Salve a tutti, finalmente dopo avervi tormentato con mille domande mi è arrivato il server Dell T320 su cui ho installato Windows Server 2012 Foundation Edition! :D

Dopo l'entusiasmo iniziale mi son reso conto che ho fatto la cavolata di non pensare fin da subito di documentarmi per un buon antivirus in ambiente server :p
Ho anche pensato che WS2012 è molto simile a Win 8 quindi che un qualsiasi antivirus andasse bene ma poi mi son reso conto che non è affatto così e si sconsiglia tale soluzione...

Mi riaffido nuovamente ai luminari di questo forum... che antivirus mi consigliate di prendere per Windows Server 2012? Mille grazie in anticipo! :)

se deve fare da server: nessuno

se deve fare da server: nessuno
Bhe ma sarà connesso in rete e disporrà anche di accesso a internet per funzionalità di accesso remoto, perchè non dovrebbe necessitare di antivirus?:confused:

semplice: qualsiasi antivirus tu voglia mettere, a meno che tu voglia disabilitare il 95% delle funzionalità, andrà a mettere protezioni più o meno strane che prima o poi ti creano problemi con il sistema operativo.

Poi ovviamente dipende cosa vuoi fargli fare a questo server.
Dovrà fare da domain controller, da file server, da terminal server, da server di posta, server web....si può sapere?

Io sull'host fisico non installerei un bel niente. Solo cose ufficiali.
Se prendevi la versione standard avevi anche la licenza per due macchine virtuali.
In quelle ci metti quello che vuoi. Se cominciano a tirare numeri fai ripartire uno snapshot.


Personalmente, se si tratta di un server "classico" (DC, file server, eventuale db più o meno limitato) installerei solo quello che serve e mi preoccuperei a blindare servizi e server.
L'antivirus non ti serve fino a quando non ci fai girare processi che con il server non centrano nulla. Se fai girare processi con con il server non centrano nulla non è più un server, ma (il più delle volte) un pastrocchio.

Poi ovviamente dipende cosa vuoi fargli fare a questo server.
Dovrà fare da domain controller, da file server, da terminal server, da server di posta, server web....si può sapere?
Il server (a cui massimo si collegano 3 client) fungerà da DC, file server per gli spazi degli utenti/archivio aziendale e gestirà un gestionale a database a cui gli utenti si collegheranno in terminal server, sia in locale che eventualmente a remoto.
Da qui l'esigenza che il server oltre ad essere nella rete interna deve poter aver accesso a internet.
E' possibile che in futuro venga installato un programma di gestione telecamere ip, anch'esso con possibile controllo remoto per telesorveglianza.

Io sull'host fisico non installerei un bel niente. Solo cose ufficiali.
Se prendevi la versione standard avevi anche la licenza per due macchine virtuali.
In quelle ci metti quello che vuoi. Se cominciano a tirare numeri fai ripartire uno snapshot.
Capisco e comprendo i vantaggi di una VM ma al momento possibili problemi software saranno salvaguardati da un backup totale e periodico su un nas: non sarà comodo con un'immagine di sistema virtualizzato ma sfrutto appieno l'hardware e risparmio un po' con la licenza Windows.


Personalmente, se si tratta di un server "classico" (DC, file server, eventuale db più o meno limitato) installerei solo quello che serve e mi preoccuperei a blindare servizi e server.
Ok ma se ho la necessità che il server sia accessibile dall'esterno non si corrono rischi che entri comunque della porcheria non avendo nulla di nulla come sicurezza? Mettiamo poi che un client si sia infettato per motivi x, se poi l'utente salva cose da questo al suo spazio personale sul server e questo non ha antivirus non cade tutto?

L'antivirus non ti serve fino a quando non ci fai girare processi che con il server non centrano nulla. Se fai girare processi con con il server non centrano nulla non è più un server, ma (il più delle volte) un pastrocchio.
Assolutamente, il server sarà un server e stop. Ho anche rinunciato all'idea di usarlo come postazione dopo i consigli ricevuti. Solamente che bho, magari sarò all'antica ma credevo che un antivirus (se ben configurato!!) fosse una sicurezza in più che è meglio avere che no

Io installerei ClamAV e schedulerei una scansione ogni tanto, non è in realtime quindi non hai problemi con i vari servizi\software, ma per la scansione del filesytem va più che bene!

......e e gestirà un gestionale a database a cui gli utenti si collegheranno in terminal server, sia in locale che eventualmente a remoto.


Non far collegare gli utenti in terminal server sul server che fa tutto il resto. Non farlo.
Metterci il DB si. Farci collegare gli utenti in rdp no. Collegatici tu (o un amministratore) per fare manutenzione e basta.


Ok ma se ho la necessità che il server sia accessibile dall'esterno non si corrono rischi che entri comunque della porcheria non avendo nulla di nulla come sicurezza? Mettiamo poi che un client si sia infettato per motivi x, se poi l'utente salva cose da questo al suo spazio personale sul server e questo non ha antivirus non cade tutto?

Non esporre il server direttamente su internet. Collegati su un client e lavora dal client con un'utenza non amministrativa.
Se gli utenti si collegano sui loro client i virus se li prendono sui client. Dove è effettivamente il caso di mettere un antivirus, perchè è l'utente che va a cercarseli. Se l'eventuale virus "supera" il controllo antivirus nel caso più probabile finisce come file "inerte" nella condivisione del server. Ma se sul server non c'è nulla che lo esegue rimane là al pari di un qualsiasi altro file, inerte.
E' difficile che tale virus, eseguito sul client, riesca a bucarti un server che è regolarmente aggiornato. Tanto di più se gli utenti non possono fare nulla più dello stretto necessario sul server (ovvero salvare i file solo dove possono), se sui client hanno privilegi non amministrativi (raccomandato) e se sui client usi degli utenti amministratori che non possono fare assolutamente nulla sul server (ancora più importante: se devi installare qualche programma strano usi tale utenza).

Se su un fileserver gira la protezione di un antivirus ti ritrovi un rallentamento, dato che non viene controllato tutto solo sui client, ma anche sul server. Se per qualche motivo il controllo sul client viene superato e sul server no ti ritrovi il file sparito. No, non è buono, perchè al client non viene notificato nulla. (pensa ai falsi positivi) :stordita:

Solamente che bho, magari sarò all'antica ma credevo che un antivirus (se ben configurato!!) fosse una sicurezza in più che è meglio avere che no

Sono convinzioni che un po' tutti hanno radicato.
L'importante è installare quello che serve e configurarlo bene. Ogni cosa in più è superflua.

Dai molta importanza a ruoli degli utenti e al controllo accessi.




La soluzione che ha proposto malatodihardware va anche bene. Trovi sul blog di tasslehoff qualche dritta sul come fare.
Però considerala come adempimento di legge. Clam non è aggiornatissimo come definizioni degli antivirus. Se ti cancella qualche file nel profilo utente puoi ritrovarti con il profilo bloccato (a volte capita). Devi leggerti i log delle scansioni, perchè dovrai sapere cosa ha fatto questa scansione. Credimi che dopo 2 settimane te ne scorderai.

Non far collegare gli utenti in terminal server sul server che fa tutto il resto. Non farlo.
Perdona l'ignoranza ma perchè? Son stati proprio i fornitori del gestionale aziendare a consigliarmi il passaggio ad un server vero e proprio, connettendo gli utenti ad esso tramite rds per il solo utilizzo del gestionale, in modo da sfruttare la potenza del server e non del client... L'altra soluzione quale sarebbe? E poi per connettersi in remoto ad esempio da un cliente con accesso a internet come potrei senza rds?


Non esporre il server direttamente su internet. Collegati su un client e lavora dal client con un'utenza non amministrativa.
Anche qui non ho ben capito... da un client con accesso a internet dovrei connettermi al server con una login utente? Internet sul server a me server per renderlo accessibile da fuori e per svolgere le operazioni quali aggiornamenti software... Sarò ciuco ma come posso farlo se il server è tagliato fuori? Mi dici di passare attraverso un client che farebbe da "sniffer" ma dovrei poi tenere acceso anche questo 24h/24 per connettermi al server da remoto? :mbe:

Se l'eventuale virus "supera" il controllo antivirus nel caso più probabile finisce come file "inerte" nella condivisione del server. Ma se sul server non c'è nulla che lo esegue rimane là al pari di un qualsiasi altro file, inerte.
Perfetto, se anche avessi degli exe infetti sul server e questo non li esegue ovviamente non occorrerebbe nulla... Ma se si installano porcherie tipo spyware o altre cose che al primo riavvio necessario del server si attivano non è rischioso non avere nulla che protegga?

Se su un fileserver gira la protezione di un antivirus ti ritrovi un rallentamento, dato che non viene controllato tutto solo sui client, ma anche sul server. Se per qualche motivo il controllo sul client viene superato e sul server no ti ritrovi il file sparito. No, non è buono, perchè al client non viene notificato nulla. (pensa ai falsi positivi) :stordita:
A questa cosa non avevo minimamente pensato... capiscimi è il mio primo server! :(

La soluzione che ha proposto malatodihardware va anche bene. Trovi sul blog di tasslehoff qualche dritta sul come fare.
Però considerala come adempimento di legge. Clam non è aggiornatissimo come definizioni degli antivirus. Se ti cancella qualche file nel profilo utente puoi ritrovarti con il profilo bloccato (a volte capita). Devi leggerti i log delle scansioni, perchè dovrai sapere cosa ha fatto questa scansione. Credimi che dopo 2 settimane te ne scorderai.
Ora ci do un'occhiata, tra l'altro è pure free! :D
Sulla cosa delle 2 settimane: intendi che dovendo controllare ogni giorno alla mattina se il server di notte ha cancellato cose che non doveva cancellare, prima o poi non controllerò e magicamente spariranno files? Ho ben inteso? :D

Perdona l'ignoranza ma perchè? Son stati proprio i fornitori del gestionale aziendare a consigliarmi il passaggio ad un server vero e proprio, connettendo gli utenti ad esso tramite rds per il solo utilizzo del gestionale, in modo da sfruttare la potenza del server e non del client... L'altra soluzione quale sarebbe? E poi per connettersi in remoto ad esempio da un cliente con accesso a internet come potrei senza rds?

Anche qui non ho ben capito... da un client con accesso a internet dovrei connettermi al server con una login utente? Internet sul server a me server per renderlo accessibile da fuori e per svolgere le operazioni quali aggiornamenti software... Sarò ciuco ma come posso farlo se il server è tagliato fuori? Mi dici di passare attraverso un client che farebbe da "sniffer" ma dovrei poi tenere acceso anche questo 24h/24 per connettermi al server da remoto? :mbe:

Ti sfugge il concetto di server di autenticazione e autorizzazione e di quanto sia critico.
Se fai fare al server il ruolo di domain controller tutti gli utenti di dominio che si collegano ad un qualsiasi computer in dominio (quindi anche coloro che si collegherebbero sul server) si autenticano sul domain controller (cioè è lui che afferma: "ok, sei chi dici di essere"). E' sul domain controller che va stabilita tutta la gerarchia ruoli utente, solitamente per gruppi. E infine si assegnano i permessi che servono, dove servono: sul fileserver, sui client, ecc ecc.

Lasciar collegare gli utenti in rdp sul server che fa da domain controller è sbagliato. Quando prenderanno un virus, exploit o rootkit (al lordo dell'antivirus la domanda non è se, ma quando) rischi seriamente di compromettere tutta la rete. Nel senso che da quel momento in poi non si tratta più di reinstallare un pc, ma di reinstallare tutto.
Far collegare gli utenti in rdp sul server dove gira l'applicazione, col database e i relativi files può andare. A me non piace, perchè tende a impastrocchiare e a far perdere controllo su cosa sta succedendo (ovvero se un giorno devi fare uno spostamento o migrazione è un macello).

Concettualmente dovresti separare: un server come domain controller, un server per i dati (generalizzando fileserver e db), un application server (dove girano eventuali applicativi) e un terminal server (cioè dove gli utenti si collegano. Non è tanto diverso da un windows client dove possono lavorare in maniera concorrente più persone.).
Questa è la soluzione più pulita, che ovviamente per te è improponibile per una questione di costi. D'altra parte è da evitare di far girare processi incontrollati (quelli che gli utenti si procureranno) su server dove ci sono dati e servizi critici.

Non so di preciso cosa ti abbiano consigliato quelli del gestionale.
Se non ho capito male, nella versione foundation 2012 non si poteva mettere il ruolo rds su un domain controller. Direi che è sacrosanto.
Poi M$ deve aver rilasciato qualche update che lo consente. Ma come ti ho spiegato è una cosa sbagliata.
Avere il servizio rds in un workgroup non lo considero nemmeno (è stupida e francamente non riesco a capire perchè è stata proposta da parte di microsoft).
Infine, sei veramente convinto che gli utenti con accesso sul server (come ti hanno consigliato):
- sono in grado di rendersi conto di essere collegati sul server che fa tutto (e non confondersi col proprio client)
- sanno che possono usare solo il gestionale (e per qualsiasi altra stupidata dovrebbero tornare sul client)
- devono fare logout ogni volta che finiscono col gestionale (e non lasciare sessioni appese)

Per l'accesso da remoto da casa dovresti accedere ad un pc lasciato acceso in ufficio (o ad un terminal server). Puoi fare un port forwarding sul router, una vpn, usare teamviewer e soci. Quello che preferisci. L'importante è che esponi su internet un pc dove non ci sono dati critici.
Se poi devi collegarti sul server per fare manutenzione fai rdp sul server dal pc dell'ufficio. Del resto non farai manutenzione e aggiornamenti tutti i giorni, spero.


Perfetto, se anche avessi degli exe infetti sul server e questo non li esegue ovviamente non occorrerebbe nulla... Ma se si installano porcherie tipo spyware o altre cose che al primo riavvio necessario del server si attivano non è rischioso non avere nulla che protegga?

Basta che gli utenti non abbiano accesso in scrittura a files che il server carica all'avvio. Sta a te dare i permessi giusti. Di sicuro avere un minimo di controllo sfiora l'impossibile se devi dare permessi laschi a chiunque su c:\windows e c:\programmi del server.

Ora ci do un'occhiata, tra l'altro è pure free! :D
Sulla cosa delle 2 settimane: intendi che dovendo controllare ogni giorno alla mattina se il server di notte ha cancellato cose che non doveva cancellare, prima o poi non controllerò e magicamente spariranno files? Ho ben inteso? :D

Hai capito giusto.
Basta fare il controllo anche molto più di rado. Ma bisogna farlo.

Chiedo scusa se rispondo solo ora ma purtroppo fino all'altro giorno ho dovuto accantonare lo sviluppo e migrazione all'agognato server per carenza di tempo e conseguente impossibilità di "sperimentare" :D

Ad ogni modo, finalmente ieri sono riuscito a mettere in rete il server e un client, per far le prove e preparare l'ambiente agli installatori del gestionale! :)

Riagganciandomi quindi ai preziossimi consigli ricevuti, credo di aver capito come meglio conviene configurare l'ambiente di lavoro per le mie esigenze (e limitazioni attuali di grana :( ) e vorrei condividere con voi ciò per vedere se è tutto corretto nei limiti possibili.

Purtroppo al momento non disponendo di budget sufficiente non posso permettermi un ulteriore server esclusivamente per gestire il ruolo rds e pertanto partitò con una configurazione iniziale in cui il mio unico server fisico farà da domain controller, file server per i dati degli utenti e ove sarà locato il database e applicativo del gestionale aziendale.

Il server non sarà direttamente connesso a internet come invece lo saranno i client e quindi seguendo il consiglio di Dane qualora sia necessario che il server possa dialogare sul web mi connetterò ad esso tramite rdp da uno dei client locali (a proposito, ci ho già provato ma anche se il client ha internet il server non comunica in rdp... come mai? :confused: ).
Pertanto, provvederò ad installare gli antivirus su ogni client ma non sul server, che in teoria dovrebbe quindi ricevere sempre dati "sicuri" o comunque su di esso non verranno mai eseguiti applicativi pericolosi: egli rimarrà silente e buono a servire il gestionale e stop :D

Gli utenti avranno esclusivamente ad alcune cartelle del server che sono quelle dove leggeranno e salveranno i documenti aziendali (office, pdf, disegni dwg) e pure il contenuto della home directory sarà locato sul server.

Relativamente invece al fatto se convenga o meno utilizzare solo il gestionale in rds ho ancora un po' le idee confuse... Quelli del gestionale mi han consigliato questa soluzione per non dover installare un'applicativo client su ogni client e per sfruttare solo la potenza del server (alla fine, sarebbe il suo unico compito...) e non quella locale del client in uso...
Secondo Dane invece tale soluzione
tende a impastrocchiare e a far perdere controllo su cosa sta succedendo (ovvero se un giorno devi fare uno spostamento o migrazione è un macello)
ma esattamente in che senso? Essendo tutto sul server se un giorno cambio un client per un guasto o qualsiasi altro motivo non basterebbe far accedere l'utente di dominio per ristabilire l'ambiente di lavoro e poi con rds avrebbe anche il gestionale senza nessuna configurazione aggiuntiva necessaria? Che problemi avrei invece? :confused:

Per quanto riguarda poi il "problema" di dover riconoscere se si sta lavorando sull'account di dominio o sull'account connesso all'rds per il gestionale attualmente per i futuri utilizzatori non c'è da preoccuparsi... per quelli che verran dopo... gli si farà un bel corso :D

Colgo inoltre l'occassione per un'ultima domanda sulla rete: a livello di gateway, tra router e server come mi conviene configurarlo? Più che altro per la questione che vorrei bloccare internet al server, se non avessi questo problema i client avrebbero come gateway il server e tramite questo riceverebbero internet dal firewall/router... io invece devo separare le due cose in quanto gli utenti devono potersi connettere al server e a internet ma il server non deve direttamente potersi connettere a internet... come conviene gestire la rete?

Grazie ancora in anticipo a tutti quelli che sapranno aiutarmi! :)