Вообщем, админ хочет поставить антивирус на серверную винду2012 с установленной на ней сервером 1С8.3. Я против, но он настаивает, боится заражения через всякие зловреды, бэкдоры и прочее. Ваше мнение, нужен ли антивирус на сервере 1С?

пускай ставит под расписку, что ты за скорость 1с не несешь ответственности


по факту ставить можно, просто его настроить не так легко будет...

ты главное подготовь отмазы для пользователей, шо это админ виноват

(0) За работу железа отвечает админ. Против ты или за - это не твоя зона ответственности.

Пишешь докладную,что все не сданные вовремя отчеты это из-за антивиря

с другой стороны если не ставить антивирь - ты готов нести ответственность на случай вирусяки?

(0) админ не дурак, ответственность за крах серванта из-за вирусов нести не хочет.

История из личного опыта. Крупная производственная организация. На серваках антивиря не стояло. Ибо гнались на производительностью. В один прекрасный день какая-то гадость пролезла на серваки. Начались проблемы. Админы побегали, побегали, а потом со словами "Ну вас нахрен с вашей производительностью! Надежность важнее!" установили антивирь на все серваки.

Хотелось бы услышать больше мнений... У вас установлен антивирус на серваке с 1С?

В чем проблема,если антивирус грамотно настроен
просто,если на сервере пользователи через терминал заходят,то лучше антивирус,чем все резать

Если там установлена только 1С и туда не лезет кто попало то там антивирус не нужен, а если вы с него выходите в интернет, работаете в разных вордах и остальной фигне, то антивирус нужен. Настраивайте его.

У нас установлен Microsoft Forefront Endpoint Protection
https://ru.wikipedia.org/wiki/Microsoft_Forefront

(10) ну как минимум обычно инте включен для 1с
а обычно 1с-ники любят рабочим столом на серваке сидеть и лазить по сайтам пока написанная им обработка гробит базу

(9) а в чем опасность работы в терминале, если они работают в 1С только к примеру?

(12) Закрыть доступ и все.

(0) Ну, прально это ж проще чем брандмауэр настроить и запуск программ ограничить

Антивирус нужен и эффективен (и то не всегда) только там где работает пользователь.

(0) Если машина достаточно хорошо изолирована от проникновения снаружи, то я бы не ставил.

(15) большинство государственных и окологосударственных сайтов написано так "криво", что без прав локального админа норально не получиться работать. Я имею ввиду ЛК налоговой, ЛК ФТС, дидаок, сбис и тому подобное

(18) а причем тут сайты и сервер? Кстати, у меня чет все под юзером работают. Единственное было исключение Клиент-Сбербанк еще тот, старый, который на дельфе написан был - но, слава Богу, похоронили его. С тех пор никому админ не нужен...

(18) значит такие сайты и ПО надо выводить на отдельную машину в ДМЗ

Разрешить обычному юзеру заупскать браузер с правами админа это самоубийство!

(19) И ставить отдельно крипто-про и обеспечивать мигрорование ключей и ... серверов не напасешься, к тому же желательно обеспечить прямую видимость сайта и 1С, чтобы иожно было сразу с сайта в 1с данные передовать ....

(12) 1с никам вообще не нужно давать доступ на рабочий сервак, для них вполне хватает удаленной консоли сервера 1с и SQL - а за все остальное отвечают админы и они вообще не должны никого пускать на рабочий сервер в режиме юзера....

(0) тут все просто, если только админ скуля заходит на сервер то можно без антивируса и лучше вообще рубануть внешний инет, а если сервер используется как то еще (терминал, файловый), то лучше так не делать, а если делать то однозначно ставить антивирус

(24)роль сервера 1с тоже может вполне себе работать без антивируса при условии что не используется как то еще

(0) У вас уже был шифровальщик?

(26) а каспер помогает от шифровальщика?

(27)+  особенно запущенный с другой машины, под правами админа домена ))

(0) Это не моя зона ответственности ставить или нет :-) И не отговариваю, просто прошу права на мониторинг производительности, чтоб ловить где что 1С-ке мешает.

Пусть решает админ. Потом с ним же будешь решать вопросы производительности. У многих моих клиентов стоит на сервере антивирус и ничего. Главное, иметь админа с прямыми руками и с телефоном на горячей линии.

На сервак я захожу только, чтобы обновления сделать в 1Ске, поставить на перепроведение месяц и т.п...

Да вот у меня смутные сомнения, что поставит какой-то антивирус, вероятно, что-то типа Аваста. Подозреваю, что внести в исключение папки со скулем и 1С, процессы rphost и Sqlserver будет недостаточно.. Ведь 8,3 сама порождает новые процессы rphost, какая-то постоянная работа с временными файлами, работает в базе сотня пользователей - все это может как-то непредсказуемо тормозиться антивирусом и хорошо, если просто тормозиться...

(31) про временные файлы правда, создает и много. и антивирус будет безусловно задерживать выполнение

Лично у меня - домен 1С изолирован.
И не имеет выхода в Интернет.

На компах юзеров - стоит NOD32 (на всякий случай, шоб булО.) Лицензионный, регулярно обновляемый.
На всех серваках в этом домене - антивирусов нет. Ибо нех.

А также, из домена 1С - отсутствует выход в общую сеть Предприятия (в другие домены).

*server
+update
+firewall

на серванте юзеров нет, достаточно изоляции от интернета, антивирус отпадает.

У ТС сервер не терминал, не файлопомойка, а только 1С-Агент и MS-SQL. Откуда там возьмется вирус или шифровальщик? С флэшки админа? Или может юзеры через прикрепленный файл к какому-нибудь документу 1С зашлют? Ну ежели с флэшки админа - то шифровальщик не сможет зашифровать базы, пока их держит MS-SQL. Если шифровальщик каким-то чудным образом запустит Агент 1С - то опять таки до баз шифровальщик не доберется. И остается только опасность от так называемых 0-day уязвимостей, которые, как показывает практика - антивирусы начинают отлавливать после того, как эпидемия уже прошла. Поэтому на сервере, где будет только Агент и Скуль - нет смысла ставить антивирус.

(37) обработка с внешней компонентой - и, привет.

Но вообще, на сервере с скл/1с антивир не нужен. Как и свободный вход на него кого-то либо, кроме админа. Да и доступ во внешнюю сеть тоже. По хорошему там должны быть открыты только порты 1с и rdp

(38) Откуда она запустится?

(40) При подключении внешней компоненты - ты уже можешь выполнить код с правами rphost-а. А если уж у тебя не отключена привилегия отладки...

А она не отключена
http://winitpro.ru/index.php/2017/09/15/poluchenie-privilegii-sedebugprivilege-pri-vklyuchennoj-politike-debug-program/

(41) Откуда возьмется "левая" обработка с "левой" ВК?

(42) Скачают с интернетов.

(43) У тебя пользователи могут запускать внешние обработки на боевых базах?!

а что у вас сервер 1С предприятия делает на sql-сервере?

(45) Да почти у всех так. Просто для 1С выдают один сервер железный и все точка. Иногда даже в нем могут еще крутиться другие ИТ прибамбасы.

(0) У грамотного админа особо и нет проблем с вирусами и антивирь почти не ставит.
А посредственный поставит.
Короче это его дело. 1снику остается уговорить грамотно настроить антивирь. Или хотя бы облечить себе жизнь с выбором антивиря.
Я вот  касперского не очень люблю, хотя считается что достаточно хороший антивирь.

Ежедневный backup баз в облако + разовый backup всего сервера (напр, акронисом).

А если еще и терминал, то первым делом надо сменить порт.

(44) Т.е. получается что заднее место админа зависит от всех владельцев 1С-баз на серваке?

(23) это пока на сервере не нужно делать например подключение по com к 2м разным версиям платформы и не нужно разносить драйвера и делать 2 разных коннектора... Обычно в этот самый момент админ говорит что это не его зона ответственности... Слишком много тонкостей зависит от настройки сервера приложений(как службы, так и самого железного сервера), чтоб не давать туда доступ программистам(если конечно нет отдельного человека который за это отвечает)

А, да... при правильном соотношении теста с мясом...(с)
При правильной настройке серверов - антивирус там не нужен и даже вреден.

(0) Пишешь служебную записку что берешь на себя всю ответственность за сервер, и тогда админ может спокойно не ставить антивир.

Кстати,а может быть на сервер ставят серверную часть антивиру а,чтобы он на клиентах быстрее обновлялся,и синхронизация настроек работала?

(33) "Лично у меня - домен 1С изолирован.
И не имеет выхода в Интернет." - а что делать, если используются сервисы типа "1С:Спарк" и пр.? Сейчас их тьма. Там ведь сервер 1С лезет в интернет.

(0) А у вас на сервере с SQL еще и терминал?
(4) Это непрофессионально. Можно сразу с этой докладной открывать третий конверт. Вот в (53) симметричный совет.
(10) В разных вордах на сервере политикой отключаются скрипты, работают только формулы. Для офисного хомячья часто достаточно. Если нет - есть спецсервер без выхода наружу.
(18) В виртуальной машине или песочнице запускать такие сайты.
(23) Вот точно. Поддерживаю.


p.s. за "Вообщем" пять лет расстрела.

Изоляцию от интернета и я считаю, что этого достаточно.
Сам антивир только лишне грузить будет своим наличием
Пусть брандмауэр настраивает этот ленивый админка)

(51) если в конторе на боевом сервере ставят 2 версии платформы - значит, у них что то в головах не так...

Я не представляю себе обстоятельств когда это может потребоваться при наличии отдельного физического сервера для разработки.

А вот на этом сервере (тестовый+разработка) действительно логично дать права 1с никам (разумеется не всем а ответственным)

Года три назад БГУ 1.0 требовала версию платформы только 8.3.5,
а ЗиК БУ 1.0, начиная с 8.3.5 и до 8.3.8.какой_то_там + PostgreSQL,
"дико тупила" при расчете зарплаты(исправили в платформе года через полтора).
Поэтому, были инсталлированы две платформы на одном сервере, 8.3.5 для бухгалтерии
и 8.2.19 для зраплаты. А так как PostgreSQL для 8.2 и 8.3 компилируется
с разными параметрами, то было запущено и два экземпляра СУБД на разных портах
и с разными каталогами для баз данных. Все это работало без каких либо напрягов и волнений
около двух лет, пока не перешли на 8.3.10.
Иногда такое бывает.
Разнести можно было, но я решил попробовать так.

А антивирус на сервере иногда лучше держать(жертвуя быстродействием), от обстоятельств зависит.
Если же организация работы четко продумана и неукоснительно исполняется участниками, то, наверное, и не нужен.

Антивирус во-первых бесполезен (защищает от старых угроз), во-вторых вреден (тормозит работу системы) в большинстве случаев. Единственный вариант, когда в нём есть смысл - это домашний компьютер с неопытным пользователем. Намного эффективнее четко разделить права доступа и настроить системные политики.

но на работе стоит касперыч

если это чистый скуль, то антивирус не особо помешает, ибо скульл все свои файлы держит крепко и других не берет

хотя если он будет сетевой трафик сканить, то это плохо

(5)для этого ставят на клиентов!!!

(37) то шифровальщик не сможет зашифровать базы, пока их держит MS-SQL
_______________
Заблуждение, у нас все зашифровал - базы, бэкапы, которые хранились тут-же

(66) может у вас у скуля пароль на sa был пустой?

(67) чтобы остановить службы скуля нужен пароль sa?

(67) Чтобы подключиться к серверу надо знать КУДА подклячаться, то есть адрес и порт.
Что бы остановить службу надо знать имя службы и тмя компа, на которой она запущена.
Что бы сделать что-то с файлами баз надо знать где они лежат и остановить сервер.
Шифровальщики работают по файловым шарам.
Держать SQL базы на таких шарах - десять лет расстрела админу без права переписки? это верх идиотизма.
Так что в (66) несет пургу. Там или копии баз, или нерабочие или что-то еще.
Ибо только сервер и админ должны знать где лежат базы, как адресуется сервер, sa должен быть с хорошим паролем и отключен и т.д.

У нас на обычных машинах и на серваке где все тусят в терминальных сессиях стоит форти клиент
На серваке со скулём форти клиента нет.
Будем считать, что я верю в квалификацию наших системных администраторов)))

ИМХО, если админ правильный и умеет настроить сервер с 1С и СУБД таким образом, чтобы закрыть все лишние порты, протоколы и службы, а так же ограничить учетные записи, под которыми живут службы 1С и СУБД, то антивирус нафиг не нужен.

Если админ не умеет правильно настроить сервер, то антивирь может стать дополнительной защитой "на всякий случай".

При любом варианте для нормальной работы требуется грамотная настройка. Либо безопасности самого сервера, либо антивируса (чтобы он не тормозил систему)

Уволить админа за то, что до сих пор не стоит антивирус на сервере.
А насчет тормозов, пусть настраивает нормально и все будет работать.

(69) Если вирус смог отключить сиквел, то и антивирус сможет отключить

Мода на "чуть менее чем нисколько" прошла, теперь новый идиотизм "пять лет расстрела".

(74) ты резиновые сапоги или презерватив одеваешь, если грязи или секса не предвидится?

(77) совершенно не корректное сравнение...

безопастники (а именно ими и должны являться нормальные админы по своей сути) обязаны быть немного параноиками...

они обязаны не лечить компы от вирусов а не допускать их в сеть.

то есть в твоем примере админ не должен вообще носить резиновые сапоги, а должен выложить тропинку брусчаткой, что бы там грязи вообще не могло быть...

(78) Стесняюсь спросить, что такой админ должен сделать с презервативами из (77)

(74) а я бы тебя уволил за антивирус на сервере.

(0) Уже лет 5 назад отказался от каспера, больше проблем чем пользы. Все сервера и клиенты без антивирусов, за все время одна сотрудница подцепила и то без последствий для остальных.
А вот когда у тебя сервисы начинают отказывать и ты даже не подумаешь на антивирь, вот тогдабудет самая головная боль.