Virussen, spam en hackers waren al bekend. Nu is er ook nog adware, spyware, malware en keyloggers. Antiparasietsoftware beschermt gebruikers tegen deze en veel andere kwaadaardige zaken. Zeven netwerkoplossingen zijn getest.
Naast virussen, spam en hackers is er een nieuwe groep kwaadaardige software waar organisaties zich tegen moeten beschermen: parasieten. Dat is onze verzamelnaam voor adware, spyware, nummerkiezers, ‘dataminers’, browserkapers, registerkapers, ’tracking cookies’ enzovoort. Vandalen verzinnen dergelijke softwareparasieten om wachtwoorden, inlog-, financiële en andere persoonlijke of bedrijfsgegevens te stelen, desktops te bombarderen met al dan niet verwerpelijke reclameboodschappen of gewoon dingen uit te halen met Windows-installaties die gebruikers irriteren.
Virussen, Trojaanse paarden en wormen zijn in bepaald opzicht ook parasieten, maar die houden we in deze terminologie apart. Dit neemt niet weg dat sommige ad- en spyware alle kenmerken kan hebben van een virus of Trojaans paard. In die gevallen herkent een antiviruspakket de besmetting meestal ook wel. De meeste parasieten zijn echter zelf geen virus en ook geen echt Trojaans paard. Daarom is aparte beveiligingssoftware nodig voor bescherming daartegen: de antiadware- en antispywaresoftware, of algemener antiparasietsoftware.
Gespuis
De werking van een antiparasietproduct voor netwerken lijkt sterk op die van een antivirusproduct daarvoor. Net zoals antivirussoftware heeft een antiparasietpakket een ‘on demand’- ofwel ‘op aanvraag’-scanner waarmee de gebruiker wanneer hij maar wil een opdracht kan geven om desktops en servers op gespuis te onderzoeken. Er is verder een ‘on access’ scanner of automatische blokkering om gebruikers realtime te beschermen tegen parasietinfecties tijdens software-installaties en surfen op internet. Net als bij een antiviruspakket moet bij antiparasietsoftware een database met signatuur- en patrooninformatie over parasieten regelmatig bijgewerkt worden.
In deze test van antiparasietsoftware voor netwerken draait het in het bijzonder om oplossingen die desktops en servers beschermen tegen parasietinfecties en die centraal te beheren en te distribueren zijn. De zeven geteste producten zijn: CA eTrust PestPatrol, DynaComm i:Scan, McAfee Anti-Spyware Enterprise 8.0, Panda BusinesSecure, Symantec AntiVirus Corporate Edition 10 en Webroot Spy Sweeper Enterprise.
CA eTrust PestPatrol
Computer Associates koos voor zijn beheerconsole een eenvoudige interface. Het beheer is simpel: de beheerder kruist een of meer werkstations of servers aan en voert een taak uit. Hij kan een scan uitvoeren van het geheugen, cookies, het register, veelvoorkomende locaties, specifieke paden en alle harde schijven.
Bij detectie van een parasiet is er de keuze tussen alleen een journaalinschrijving maken, de parasiet wissen of hem in quarantaine zetten. Een klik op de knop ‘Enable’ (aanzetten) activeert een achtergrondbescherming. In het tabblad van geautomatiseerde werkstationactiviteiten kan de beheerder automatisch uit te voeren scans plannen en bepalen wat er moet gebeuren als een parasiet ontdekt wordt.
Standaard worden infecties gemeld in de logboeken en via mail aan de beheerder, maar niet aan de gebruiker van een pc. Op de pagina van serveractiviteiten kan de beheerder bepalen wie mailwaarschuwingen krijgt. Standaard maken zowel interactieve als geautomatiseerde scans alleen een journaalinschrijving aan, maar dat is aan te passen.
De achtergrondbescherming van PestPatrol hield de installatie van de testparasieten zo goed als niet tegen. De eerstvolgende scan vond echter wel zo’n 60 procent van de parasieten en wiste ze. Daarna bleven er nog zes achter op de test-pc.
DynaComm i:Scan
Het in 1982 opgerichte Amerikaanse bedrijf FutureSoft is gespecialiseerd in beveiliging van bedrijfsnetwerken en vooral de inhoud daarvan. De DynaComm i:series is een reeks producten die allemaal te maken hebben met het filteren en bewaken van alle toegang van en naar internet en met het opsporen en categoriseren van bestanden binnen het bedrijfsnetwerk. i:Scan is in deze reeks een product dat zich actief bezighoudt met het opsporen en verwijderen van bestanden op de pc’s in een netwerk.
Naast parasieten vindt i:Scan andere bedreigingen. De beheerder kan zelf opgeven welke soorten software hij als ongewenst beschouwt. i:Scan heeft bijvoorbeeld regels waarmee hij kan zoeken naar spelletjes, pornografisch of racistisch materiaal, p2p-clients (peer-to-peer) en nog veel meer dingen die hij liever niet op de bedrijfsdesktops heeft.
Het blokkeren van malware valt onder de rubriek systeembewaking. Dat werkt met regels waarmee de beheerder vastlegt wat wel en niet is toegestaan op een client-pc. Net als bij de scans kan hij hier ook beslissen om in te grijpen als bepaalde ongewenste software gestart wordt.
Helaas omvat die blokkering geen echte herkenning van parasieten. Er is ook geen voorziening voor het weren van software die bepaalde systeemwijzigingen aanbrengt, zoals ‘uitbreidingen’ van IE, of die ingrijpt in de startlijst van Windows. Dit betekent dat i:Scan parasieten niet kan blokkeren, tenzij ze als uitvoerbaar bestand via IE of Netscape binnenkomen. In de praktijk ontdekt dit product parasietinfecties daarom meestal pas achteraf, tijdens een scan. Ook het verwijderen van parasieten blijkt niet goed te werken: de software vindt wel veel parasieten, maar blokkeert geen enkele en kan uiteindelijk maar één exemplaar volledig verwijderen.
McAfee VirusScan + Anti-Spyware Enterprise
McAfee Anti-Spyware Enterprise is in feite geen losstaand antiparasietproduct, maar een uitbreidingsmodule voor McAfee VirusScan. De prijs in de tabel is die van de gecombineerde licenties voor de antivirussuite en de antiparasietmodule. Wie een behoorlijk uitgebouwd centraal beheer met clientsoftwaredistributie wil, heeft ook de ePolicy Orchestrator nodig. Die prijs is niet in het totaalbedrag opgenomen, maar zodra er meer dan enkele tientallen pc’s te beheren zijn, is dat wel een aanbevolen optie.
McAfee heeft er niet voor gezorgd dat de antiparasietmodule na één keer installeren op de server automatisch beschikbaar is op alle nieuw geïnstalleerde clients. De beheerder moet voor elke client de antiparasietmodule distribueren nadat overal de antivirusclient geïnstalleerd is. Hopelijk herziet McAfee zijn aanpak en brengt het een VirusScan 9.0 Enterprise uit waar de antiparasietmodule al in geïntegreerd is, met liefst ook een min of meer fatsoenlijk centraal beheer waarmee softwaredistributies en clientinstellingen mogelijk zijn. Je kunt de ePolicy Orchestrator dan nog altijd kopen als een uitgebreider en op reglementen gebaseerd centraal beheer nodig is.
Tijdens de installatie van de parasietverzameling wist VirusScan al heel wat parasieten te blokkeren. Tijdens de scan die daarop volgde haalde hij er nog eens twee weg. Bij de controle achteraf bleken er echter nog acht parasieten achtergebleven te zijn, waaronder eentje die als verwijderd was gemeld tijdens de scan.
Panda BusinesSecure
Vroeger hield Panda Software zich alleen met virusbestrijding bezig. Dat is veranderd. Voor de desktop levert het een firewall en een spamfilter, maar ook parasieten komen meer en meer onder de aandacht. Daarvoor heeft dit bedrijf geen apart programma gemaakt; het heeft de parasietdetectie en -verwijdering gewoon toegevoegd aan de bestaande virusscanner.
Panda BusinesSecure biedt virus- en parasietbeveiliging voor een computernetwerk met clients en servers. Voor grotere netwerken heeft Panda ook nog EnterpriSecure. BusinesSecure beveiligt servers en werkstations voor meerdere domeinen. Naast Windows bestrijkt het Linux en nog een paar platformen. Net als bij de andere producten in deze test is er een centrale administratie waarmee de beheerder op afstand kan zorgen voor installatie en complete configuratie van het product. De beheerder installeert eerst deze Panda AdminSecure en doet dan de rest vanuit dit centrale beheerpakket.
TruPrevent Technologies, een bescherming tegen infecties met onbekende virussen en parasieten die in het geheugen zit, vult Panda BusinesSecure aan. Dat laatste is nieuw, want tot voor kort had Panda eigenlijk geen echte ingebouwde bescherming: het werkte voornamelijk met in de achtergrond uitgevoerde scans.
Het AdminSecure-beheer van Panda is een Windows-programma; het is dus niet bruikbaar op andere platformen. Daarom zijn de testers over het algemeen voorstanders van webinterfaces voor centraal beheer. AdminSecure is wel een van de gebruiksvriendelijkste en fraaist ogende beheercentrales die de testers tot dusver onder ogen kregen.
Helaas had de testlicentie geen TruPrevent aan boord. Desondanks belette ClientShield de gratis mp3-speler bepaalde parasieten te installeren. Met de daaropvolgende scan haalde Panda alle parasieten weg op twee na; hetzelfde resultaat als bij TrendMicro.
Symantec AntiVirus Corporate Edition
Symantec is een bekende naam in de virusbestrijding. Versie 10 van AntiVirus Corporate Edition detecteert en verwijdert nu eveneens parasieten, ook realtime. Het centrale beheer gebeurt vanuit het Symantec System Center, dat gebaseerd is op MMC (Microsoft Management Control) en dus alleen werkt op Windows-systemen. De interface toont het linkerpaneel met boomstructuur en het grotere rechterpaneel met detailinformatie, alleen heeft Symantec die boomstructuur wel heel erg beknopt gehouden.
Waar de andere producten in deze test meestal opdrachten in het linkerpaneel hebben staan, toont System Center alleen maar de boomstructuur van het netwerk of tenminste van de AntiVirus-servers en de aan hen toegewezen clients. De beheerder kan opdrachten laten uitvoeren of informatie opvragen van individuele machines of een groep van machines door rechts te klikken op het juiste hiërarchische niveau van de boomstructuur zodat een pop-up-menu opengaat. Er zijn niet echt wizards of stappenplannen, maar wie een beetje ervaring heeft met het beheer van Windows zou System Center probleemloos moeten kunnen bedienen.
Symantec liet vier parasieten achter op het testsysteem. De manuele scan vond slechts twee parasieten, maar slaagde er niet in die te verwijderen, hoewel de scanner meldde van wel.
TrendMicro OfficeScan Corporate Edition
De oplossing van TrendMicro is de laatste ‘klassieke’ antivirussuite voor netwerken in deze test die ook parasieten bestrijdt. De OfficeScan-server werkt samen met een webserver om clients (ook die op afstand) toegang te geven tot het beveiligingsproduct. Die webserver kan zowel IIS als Apache 2.0 zijn. Als je voor Apache 2.0 kiest terwijl dat niet aanwezig is, installeert de OfficeScan-installatieprocedure de Apache-webserver. Dat is mooi meegenomen. Het hele beheer werkt met een webinterface. Daardoor kan de beheerder zijn werk vanaf elke pc doen. Op de clients draait niet gewoon een agent, maar een volwaardige antivirusclient. Gebruikers kunnen dus zelf ook scans laten uitvoeren.
Standaard ruimt OfficeScan overigens geen parasieten op: daarvoor is de optionele licentie Damage Cleanup Services nodig. Aardig is dat OfficeScan ook draadloze toestellen, in het bijzonder pda’s, beschermt.
In het webbeheer staan drie opvallende drukknoppen: Scan Now, Update Now en Clean Now. Daaronder staan de normale menurubrieken, waaronder unieke functies voor virusuitbraakpreventie (bedoeld om bij een uitgebroken virus in het netwerk de machines die nog schoon zijn meteen af te schermen), een virusuitbraakmonitor (een bewakingssysteem dat elke overtreding van de firewallregels meldt), en ondersteuning voor Cisco NAC (Network Admissions Control, een systeem met strikte toegangsreglementen voor eindknooppunten in netwerken, zie http://www.cisco.com/warp/public/cc/so/neso/sqso/csdni_wp.htm).
De automatische blokkering van parasieten blijkt vrij goed te werken: het product houdt niet alles tegen, maar na een scan- en schoonmaakoperatie blijven er uiteindelijk slechts twee parasieten over: NCase en eBates MoeMoneyMaker. De rest is dus wel weggehaald, eventueel na een scan. Dit is exact hetzelfde resultaat als bij Panda.
Webroot Spy Sweeper Enterprise
Het Engelse Webroot Software houdt zich uitsluitend bezig met software voor de bescherming van systemen: naast de antiparasietsoftware SpySweeper levert dit bedrijf programma’s om pop-ups, spam en virussen te blokkeren, en om aan inhoudsfiltering te doen. Hoewel Webroot alleen maar spreekt over spyware, beschermt SpySweeper tegen allerlei soorten parasieten. Dit bedrijf definieert spyware namelijk ook als adware, systeembewakers, keyloggers en Trojaanse paarden.
Het beheer van SpySweeper Enterprise werkt net als veel andere producten in deze test met een interface waarbij aan de linkerkant een boomstructuur van rubrieken en opdrachten te vinden is, en het rechterpaneel de detailinformatie kan bevatten van het gekozen onderdeel. Er zijn vijf hoofdrubrieken, waaronder het Webroot Enterprise Dashboard, waarmee je een samenvattend statusoverzicht oproept van scans, opwaarderingen, infecties en statistieken van de meest aangetroffen bedreigingen.
Op de client-pc’s draait een volwaardige SpySweeper-client. Daarmee kunnen gebruikers zelf parasietscans uitvoeren of tenminste een scanstatus opvragen, al kan de beheerder dat ook verhinderen vanuit de beheerconsole.
Deze Webroot blokkeert heel wat minder parasieten dan de desktopversie die enige tijd geleden is getest, maar een scan vindt en verwijdert zowat alles. Er blijven er slechts vier over.
Conclusie
Wie het beste product wil hebben, ongeacht de prijs, raden de testers Panda BusinesSecure aan. Dit product scoort het best op zowel functionaliteit als parasietblokkering en -verwijdering. Daar betaal je wel nogal stevig voor. Voor wie ook rekening houdt met de prijs, komen drie producten in aanmerking als beste koop: CA eTrust PestPatrol Anti-Spyware Corporate Edition, TrendMicro OfficeScan met Damage Cleanup Service en Webroot SpySweeper Enterprise. Dynacomm i:Scan beschermt helemaal niet tegen parasieten en valt dus voor die toepassing alleen maar af te raden.
Bekijk de details:
Testprocedure
De uitgebreide testmethode voor antiparasietpakketten voor desktops behandelde zowel het zuiveren van een besmet systeem als het schoonhouden van een schoon systeem. Voor de antiparasietpakketten voor netwerken is een beknoptere testprocedure uitgewerkt. Naast de gebruikelijke aandacht voor netwerkbeheer en ‘beheerdervriendelijkheid’ is het vooral de vraag of de software een schoon systeem onbevlekt kan houden. Daartoe is een netwerkje geconstrueerd, bestaande uit één Windows 2000 Advanced Server (domeincontroller) en drie netwerkclients, alle uitgerust met Windows XP Professional Systeem met Service Pack 2 en alle opwaarderingen die Microsoft voorschrijft.
Op één van die drie clients is vervolgens FreeMP3 Player geïnstalleerd (http://www.freewirep2p.com/player.html, liever niet bezoeken met Windows-systemen). Dat is een gratis speler voor allerlei geluidsformaten, waaronder dus mp3. Deze gratis speler installeert onder de neus van de gebruiker een bataljon parasieten, waaronder een paar hardnekkige. Als niets de parasieten tegenhoudt, worden maar liefst 430 registerinschrijvingen, 252 bestanden en twee geheugenlocaties besmet met in totaal vijftien parasietfamilies. Het is de bedoeling dat de antiparasietoplossing op de client-pc alle parasieten tegenhoudt. Als hij de hele mp3-speler tegenhoudt, is dat aanvaardbaar. Als de mp3-speler geïnstalleerd raakt, starten de testers die en proberen ze een paar dingen uit. Daarna controleren ze hoeveel parasieten op het testsysteem aanwezig zijn. De toegekende testscore is afhankelijk van de hoeveelheid verwijderde parasieten; hoe meer er achteraf niet zijn terug te vinden, hoe hoger de score.
