Envoyé par
sergio_is_back
Alors déjà : on ne met pas d'antivirus sur des machines en production qui sont reliés à des automates et doivent réagir aux sollicitations de ces derniers en quasi temps réel.
J'ai eu un cas, avec Kapersky AV, le temps de traitement était multiplié par 4 ou 5, passant de 70-80 ms à plus de 300 ms ce qui faisait que l'on était plus dans le pas machine et donc que des pièces bonnes étaient éjectées de la ligne de production. Le fait de placer les applications dans la liste "blanche" (exclusion) n'a eu que peut d'effets, en effet ce type d'antivirus fait sensiblement augmenter les I/O disque, les flux en mémoire, la consommation CPU.
Le résultat a été de migrer les PC dans un sous-réseau local dédié, de supprimer Kapersky et toute la suite de sécurité pour revenir à des performances correctes
Mais là il a fallu en rajouter en plus !!!!
En effet le SI maison ne fait pas confiance au FW Windows, on se demande bien pourquoi ?
Ils nous fait rajouter : 1 FW entre le serveur et les panel PC (Ok pour celui là), un deuxième FW entre les Panel PC et les automates et ils voulait même en placer un troisième pour isoler les périphériques d'acquisition (caméras, visseuses, lecteurs de codes, etc...).
Quand aux solutions à base de pingouin, j'utilise le firewall de la distrib, généralement CentOS, n'ouvrant que les ports nécessaires et pas plus.
Sachant que l'on utilise jamais le compte root, et les applications ne s'exécutent jamais dans une session privilégiée
Partager