Voor organisaties die Windows draaien op werkstations of servers, zijn antivirussoftware en andere beveiligingen zonder meer noodzakelijk. We testen elk jaar de belangrijkste netwerkantivirussoftware. In dit eerste deel komen de bekende spelers aan bod. Het tweede deel, dat volgende week verschijnt, behandelt enkele onbekende producten.
Nauwelijks twee weken nadat Microsoft de eerste bèta van Windows Vista (eerder bekend onder de codenaam Longhorn) uitbracht, waren al virussen verschenen die specifiek van zwakheden in dit nieuwe besturingssysteem gebruikmaakten. Wie denkt dat de ‘malware’-nachtmerries met de komst van Windows Vista eindelijk verleden tijd zijn, vergist zich dus deerlijk.
Als je antivirussoftware draait, ben je dan wel veilig? De producenten ervan beweren van wel. Helaas stellen we ieder jaar in onze testen vast dat er altijd virussen door de mazen van het net glippen. Detectie alleen is dus niet voldoende. Een netwerkantiviruspakket dat zich beperkt tot het beschermen van de netwerkserver is dan ook verkeerd bezig. Een afdoende antivirusbescherming pakt zowel de servers als de werkstations aan en probeert naast de detectie ook onbekende virussen te blokkeren. Dat wil zeggen dat naast detectie preventie cruciaal is.
Het minimum
De eerste stap is voorkomen dat een systeem besmet wordt. Daarom doen we onder meer een detectietest. De testcollectie van achttienduizend virussen is bescheiden, maar er zit wel van alles in. We hebben programmavirussen, macro- en scriptvirussen, en speciale virussen die zich in allerlei andere bestanden proberen te verstoppen. Met virussen bedoelen we overigens ook Trojaanse paarden en wormen.
Geen enkele detector kan perfect zijn, omdat de antivirusprogrammeurs altijd één of meer stappen achterlopen op de virusauteurs. Het heeft dan ook geen zin om je blind te staren op de detectietest. Veel belangrijker is of de software ten minste kan verhinderen dat een virus zijn vernietigende werk doet als een niet-gedetecteerd virus een systeem besmet heeft.
We stellen vast dat bijna alle moderne pakketten preventiemaatregelen omvatten. Een geheugenresident programmaonderdeel dat alles wat nieuw op de harde schijf terechtkomt op virussen onderzoekt, beschouwen we daarbij als het minimum. Een wat ons betreft noodzakelijke extra is dat de antivirussoftware kan detecteren dat een programma iets probeert te wijzigen in het systeem wat normaal niet mag.
Schoonmaakprestaties
Als een virus op een werkstation door de mazen van het net glipt, is het vaak een koud kunstje om alle andere aangesloten systemen te besmetten. Als de server besmet raakt, is het hek helemaal van de dam. Antivirussoftware voor netwerken moet dus meer doen dan alleen alle werkstations en servers beschermen. Omdat het om een groot aantal systemen kan gaan, moet er een mogelijkheid zijn om installatie, configuratie en allerlei andere werkzaamheden gecentraliseerd te regelen. Centraal antivirusbeheer is dus een vereiste. Als de software en eventuele opwaarderingen vanaf zo’n centrale locatie verspreid kunnen worden naar alle andere servers en werkstations in het te beschermen netwerk, is het helemaal mooi.
We testen de detectie- en schoonmaakprestaties van de antivirusproducten. Daarnaast hebben we punten gegeven voor de functionaliteit en de netwerkbeheerfaciliteiten. We hebben een paar ‘false positives’ ofwel valse positieven in het testmateriaal opgenomen. Een virusdetector krijgt strafpunten als hij die herkent als een virus. Het zijn namelijk geen echte virussen of ander kwaadaardig spul.
We hebben de bekendste producenten van netwerkantivirussoftware een evaluatiepakket gevraagd. Sophos reageerde niet voor onze deadline; dat product is dan ook niet getest. Wel getest zijn: Computer Associates eTrust Antivirus; F-Secure Anti-Virus Corporate Suite; Kaspersky Business Optimal Suite; McAfee VirusScan Enterprise; Norman Virus Control; Panda EnterpriSecure; Symantec AntiVirus Corporate Edition; en TrendMicro OfficeScan Client/Server Edition.
Conclusie
F-Secure, Kaspersky en Panda leveren de beste prestaties. Kaspersky verdient het etiket ‘beste koop’ omdat het een aantrekkelijk geprijsde clientlicentie paart aan de beste prestaties. Wat betreft netwerk(beheer)functionaliteit zijn de testers het meest onder de indruk van Panda, Symantec en TrendMicro. Ze constateren dat de antivirusproducenten gelukkig begonnen zijn parasietdetectie toe te voegen aan hun antiviruspakketten.
CA eTrust Antivirus
Onder de verzamelnaam eTrust brengt CA een reeks beveiligingsproducten voor bedrijfsnetwerken op de markt. De kern van het netwerkbeheer is de Admin Server ofwel beheerserver, die je met het beheerprogramma Administrator’s View aanspreekt. De netwerkinstallatie van de software op verschillende werkstations en servers is niet zo gemakkelijk als bij bijvoorbeeld Panda of Symantec.
De eigenlijke virusscanner bestaat uit twee delen: een lokale scanner voor onmiddellijke of (via het takenbeheer) uitgestelde aanroep en een ‘realtime monitor’ die in de achtergrond virusscans uitvoert voor alle bestanden die op het systeem bewaard worden. De lijst met instellingsmogelijkheden is indrukwekkend. Met behulp van een Alert Server kan de virusscanner op allerlei manieren waarschuwingen en rapporten versturen.
CA Antivirus heeft twee antivirusengines aan boord: InoculateIT en VET. Vroeger stond InoculateIT als standaardengine ingesteld, maar vanaf versie 7.1 is dat VET. Die doet het niet zo goed in onze antivirustest en scoort een stuk slechter dan InoculateIT. Beide scanners vinden wel alle moderne virussen.
F-Secure Anti-Virus Corporate Suite
F-Secure biedt met de Policy Manager gecentraliseerd beheer voor alles wat met beveiliging te maken heeft. Naast de gebruikelijke Workstation-editie van F-Secure AntiVirus is F-Secure Client Security het overwegen waard. Dat product is zowel lokaal als centraal via Policy Manager (ook beschikbaar voor Linux) te beheren. Het vult de antivirusoplossing aan met een persoonlijke firewall en parasietafweer.
De realtime bescherming in F-Secure AntiVirus is een soort continue achtergrondscan van alle gekozen schijfruimtes en bestanden. Deze bescherming kan een viruspatroon detecteren terwijl het weggeschreven wordt naar de harde schijf. Het is dus geen echte blokkering van malafide activiteiten terwijl die gebeuren. Die functionaliteit is wel beschikbaar in F-Secure Client Security. Wij vinden echter dat de leverancier die functionaliteit gewoon aan het standaardantiviruspakket zou moeten toevoegen.
De detectie- en schoonmaakactiviteiten zijn onovertroffen: de software vond altijd de meeste virussen en ruimde daarvan bovendien het grootste aantal op. Het gebruik van drie afzonderlijke antivirusengines binnen de F-Secure software, AVP, Libra en Orion, kan de verklaring hiervoor zijn. Verder is de scanner erg snel.
Kaspersky Anti-Virus Business Optimal Suite
Het Russische Kaspersky staat wereldwijd nog steeds onbedreigd op nummer één wat betreft virusdetectie. Het biedt antivirusbescherming voor bijna elk denkbaar platform; als een van de weinige werkt het ook voor Solaris. De netwerkkoppeling van al die platformen gebeurt via de Kaspersky Administration Kit. De gebruikersinterface van de Administration Kit is duidelijk niet ontworpen voor beginners.
De virusbestrijdingfunctionaliteit zelf steekt bijzonder goed in elkaar, al steunt Kaspersky daarvoor uitsluitend op zijn eigen, weliswaar uitstekende, detector. De viruspreventie bestaat uit een residente scanner, maar als die het virus niet herkent via de antivirusengine, kan hij het ook niet tegenhouden. Dat is wat ons betreft geen echte preventie.
Via het Kaspersky Anti-Virus Control Center zijn ‘update’-, scan- en andere taken te coördineren, zowel lokaal als op afstand. Viruswaarschuwingen kunnen niet alleen via de gebruikelijke pop-ups, maar ook via mail (smtp of mapi) verstuurd worden. Andere waarschuwingsmethodes kent dit product niet.
McAfee VirusScan Enterprise
McAfee doet niet echt aan complete vandalismebestrijding. Het concentreert zich meer op virussen en Trojaanse paarden. In essentie bestaat virusbestrijding bij McAfee uit detectie en preventie. Dat laatste dient om te voorkomen dat een onontdekt virus zijn werk kan doen. De antivirussoftware van McAfee gaat daarin net ver genoeg om de meeste onbekende virussen een hak te zetten. Alle pogingen om bijvoorbeeld rechtstreeks met harde schijven of systeembestanden te knoeien worden keurig afgevangen.
Bij VirusScan Enterprise krijgt de gebruiker NetShield om servers mee te beschermen en VirusScan voor de werkstations. Het netwerkbeheer bestaat uit de ePolicy Orchestrator. Dat is software waarmee je alle servers en werkstations in een netwerk kunt opsporen en beheren voor wat betreft de McAfee-beveiligingssoftware. Overigens kan McAfee tegelijk met zowel Windows NT/2000/20003 (meerdere domeinen) als NetWare werken.
Norman Virus Control
Norman heeft gezorgd voor softwaredistributie naar de werkstations toe. Daarvoor mogen de distributiebestanden op elk vanuit Windows bereikbaar netwerkvolume staan. De antivirusmaatregelen bestaan uit een scanner op aanvraag en een interactieve plus een niet-interactieve ‘on-access’ scanner. Bij de scanner op aanvraag blijkt het niet mogelijk te zijn om een virusinfectie automatisch te laten repareren. Het programma toont eerst een lijst van gevonden infecties. Daarna moet je op een knop ‘opschonen’ klikken om de reparatiefase te starten. Hierbij zal NVC alle niet te repareren bestanden in quarantaine plaatsen of wissen, al naargelang wat de gebruiker heeft ingesteld.
NVC heeft ook een ‘zandbaksysteem’. Hiermee worden bepaalde applicaties of routines die via mail binnenkomen in een apart afgeschermd geheugen uitgevoerd en bewaakt. Het is wel jammer dat hiermee alleen echte binaire uitvoerbare bestanden te onderscheppen zijn. Het Norman-zandbaksysteem kan namelijk geen scripts evalueren. NVC heeft een aantal programma’s voor systeem- en netwerkbeheerder aan boord. Die werken prima en de beheerfaciliteiten zijn volledig genoeg: je kunt zelfs waarschuwingen via sms laten versturen, om maar iets te noemen.
Panda EnterpriSecure
Ook het Spaanse Panda Software houdt zich alleen met virus- en parasietbestrijding bezig. Naast de standaard desktopvirusbestrijder is er netwerkondersteuning in de vorm van Panda AdminSecure. Met de antivirusadministratie kan de beheerder op afstand zorgen voor installatie en configuratie van het antivirusproduct. Panda heeft ook WebAdmin, waarmee je voor een verse installatie vanaf nul kunt vertrekken. Je hoeft alleen naar de speciale WebAdmin-site van Panda te surfen. Van daaruit wordt alles voor je gedownload en geïnstalleerd. Panda ondersteunt Windows, Linux en DOS, en biedt extra ondersteuning voor Outlook- en Exchange-postsystemen. Met behulp van de Scan Job Monitor kun je virusscans op de diverse servers en werkstations uitvoeren.
Panda Antivirus software doet wat hij moet doen, maar laat een nogal gapend gat open: buiten de detector kunnen we geen enkele vorm van preventie tegen infecties vinden. Die detector kan weliswaar in de achtergrond alles wat nieuw binnenkomt scannen, maar als een bepaald virus niet ontdekt wordt, kan het verder ongehinderd zijn gang gaan. Andere producten hebben minstens een beveiligingsschild dat probeert allerlei verdachte operaties op te sporen en zonodig te verhinderen. In feite zit Panda hiermee op hetzelfde niveau als F-Secure en Kaspersky, die we ook tekort vinden schieten in effectieve achtergrondbescherming. Wel is de antivirusoplossing van Panda en het bijbehorende centrale beheer erg gebruiksvriendelijk.
Symantec AntiVirus Corporate Edition
De Corporate Edition van Symantec AntiVirus omvat alle desktopantivirusproducten, serverantivirussoftware voor Windows NT/2000/2003 en NetWare, en speciale in MMC (Microsoft Management Console) geïntegreerde beheersoftware om alles te verbinden. Die beheersoftware heet SSC (Symantec System Center). Je beheert er het antivirus-, het waarschuwings- en meldings- en het quarantainebeheer mee. Desgewenst is alles los te koppelen en op aparte servers te draaien.
SSC kan op ieder werkstation en elke server met Windows NT/2000/2203 draaien. De beheerder kan de servers in het netwerk in servergroepen indelen en voor elke groep aparte taakverdelingen en parametriseringen opgeven. LiveUpdate zorgt over de hele lijn voor het bijwerken van zowel de software als de virusinformatiebestanden.
De installatieprocedure van SAV is ontworpen om de software naar andere werkstations en servers te distribueren. Je kunt dat dus allemaal tegelijk doen. Bovendien gaat de procedure tijdens de installatie na of er nieuwe versies beschikbaar zijn en vervangt hij dan de nodige bestanden door de bijgewerkte. Dat is een fraai stukje werk, wat duidelijk bedoeld is voor grotere ondernemingen met een boel Windows- en NetWare-servers. Symantec AntiVirus 10.0 blijkt bij het scannen niet een van de snelste te zijn, maar het tempo kan er net mee door.
TrendMicro OfficeScan Client/Server Edition
TrendMicro levert diverse combinaties van zijn oplossingen. Getest is OfficeScan Client/Server Edition. Dat product bevat alles wat nodig is om zowel clients als servers, en alle communicatie daartussen en met internet te beschermen. Om de clients te beschermen is er OfficeScan Desktop. OfficeScan Server is voor de servers. Om het allemaal centraal te beheren is er TrendMicro Control Manager.
OfficeScan Server werkt samen met een webserver om clients (ook op afstand) toegang te geven tot het beveiligingsproduct. Die webserver kan zowel IIS als Apache 2.0 zijn. Als je voor Apache 2.0 kiest terwijl die niet aanwezig is, installeert de OfficeScan-installatieprocedure de Apache-webserver. Dat is mooi meegenomen. OfficeScan Server kan volgens de leverancier zo’n vijftigduizend clients bedienen.
OfficeScan ondersteunt meerdere methodes om clients aan hun beveiliging te helpen. De meest gebruikte zijn wellicht de webtoegang (waarbij een gebruiker de software zelf actief moet installeren) en het vanaf een server op afstand op de client installeren van software. Het hele beheer werkt dus met een webinterface. Dat betekent dat u het beheer vanaf iedere pc kunt doen. Op de clients draait niet gewoon een agent, maar een volwaardige antivirusclient. Gebruikers kunnen dus desgewenst zelf ook scans laten uitvoeren. De virusscanner is erg snel en haalt in de testen redelijke tot prima scores.
De specificaties van de test:
Johan Zwiekhorst, Data TestLab