. Также ознакомьтесь с данным разделом библиотеки.

    3 февраля 2014 г. 6:13
    Модератор
  •  Сапсибо Денис! Нет еще не ставили, вот и решили обмозговать данную тему.

    То есть если я вас правильно понял, то в родительсую партицию ничего не ставится из антивирусного ПО, кроме как необходимых обновлений для самой ОС и то с некоторой осторожностью, а вся защита осуществляется в рамках гостевых ОС , так ?


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!



    • Изменено rеstless 3 февраля 2014 г. 10:04
    3 февраля 2014 г. 10:03
  • Если все таки решите ставить, то рекомендую...

    Windows Server 2012 Hyper-V Best Practices (In Easy Checklist Form)

    Hyper-V Security или безопасность Hyper-V

    "Сконфигурируйте антивирусное программное обеспечение, исключите из сканирования в реальном времени ресурсы Hyper-V"

    Хотя стабильнее работает при отсутствии антивируса на родительских разделах с условием защиты дочерних.


    Have a nice day !!!

    3 февраля 2014 г. 10:12
  • Нет еще не ставили



    И не надо -)
    Вообще, если в целом хотите рассмотреть вопросы безопасности Hyper-V, обратите внимание на решение 5nine Cloud Security. Там и безагентный антивирус для ВМ, и контроль трафика ВМ, и IDS. И работает это в контексте разработанной под Hyper-V службы.
    3 февраля 2014 г. 10:30
    Модератор
  • И совершенно зря Вы это собираетесь делать. Тем более с NOD32. Вообще, не рекомендуется установка каких-либо сторонних приложений (а антивирус таковым является) в родительский раздел.

    Рекомендации от Майкрософт изложен в базе знаний 961804, если уж Вы установили. Также ознакомьтесь с данным разделом библиотеки.

     Ну так а как тогда защищать сам хост виртуализации, то есть серверные службы ?

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    3 февраля 2014 г. 10:34
  •  Что бы корректно сформулировать:

    1. Хотелось бы понять, какая логика тогда защиты самого хоста виртуализации  ? (5nine Cloud Security) как решение ? Я так понял, что без SCVMM все равно нам не обойтись , то есть 5nine Cloud Security это как дополнительное решение по защите хоста виртуализации, или в принципе как замена SCVMM ?

    P.S.я так понял, что вот с такими фичами  нам SCVMM не нужен совсем ..


    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!





    • Изменено rеstless 3 февраля 2014 г. 11:04
    3 февраля 2014 г. 10:54
  • По своей практике устанавливать антивирусы на сам хост виртуализации при наличии Server Core смысла нет. Что защищать, файловую систему? Ценность ее сомнительна при практически нулевой ценности родительского раздела.

    Нужно просто прийти к пониманию того, переустановить хост быстрее и проще (а в некоторых случаях и правильнее), чем его траблшутить. В части неспециализированных для гипервизоров  антивирусных решений (а NOD32 очевидный пример) траблшутинга, полагаю, неизбежать, несмотря за задаваемые исключения.

    Что касается 5nine Cloud Security, его специфика сводится к обеспечению безопасности виртуальных машин. И не требует SCVMM, но при наличии оного может поставляться как плагин.

    3 февраля 2014 г. 11:18
    Модератор
  • По своей практике устанавливать антивирусы на сам хост виртуализации при наличии Server Core смысла нет. Что защищать, файловую систему? Ценность ее сомнительна при практически нулевой ценности родительского раздела.

    Нужно просто прийти к пониманию того, переустановить хост быстрее и проще (а в некоторых случаях и правильнее), чем его траблшутить. В части неспециализированных для гипервизоров  антивирусных решений (а NOD32 очевидный пример) траблшутинга, полагаю, неизбежать, несмотря за задаваемые исключения.

    Что касается 5nine Cloud Security, его специфика сводится к обеспечению безопасности виртуальных машин. И не требует SCVMM, но при наличии оного может поставляться как плагин.

     Понял вас Денис!

    Но у меня не Core режим, а GUI  WS 2012 R2 Datacenter, тогда что мне в настоящее время предпринять ? 


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 3 февраля 2014 г. 11:29
    3 февраля 2014 г. 11:29
  • По своей практике устанавливать антивирусы на сам хост виртуализации при наличии Server Core смысла нет. Что защищать, файловую систему? Ценность ее сомнительна при практически нулевой ценности родительского раздела.

    Нужно просто прийти к пониманию того, переустановить хост быстрее и проще (а в некоторых случаях и правильнее), чем его траблшутить. В части неспециализированных для гипервизоров  антивирусных решений (а NOD32 очевидный пример) траблшутинга, полагаю, неизбежать, несмотря за задаваемые исключения.

    Что касается 5nine Cloud Security, его специфика сводится к обеспечению безопасности виртуальных машин. И не требует SCVMM, но при наличии оного может поставляться как плагин.

     Понял вас Денис!

    Но у меня не Core режим, а GUI  WS 2012 R2 Datacenter, тогда что мне в настоящее время предпринять ? 


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    К Core режиму можно (нужно :) ) привыкнуть. Поэтому если вас кластер из 3-х серверов, то можно по одному переустановить.

    Хотя Core режим это рекомендация MS, решать Вам (переустанавиливать или нет), т.к. Вы администрируете и отвечаете за работоспособность!


    Have a nice day !!!

    3 февраля 2014 г. 11:56
  • Во-первых, ничего не мешает Вам отключить GUI. Во-вторых, первое не отменяет того, что нужно соблюдать те рекомендации, которые приведены в ссылках выше.
    3 февраля 2014 г. 12:01
    Модератор
  • По своей практике устанавливать антивирусы на сам хост виртуализации при наличии Server Core смысла нет. Что защищать, файловую систему? Ценность ее сомнительна при практически нулевой ценности родительского раздела.

    Нужно просто прийти к пониманию того, переустановить хост быстрее и проще (а в некоторых случаях и правильнее), чем его траблшутить. В части неспециализированных для гипервизоров  антивирусных решений (а NOD32 очевидный пример) траблшутинга, полагаю, неизбежать, несмотря за задаваемые исключения.

    Что касается 5nine Cloud Security, его специфика сводится к обеспечению безопасности виртуальных машин. И не требует SCVMM, но при наличии оного может поставляться как плагин.

     Понял вас Денис!

    Но у меня не Core режим, а GUI  WS 2012 R2 Datacenter, тогда что мне в настоящее время предпринять ? 


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    К Core режиму можно (нужно :) ) привыкнуть. Поэтому если вас кластер из 3-х серверов, то можно по одному переустановить.

    Хотя Core режим это рекомендация MS, решать Вам (переустанавиливать или нет), т.к. Вы администрируете и отвечаете за работоспособность!


    Have a nice day !!!

     Да вы правы, потому как как поведут себя драйвера HBA так как через него подключены стораджы как для хостов виртуализации, так и для гостевых ОС. Привыкнуть к Core режиму-уже давно привыкли. Хотя не что не мешает управлять либо при помощи того же Hyper-V Manager, либо при помощи того же 5 nine.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 3 февраля 2014 г. 12:15
    3 февраля 2014 г. 12:13
  • Во-первых, ничего не мешает Вам отключить GUI. Во-вторых, первое не отменяет того, что нужно соблюдать те рекомендации, которые приведены в ссылках выше.

     Да наверное следует учесть некоторые моменты после того как сервер будет переведен в режим Core. Но у нас в принципе есть третий сервер, который не подключен еще и не настроен, можем в принципе на нем потренироваться и посмотреть его реакцию после выключения GUI-я..

     Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 3 февраля 2014 г. 12:17
    3 февраля 2014 г. 12:16
  • Приходите, будет полезно. Удаление графического интерфейса на работу HBA и vSAN никак не влияет.

    3 февраля 2014 г. 13:50
    Модератор
  • Приходите, будет полезно. Удаление графического интерфейса на работу HBA и vSAN никак не влияет.

    Понял.Спасибо.Да надо бы недочёты восполнить!А позже вэбинар в свободное плавание выложут?

    То есть если я правильно понял,то "переодевание" сервера из GUI-я в Core никак не повлияет на работу виртуальных машин,иначе как только на перезагрузку?

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 3 февраля 2014 г. 18:57
    3 февраля 2014 г. 18:57
  • То есть если я правильно понял,то "переодевание" сервера из GUI-я в Core никак не повлияет на работу виртуальных машин,иначе как только на перезагрузку?

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    Переход в режим Core не повлияет на работу виртуальных машин. 


    Have a nice day !!!


    4 февраля 2014 г. 5:19
  • У меня три года в продакшне на трёх хостах Hyper-V стоял ENOD32. Естественно, к ресурсам VM енот не был допущен. Всё работало. Так что, вопрос лишь в правильной настройке.

    Что касается необходимости использования антивируса в родительском разделе Hyper-V - то тут всё просто. Даже без GUI он остаётся обычным Windows с открытыми портами TCP/UDP/RPC. Появится в сети заражённый компьютер - и хостовая ОС будет скомпроментирована (или попросту взломана). Или у Вас хостовая ОС не в домене и члены группы 'администраторы домена' никогда не логинятся на хостовую ОС?... И даже если это так, то администратор хостовой системы может получить доступ к ресурсам гостевых.


    Сергей Панченко

    4 февраля 2014 г. 18:40
  • У меня три года в продакшне на трёх хостах Hyper-V стоял ENOD32. Естественно, к ресурсам VM енот не был допущен. Всё работало. Так что, вопрос лишь в правильной настройке.

    Что касается необходимости использования антивируса в родительском разделе Hyper-V - то тут всё просто. Даже без GUI он остаётся обычным Windows с открытыми портами TCP/UDP/RPC. Появится в сети заражённый компьютер - и хостовая ОС будет скомпроментирована (или попросту взломана). Или у Вас хостовая ОС не в домене и члены группы 'администраторы домена' никогда не логинятся на хостовую ОС?... И даже если это так, то администратор хостовой системы может получить доступ к ресурсам гостевых.


    Сергей Панченко

      Может вы и правы, с обычной стороны это естественно обычная серверная операционка. Попробуем, юзабилити. Только в Core режиме мало вероятно конечно, если еще и WOW64 убрать, что бы так сказать вообще избавиться от x32 приложений, ведь вирусня в основном для них пишется.Либо все таки придерживаться более плотных решений близких к вендору (5Nine).

     В общем покрутим в тестовой зоне и посмотрим со стороны..


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    4 февраля 2014 г. 18:54
  • Только в Core режиме мало вероятно конечно

    Core или GUI не имеет никакого значения. Значения имеют запущенные сервисы. Если хоть один сервис Microsoft запущен (хоть только сервис 'Сервер') - система под угрозой и антивирус ей нужен.

    Сергей Панченко

    5 февраля 2014 г. 3:13
  • Только в Core режиме мало вероятно конечно

    Core или GUI не имеет никакого значения. Значения имеют запущенные сервисы. Если хоть один сервис Microsoft запущен (хоть только сервис 'Сервер') - система под угрозой и антивирус ей нужен.

    Сергей Панченко

    В Core режиме служб намного меньше, значение имеет.Но угрозу естественно никто не отменял, заразить и сломать можно все...еще раз извиняюсь за тавтологию-все потестим и попробуем и агентное и безагентное решение и рекомендации МС-а.

     Тем более ваш пример уже работает..


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    5 февраля 2014 г. 3:30