Luphan hat geschrieben:Du hast doch viele Server betreut Micha und da geht es nicht ohne Schutz?
Gemäß Firmenpolicy/Rahmenvertrag war auf jedem Rechner Virenschutzt drauf, ja.
Besonders wichtig sind die gerade auf Servern nicht, jedenfalls
nicht für die Server selber.
Die werden 1x aufgesetzt, gehärtet, danach wird ein Image erstellt [1], und die Software verändert sich nicht mehr.
Vor Treiber- oder sonstigen Softwareupdates das Image erneuern, mehr war eigentlich nicht nötig.
Software für Server kommt nicht aus dubiosen Quellen, und da wird auch nichts "ausprobiert".
Die Bereiche, bei denen Clients ihre Daten abgelegt haben, z.B. Dateiserver, Mailserver, wurden per Virenscanner überwacht.
Je restriktiver man die Clients dicht macht, desto geringer ist die Gefährdung, theoretisch ist jeder Privatrechner schlechter geschützt als ein Firmenrechner, durch die Policies, die an so einem Client verhindern, dass Software aus Mails, von USB-Sticks etc. überhaupt ausgeführt wird.
Dazu kommen natürlich Viren, die als Nutzlast in Dokumenten kommen, da gilt im Prinzip das Selbe wie weiter oben geschrieben: Erst denken, dann clicken.
Aber da man das nicht voraussetzen kann, ist da ein Virenschutz sinnvoll.
Ich persönlich würde es eher so wie Firmen wie Google, IBM & Co machen: Auf den Clients nur Linux und macOS, Windows nur in begründeten Ausnahmefällen, aber das setzt qualifiziertes Personal voraus, und das ist oft Mangelware, und die Entscheider kennen eh nichts anderes als Windows, also wird das genommen, und man muss mit den Konsequenzen leben.
Ich habe mich aber in meiner Zeit auch massiv dafür eingesetzt, so viel wie möglich von Windows-Servern weg zu bringen, teils auf Solaris, später vermehrt auf Linux. [2]
Im Endeffekt hatten wir am Ende nur noch Domaincontroller und Dateiserver unter Windows. Ach so, ja, die Backup-Server waren auch Windows, zumindest für die Sicherung der Clients.
[1] Für unsere Server gab es eine Standardkonfiguration.
Die hatten alle Hardware-RAID-Controller, und mindestens drei Platten.
Aus diesen drei Platten wurde das System erstellt, RAID1 plus eine Hotspare.
Die Nutzdaten lagen auf den anderen Platten im RAID5 oder je nach Anwendung des Servers auf SAN-Servern im Netz. (ja SAN, nicht NAS
)
Auf das System kamen zwei Partitionen, auf die erste kam das Basissystem mit seinerzeit W2K.
Dann folge ein etwas aufwändiges Verfahren, weil es die Verwaltung von W2K nicht anders hergab, das wurde erst mit späteren Generationen einfacher.
Wann das erste System fertig war, wurde mit der zweiten Partition ein Software RAID0 (also ein Spiegel) erstellt, und dieser Spiegel danach wieder aufgebrochen und die so entstandene 1:1 Kopie des Systems auch bootfähig gemacht.
Jetzt hatte man 2 identische Systeme, eins für "live", und eins für den Chaos/Katastrophen-Fall.
Wurde das Hauptsystem korrumpiert, konnte man vom 2. System booten, und durch neues Spiegeln das Erste wieder auf Ursprungszustand bringen. Brauchten wir zum Glück nicht für den Fall von Viren, sondern nur mal bei Treiberproblemen.
Wir hatten zwar ein Testbed mit nahezu identischer Hardware, um Treiber im Vorfeld testen zu können, aber 100% gelang das auch nicht immer.
[2] Wir konnten natürlich nicht nach "Lust und Laune" Software von Windows auf Solaris/Linux migrieren, aus Haftungsgründen mussten wir auf zertifizierte Kombinationen von Hardware und Software zurückgreifen.