Preventivní lék pro vaši síť

Antivirové technologie byly kdysi záležitostí jen těch nejzapálenějších technofilů, dnes ovšem zaujímají významn...


Antivirové technologie byly kdysi záležitostí jen těch nejzapálenějších
technofilů, dnes ovšem zaujímají významné postavení v seznamu priorit většiny
firem. Nicméně vzhledem k tomu, že na trhu je tak obrovské množství produktů,
je dost těžké rozhodnout, do kterého antivirového řešení je nejlepší investovat.
Abychom to zjistili, provedli jsme testy antivirových řešení několika předních
světových dodavatelů, firem Kaspersky Lab, McAfee/Network Associates, Sophos a
Symantec. Jejich antiviry nabízely zhruba stejný soubor funkcí, jako například
kontrolu souborů při jejich otevírání, komunikaci s centrálním serverem ohledně
signatur a automatické instalační procedury. Nicméně způsob, jakým tyto aspekty
byly provedeny, se značně lišil řešení od řešení, což dalo vyvstat praktické
otázce, jak v moderní firmě používat antivirový software.
V konečné perspektivě bude vaše rozhodnutí záviset spíš na seznamu funkcí než
na tom, jakým způsobem chce společnost antivirové řešení instalovat a používat.
Nicméně znalost jistých klíčových rozdílů mezi těmito řešeními, které vám v
následujícím výčtu přinášíme, vám může ve výběru pomoci. Samozřejmě zmíněné
programy se neobejdou bez efektivních rezidenčních štítů (skenerů). Některé
skenery však uživatelům příliš bezpečí neposkytují. Náš test odhaluje, které z
prověřovaných nástrojů dokáží opravdu ochránit.

Vytvořte si vlastní virus
Makroviry napsané v jazyce VBScript představují i dnes vážné nebezpečí. Ve
skriptovacím jazyce VBScript jsou naprogramovány především ty viry, které se
šíří prostřednictvím e-mailu. Nebezpečí navíc umocňuje skutečnost, že
internetem koluje několik tzv. "Construction Kits", s jejichž pomocí si může
napsat virus typu VSB prakticky kdokoliv. Proto jsme za účelem testování
použili dva takové "Construction Kits" a s asistencí každého z nich napsali po
čtyřech vlastních VBS makrovirech. Všechny vlastní viry jsme nejvíc
modifikovali v textovém editoru buď jsme přidali řádek, nebo jsme řádek ručně
zalomili. Také tohle dokáže snad každý. Většině antivirových skenerů jsme hlavu
nezamotali, protože disponují heuristickým vyhledáváním VSB makrovirů. Takový
skener se neomezuje pouze na vyhledávání určitých řádků zdrojového kódu, ale
analyzuje celý kód z hlediska typických virových příznaků. Některé programy se
však potýkají s nedostatky ve vlastní heuristice.
Zvláštností je v jazyce JavaScript napsaný virus JS/Kak@m, který se šíří
prostřednictvím e-mailů ve formátu HTML. Zde se ovšem neukrývá v příloze, avšak
usadí se, podobně jako je tomu u běžné webové stránky, rovnou jako skript v
HTML datech e-mailu. K jeho aktivaci dojde kvůli bezpečnostní díře Internet
Exploreru, která byla již v minulosti pomocí záplat ucpávána. JS/Kak@m se
spustí okamžitě poté, co v Internet Exploreru navštívíte infikovanou stránku.
Bezstarostný uživatel je zmaten, neboť on přece dvojitým ťuknutím neotevíral
žádnou přílohu. Tímto virem je postižen především Outlook, protože ten využívá
pro zobrazování e-mailů moduly prohlížeče Internet Explorer. V takových
případech je skenování e-mailů k nezaplacení, neboť dokáže škůdce odstavit
ještě dříve, než dorazí do poštovního klienta. V rámci našich testů jsme si
posílali speciálně připravené e-maily.

Kaspersky Anti-Virus
Prvním testovaným programem je ruský Kaspersky Anti-Virus. Obsluha programu je
díky správcovskému nástroji Control Centre poměrně snadná. Control Centre
provádí veškeré aktualizace (včetně plánování), rozdistribuovává klienty nebo
podává reporty o všem, co se v síti děje. Jeho instalace nám na Windows 2000
Serveru zabrala necelou hodinu.
Každý jednotlivý modul lze cíleně spustit či pozastavit. Mezi další
profesionální rysy patří například ochrana heslem každého z modulů nebo import
či export jednotlivých nastavení. Za účelem testování jsme v antivirových
programech vybírali nastavení Všechny soubory. On--line aktualizace funguje bez
potíží, potřebné soubory jsou automaticky stahovány z několika serverů (např.
přímo z ruského domovského serveru). Antivirový program KAV se může celkově
pochlubit vynikajícími výsledky. Nalezl všechny škůdce, pouze heslem chráněné
archivy ve formátech ZIP, ACE a PAK pro něj zůstávají nepřístupné. Na ochranu
heslem ovšem KAV upozorní ve zprávě z testování.
Účinnost rezidenčního štítu záleží na jeho správném nastavení. Při kopírování v
Průzkumníku skener sice přehlédl makrovirus v souboru ve formátu PowerPoint,
ale při zaškrtnuté volbě Všechny soubory ve skenovacím modulu program KAV
tentýž virus odhalí. Kontrola v režimu on-line funguje dobře. Pro přenos
elektronické pošty jsou k dispozici aplikace pro Exchange Server a Lotus
Domino, v případě absence těchto modulů zaskočí nástroj Mail Checker. Makroviry
odstraňuje Kaspersky Anti-Virus tak, že nahrazuje jejich programový kód řádky s
komentáři. Nezkušenému uživateli se proto může na první pohled zdát, že kód
viru nebyl odstraněn. KAV dokáže odvirovat také objekty vložené do wordovských
dokumentů.
Kaspersky Anti-Virus je celkově vynikající antivirový program, jehož velkou
předností je možnost každodenních aktualizací virové databáze.

Symantec AntiVirus CE 8.0
AntiVirus Corporate Edition od Symantecu se svou nabídkou řadí mezi přední
antivirová řešení pro velké firmy a představuje skvělou kombinaci
ovladatelnosti a flexibility. Corporate AntiVirus používá jako rozhraní
Microsoft Management Console, s nímž je hodně správců dobře obeznámeno. V našem
testu se nám podařilo řešení pro server a několik klientů nainstalovat za
pouhých 45 minut. Symantec v této verzi nabízí nástroj pro vytvoření
instalačních balíčků, které jsou již předem připraveny pro danou síť.
Distribuce takto upravených instalačních balíčků je možná např. pomocí Windows
Remote Install (platí pro OS typu Win NT/2000/XP), jednou z dalších možností
distribuce instalačních balíčků je např. logonscript, nebo je možné použít
stávající firemní infrastrukturu, například Microsoft SMS (System Management
Server).
Centrální servery získávají aktualizace signatur např. prostřednictvím
technologie Symantec LiveUpdate a následně servery distribuují aktualizace všem
klientům podle stanoveného plánu a pravidel. V této nové verzi se již Symantec
nespoléhá ovšem jen na tuto metodu, ale využívá i jiné způsoby aktualizace.
Administrátoři mají plnou kontrolu nad tím, co koncový uživatel vidí, dělá a
může dělat v klientském antiviru Symantec AntiVirus. Jednu z velice zajímavých
funkcí v ovládání klienta představují podmíněné akce, jako je odložení (nebo
zrušení) plánovaného scanu souborového systému na notebooku, který funguje na
baterie. Další takovou podmíněnou akcí je automatické nastartování AV ochrany
po zvoleném čase od jejího vypnutí. Někteří uživatelé totiž potřebují (např. z
důvodu aktualizací SW) dočasně odpojit AV ochranu a ve většině případů ji sami
od sebe již nezapnou.
Jednou z vlastností, která se nám líbila nejvíce, je karanténní server, tj.
systém přijímající infikované soubory zjištěné na klientském počítači. Tyto
soubory lze pak automaticky odeslat do společnosti Symantec, kde dojde k jejich
kontrole a zákazník dostane odpověď, zda se jedná o virus. Pokud jde o virus,
pak se patřičné definice rovnou distribuují v rámci sítě. Tato akce proběhne
automaticky a uživatel na ni nemá vliv což je velmi důležité, pokud jde o nový
virus. Na našem testovacím systému si AntiVirus vedl skvěle. Podpora
archivačních formátů je na vynikající úrovni a navíc ji lze rozšiřovat. Samotný
antivirový skener pracuje s velmi dobrými výsledky a nachází všechny standardní
viry. Pokud jde o viry v jazyce VBScript, Symantec AntiVirus je dokázal najít
všechny. Překážkou nejsou ani dokumenty Office chráněné heslem, ani excelovský
soubor vložený do dokumentu ve Wordu. Beze ztráty hvězdičky si v testování
počínal rezidentní štít, který si poradil se všemi předloženými úkoly. Kontrolu
dokumentů ve formátech balíku Office na přítomnost makrovirů zvládá program na
výbornou a také odstraňování makrovirů z Wordu a Excelu ovládá Symantec
AntiVirus velmi zdatně. Neškodná makra zůstávají zachována a dokumenty lze bez
potíží otevřít. Celkově vzato funguje Symantec AntiVirus velice dobře. Ve
prospěch programu hovoří vysoký uživatelský komfort, perfektní on-line
sledování virů a vynikající antivirový skener.

McAfee Active Virus EE
McAfee, další přední firma na trhu s antivirovými řešeními, si v našich
laboratorních testech vedla velice dobře se svou suitou Active Virus Defence
EE. Řešení patří k těm nejlepším a sáhnou po něm jistě firmy hledající vysoce
škálovatelný a flexibilní antivirový systém. Skutečně nejlepším aspektem balíku
Active Virus je jeho flexibilita. Správci systému mají kompletní kontrolu nad
téměř každým aspektem celého řešení od stanovení toho, co uživatelé budou a
nebudou vidět na agentském počítači, až po to, jaká hlášení budou generována.
McAfee exceluje též po klientské stránce jeho nenáročný klient zabírá pouze 7
MB prostoru, nicméně přesto je schopen poskytovat silnou antivirovou ochranu.
Navíc klientské řešení McAfee není ani zdaleka tak náročné na zdroje jako
klient od Symantecu, zvláště při kontrole celého systému. Centralizovaná
správní konzole ePolicy Orchestrator, která nabízí mnoho funkcí. Nejrůznější
konfigurační možnosti se ukrývají v obtížně dostupných dialogových oknech. Za
účelem našeho testování jsme zvolili možnosti Všechny soubory a Heuristika pro
programy a makra.
Rychlost vyhledávání virů je ohromující. Vysoká výkonnost je rozdělena
rovnoměrně, v žádné kategorii software nevykazuje slabiny. Zvláštní pochvalu si
zaslouží zachycení všech speciálně kvůli testu vytvořených VSB (Visual Basic
Script) virů.
Podpora archivačních formátů však naproti tomu vykazuje drobné nedostatky.
Moduly pro záchyt virů jsou na čele současného vývoje a svěřené úkoly plní beze
zbytku. Sledování činností souvisejících s elektronickou poštou se liší od
jednoho poštovního klienta k druhému. Pokud jde o odstraňování virů, pracuje
VirusScan spolehlivě a důkladně. V dokumentech vytvořených v programech balíku
Office likviduje VirusScan pouze makroviry a neškodná makra ponechává. Také
makroviry v objektech vložených do dokumentů ve formátech Word a PowerPoint
odstraňuje program s jistotou. Po takovém zásahu lze vložené objekty bez potíží
dále upravovat. Díky tomu se produkt McAfee dostává do čela výsledkové listiny.
Program McAfee Active Virus Defense EE je silný škálovatelný systém, který
disponuje velkým vyhledávacím výkonem a vynikajícím modulem pro záchyt virů.

Sophos Anti-Virus
Balík Sophos Anti-Virus se může pochlubit excelentním prohledávacím enginem, a
to hlavně díky technologii InterCheck, jež napomáhá klientu Sophos provádět
prohlídku kompletního systému, aniž by došlo k nějakému patrnému snížení jeho
výkonu. V našich testech se nám podařilo během prohlídky systému prohlížené
soubory otevírat a normálně s nimi pracovat, aniž by docházelo k nějakým
prodlevám. Na pomoc automatické instalaci nabízí Sophos nástroj SavAdmin, který
spolupracuje s Windows NT a 2000 (uživatelé Windows 95/98 si musejí vytvořit
skripty pro login). Nejlepší je to, že systém není nutno pro dokončení
instalace restartovat. Koncoví uživatelé mají též kompletní přístup k agentské
konzoli. Správci nicméně mohou uživatelům znemožnit odinstalování agenta ze
svých systémů. Navíc firmy mohou využít i přínosů centralizované správy, pokud
si nainstalují na centrální systém Sophos Anti-Virus a nasměrují k němu všechny
klienty. Sophos též exceluje v podpoře operačních systémů: nabízí klienty pro
Windows, Unix, Linux, Macintosh a další. V předchozí verzi Sophos disponoval
poměrně neohrabanou manuální metodou instalace signaturových aktualizací na
centrální server. Výrobce tak své řešení doplnil o firemní manažer a
automatizované internetové aktualizace.
Standardně neprohlíží skener žádné archivační formáty ani jiné soubory, které
si uživatel otevírá pouze pro čtení. Za účelem testování jsme nastavili program
tak, aby hledal viry v souborech, které byly otevřeny kvůli úpravám. Velmi
užitečný může být seznam výjimek objektů, které modul pro záchyt virů při své
práci přeskakuje. Při testování spolehlivosti záchytu makrovirů měl Sophos
pouze jeden výpadek v případě původních verzí virů. Jejich modifikované podoby
dokázal odhalit bez potíží. Podpora archivačních formátů je také na solidní
úrovni a zahrnuje dokonce i samopakovací a vnořené archivační soubory.
Ještě se vraťme k modulu InterCheck, který pro záchyt virů využívá v síti
zajímavého principu, který šetří výpočetní čas. Na serveru existuje centrální
databáze obsahující soubory, které již byly v rámci sítě na přítomnost virů
prověřeny. Ke každému souboru existuje kontrolní součet. Antivirový štít na
lokálním PC spočítá kontrolní součet prověřovaného souboru a dotáže se serveru,
zdali v jeho databázi již takový soubor s takovým kontrolním součtem existuje.
Do vlastní kontroly souboru se program pustí, až když zjistí, že takový soubor
není v databázi serveru dosud registrován nebo že kontrolní součet má jinou
hodnotu.
Likvidaci makrovirů ovládá Sophos dobře neškodná makra v souborech ve formátech
Word a Excel přežijí jeho zásah bez úhony. S vloženými objekty v souborech
Office si dokáže poradit pouze u excelovských a wordovských dokumentů, na
PowerPoint v našem případě nestačil.
Sophos Anti-Virus je solidní program, který se díky své výkonnosti staví do
popředí zájmu uživatelů z řad firem.

Avast32 3.0 Network Edition
Antivirový program Avast32 3.0 produkuje tuzemský výrobce Alwil Software. S
jeho desktopovou verzí a kvalitou skenerů pro vyhledávání virů jsme vás již
seznámili v CW 44/2001. Tentokráte jsme měli k dispozici Avast32 3.0 Network
Edition, který je z pohledu správce sítě zajímavý v několika ohledech. Pro
centrální správu není třeba instalovat žádný speciální program, jako je tomu u
ostatních testovaných programů. Nastavení programu může správce provádět na
libovolné stanici, jednoduše pouze změní počáteční písmenko instalačního kódu.
Avast32 rozlišuje dva druhy síťové aktualizace. Pomocí nové služby iAVS lze
inkrementálně aktualizovat virové databáze Avastu. Velikost stahovaného souboru
je přitom nízká, plně automatická a pohybuje se okolo 30 KB. Ve velkých firmách
lze využít zrcadlení aktualizačních adresářů (mirrorování), což umožňuje
aktualizaci všech stanic v síti.
Druhou dostupnou aktualizací je TMD. Ta dokáže kromě virových databází
aktualizovat i Avast. Na rozdíl od iAVS však správce musí stáhnout aktualizační
soubor ze stránek Alwilu a rozbalit jej do aktualizačního adresáře.

AVG Server Edice (SE)
Druhým recenzovaným domácím produktem je program AVG pocházející z dílny firmy
Grisoft. Před rokem jsme psali o desktopové verzi, nyní jsme se podívali na
možnosti serverové edice a ve spojení s programem AVG Admin. S pomocí AVG
Adminu lze ovlivňovat veškeré dění programu v sítích. S jeho pomocí snadno
rozdistribuujete antivirovou ochranu na stanice, nastavíte potřebné parametry
vč. například zákazu vypnutí rezidentního štítu v položce Zakázané položky
apod. Nezbytností síťových verzí se dnes stala možnost, kdy správce může také v
případě AVG antivirové testy plánovat, a na stanicích tak může běžet kompletní
test v pevně danou dobu, tedy například po pracovní době. Výsledky má pak k
dispozici v přehledných reportech. Aktualizaci AVG lze provádět hromadně na
všechny stanice. Buď si program vyžádá automatickou aktualizaci po internetu,
nebo využijete pomocníka utilitu genctf.exe (získáte ji na internetových
stránkách výrobce). AVG zřejmě ocení správci prahnoucí po systému, který se
snadno zavádí a obsluhuje. Výhodou AVG Server Edice (SE) je výsledná cena a
české prostředí.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.