這個問題當初筆者也有思考過,但我不會很直接的告訴您,該裝或是不該裝,畢竟管理該 Hyper-V 主機的人是您而不是我,貴公司的所有主機、網路架構,並不是我所規畫,我也不清楚、不了解貴公司使用者的使用習慣及 IT 人員的習性,所以我不會給您肯定的答案。
但我能很肯定的告訴您,筆者站在資訊安全的角度及防禦上來看,筆者所管理的 Hyper-V 主機,是有安裝防毒軟體的,但有些重要的目錄及檔案,一定要排除,否則真的會讓 Hyper-V 主機效能下降或運作狀況出現問題。
裝了防毒軟體,多少會吃掉一些必要的記憶體,但有效的設定防毒軟體及排除必要的目錄及檔案外,更重要的是,防毒軟體能保護您的 Host 主機不被病毒攻擊,更可以避免病毒攻擊 Hypervisor 層,但要記住..... Host 主機安裝防毒軟體,不表示您的 Guest 主機就受到保護,這是錯誤的觀念。
接下來筆者就拿實際的案例做個簡單的說明
筆者 Hyper-V 主機所安裝的防毒軟體是 Microsoft Security Essentials 4.0 ,安裝及設定都採用預設安裝及設定,但唯一需要變更的地方有三個。
1、排除的檔案與位置,筆者設定了以下的排除目錄。
C:\Program Files\Hyper-V
C:\Program Files\VMC to Hyper-V Import Tool
C:\ProgramData\Microsoft\Windows\Hyper-V
C:\Users\Public\Documents\Hyper-V\Virtual hard disks
C:\VM (Local)
E:\VM (iSCSI Initiator)
紅色文字部份就必須視您實際存放 Hyper-V 的 VHD 檔的路徑而定
2、排除的檔案類型,筆者設定了以下的排除檔案類型 (副檔名)。
AVHD、ISO、VFD、VHD、VSV、XML,未來在 Hyper-V 3.0,就要在加上 VHDX 及 AVHDX。
3、排除的處理程序,筆者設定了以下的處理程序排除。
C:\Windows\System32\vmms.exe (虛擬機器管理服務)
C:\Windows\System32\vmwp.exe (虛擬機器工作者處理序)
這兩個檔案是 Hyper-V 必要的處理程序檔案,為了避免防毒軟體誤判而將整組 Hyper-V 搞死,所以必需要設定上去。
有了這些排除掃描的條件之下, Hyper-V 主機就更多了一層保護,不置於被病毒或惡意程式破壞整台 Hyper-V 主機。
相關資源:
1、疑難排解 Hyper-V
2、當您建立或啟動虛擬機器,在 Windows Server 2008 為基礎的電腦具有 Hyper-V 或上一個 Microsoft 的錯誤碼 Hyper-V Server 2008 架構的電腦: 0x800704C8 」、 0x80070037 」 或 0x800703E3"
3、A System Center Virtual Machine Manager 2008 P2V fails with 'A device attached to the system is not functioning (0x8007001F)'
4、Antivirus and Hyper-V (or: Why can’t I start my virtual machine?)
5、Windows Anti-Virus Exclusion List (en-US)
6、TrendMicro OfficeScan防毒軟體與Hyper-V
其他資源:
開啟 Windows 8 內建 Hyper-V 3.0 虛擬化功能
Microsoft Security Essentials (MSE) - 4.0 多語系正式推出
Microsoft 防毒軟體:安裝與組態 System Center 2012 Endpoint Protection
原來如此,難怪公司主機狀況時好時壞的,調整後情況好多了,會在觀察一陣子看看,感謝分享,謝謝。
回覆刪除請問MSE可有支援Windows Server 2012的版本嗎?
回覆刪除您好!
刪除目前的MSE版本不支援Windows Server 2012及Windows 8,不過倒是可以用System Center 2012 Endpoint Protection。
您好,您提供的資訊很有幫助,不過這樣的例外會造成病毒可藏匿在除外資料夾中,針對這個風險不知道您有什麼樣的想法?
刪除您好!
刪除正式環境有大量VM要求更穩定更低風險的話,我會建議使用server core hyper-v,況且,Hyper-V的host,應該都在防火牆後端的保護下,不能隨意的讓他人存取。