如何做好伺服器的防毒規畫？

如何做好伺服器的防毒規畫？
到iT邦幫忙

kevinholy（iT邦初學者9級）發問：
有11臺工作站透過1臺伺服器上網，請問這樣的環境，該如何規畫伺服器的防毒系統呢？

zeonfrankcha（iT邦初學者9級）：
我們公司用Avast，管理簡單而且沒出過什麼問題。缺點是中控管理只有英文介面，幸好用戶端都是中文介面。

c336351（iT邦初學者8級）：
公司用過趨勢OfficeScan、卡巴斯基、NOD32、Sophos。目前使用Sophos，最近要換成趨勢。

比較一下各家的優缺點，OfficeScan服務不錯，ESO可以掌握公司電腦中毒的情形，防毒功力還算可以。

卡巴斯基防毒效果不錯，缺點是電腦效能要強，否則會有變慢的現象。NOD32整體評價不錯，缺點是價格很硬、授權數鎖得很死，沒有彈性空間。

Sophos整體上還可以，但服務上不是很滿意。

marshuang（iT邦初學者8級）：
如果伺服器是安裝Windows作業系統，亦可考量Forefront產品。以採租約方式計算，平均每點每個月租費約40元左右（跟EA一樣的授權法），伺服器可開啟多個防毒引擎。Forefront內建九大知名防病毒廠商的掃描引擎，最多可同時啟動五個。

tombo（iT邦初學者8級）：
我個人偏好McAfee AntiVirus Enterprise搭配AntiSpyware Enterprise。它可以讓你自訂由HTTP、FTP、網路芳鄰更新病毒碼，所以可以設定伺服器上網去更新。如果伺服器有HTTP伺服器、FTP伺服器或是網芳分享，都可以讓不能上網的用戶端一起更新。此外，它還可以設定多臺，例如：研發部門就到研發專用主機去更新，業務部門就到業務主機去更新，避免大家同一時間更新時，造成網路及伺服器負載過重。

McAfee除了檢查病毒特徵碼之外，還有另一個我特別喜歡的保護方式，那就是哪裡有弱點，那就去保護好這些弱點──不需要有特徵碼，一樣可以阻擋病毒木馬。例如，你可以設定不准去異動Hosts，或是不允許程式寫入資料到系統資料夾，也可以限制瀏覽器快取目錄的程式不准被執行等。

ping5438（iT邦初學者9級）：
如果只是要伺服器版的防毒軟體，邦友們的建議都不錯，可以藉由前端防毒主機病毒碼更新，派送至後端電腦。

但根據以往的經驗，如果在客戶端沒有規畫好資訊使用政策，中毒的情況改善有限，像是USB隨身碟的使用，往往是區網中毒的最大元凶。