Zbavte síť nebezpečných virů

1. 9. 2004

Sdílet

Okolnosti nasazení antivirových programů na všech úrovních síťové infrastruktury se pomalu, ale jistě změnily. Co p...
Okolnosti nasazení antivirových programů na všech úrovních síťové
infrastruktury se pomalu, ale jistě změnily. Co před několika lety mohlo
vypadat jako dobrá volba, ale také trošku luxus, je dnes často vnímáno jako
naprostá nezbytnost při holém boji o síťové přežití. Absence antivirového
řešení může znamenat pro vaši síť naprostou kalamitu bez ohledu na to, zdali
ochranu ošidíte na poštovním serveru, proxy bráně či klientských stanicích.
Velikost sítě nerozhoduje, počet klientů není z hlediska míry nebezpečí
jednoznačně určujícím faktorem. Ani procentuální zastoupení ochráněných
počítačů není ukazatelem, neboť jediný zvenčí přinesený notebook bez patřičné
ochrany může znamenat pohromu. Diskuse o antivirových programech se tedy
přenesla z roviny "nasadit, či nenasadit" do zcela jiné polohy: které řešení
nasadit?
Stejně jako v loňském roce i letos vám přinášíme srovnávací pojednání o
antivirových programech se zaměřením především na ochranu koncových stanic.
Naším cílem bylo přinést přiměřeně kritický obrázek o aktuální nabídce na trhu,
o skutečných funkcích programů v takové podobě, jakou jsme zachytili, a také
nastínit jakýsi globální obraz úrovně tohoto typu softwaru. Tedy, cílem není
jen srovnávat, ale též podat svědectví o metách, ke kterým technologie "pro
vaši kancelář" momentálně u předních výrobců dospěla.

Postup při testování
Abychom mohli aplikace, jež jsou předmětem tohoto článku, porovnat s co možná
nejlepší vypovídací schopností, použili jsme sérii standardních postupů, které
měly prokázat nejen připravenost odhalit škodlivý kód, ale i další funkce. Zde
popsaná metodika byla ve všech případech striktně dodržována a naší snahou bylo
co nejvěrněji napodobit reálné situace.
Základem prověření antivirové aplikace pochopitelně byla kontrola reakce na
přítomnost virové nákazy. Jako referenční vzorek jsme nasadili varianty
zkušebního souboru Eicar, jenž má jednu zásadní výhodu: všemi antivirovými
programy v našem testu byl v základní formě (jako spustitelná varianta .com) po
uložení na disk či načtení do paměti okamžitě a neomylně identifikován. Mohli
jsme tedy prověřit, při jak velkém "odstínění" bude stále nalezen zkoušeli jsme
jeho zabalení do archivů různých formátů, uložení na síťovém disku a různé
cesty zavedení na zkoušený operační systém (disketa, USB disk, kopírování ze
sítě atd.). V případě síťové komunikace byly pochopitelně deaktivovány všechny
funkce jako personální firewally a jiné ochrany, které by mohly výsledek
negativně ovlivnit. Pod pojmem síťový disk se v našem případě skrývá namapovaná
síťová jednotka pod písmenem, připojená pomocí služeb Klient sítě Microsoft a
Sdílení souborů a tiskáren sítě Microsoft, tedy jinak řečeno tradiční aplikační
protokol SMB.
V případě kontroly komprimovaných souborů jsme použili v současné době běžně
používané formáty, resp. algoritmy pro kompresi, jako jsou ZIP či RAR.
Referenční klientské počítače byly vybaveny operačním systémem Windows XP
Professional SP1, administrativní server pak provozoval Windows 2003 Server.

Problémy s archivy
Poté, co jsme se pustili do srovnávání dostupných antivirových řešení, jsme
velmi brzy začali tušit rámcový výsledek: v současné době vám skupina předních
výrobců nabízí velmi kvalitní a navzájem srovnatelná řešení. Po technologické
stránce jsou si produkty poměrně dost podobné, takže při výběru máte téměř
jistotu, že budou zahrnovat stejné funkce jako například rezidentní skener,
kontrola e-mailové korespondence či pravidelná kontrola vybraných složek a
diskových jednotek. Také schopnost odhalit virovou nákazu je velmi dobrá
prakticky ve všech případech.
Bohužel hned u několika z testovaných antivirových aplikací se prokázaly
poměrně nečekané obtíže při řešení problémů s viry ukrytými uvnitř
komprimovaných archivů. V řadě případů jsme pak dosáhli pouze znepřístupnění
těchto souborů, neboť funkce smazání či přesunu do karantény zklamaly. Avšak
dočasné odepření přístupu nemůže být definitivním řešením nastalé situace: po
následném pozastavení funkce rezidentní ochrany byly soubory-viry bez zábran
spustitelné. Na vysvětlenou je potřeba zmínit pravděpodobnou podstatu potíží:
antivirový program totiž typicky nebojuje s vlastním "zapakovaným" souborem,
ale s dočasnou kopií, která se vytváří v přechodných adresářích při snaze o
jejich on-line použití. Antivirus často úspěšně smaže kopii souboru bohužel
originál zůstává dál zakuklen na původním místě. Bez zajímavosti není ani fakt,
že tento nedostatek jsme odhalili u více programů, nejednalo se tedy o žádnou
tragickou výjimku některého z "účastníků".
Ale abychom nebyli pesimisty, musíme konstatovat, že vzácná vyrovnanost se mezi
antivirovými programy projevuje i v mnoha kladných případech. Ať už se jedná o
provádění automatizovaných updatů, které jsou snadné a relativně spolehlivé,
nebo o reakci na napadení, kde mají testované produkty k dispozici podobné
nástroje (mazání, karanténa, znepřístupnění souborů odebráním práva přístupu).
Také ostatní základní výbava je u antivirových aplikací na dosti podobné úrovní.
Ve velmi dobrém světle se v každém případě jevila funkcionalita pro automatické
updatování, a především pak podpora ze strany výrobců stran dodávek aktualizací
antivirových databází. Zde nastala oproti loňskému testování výrazná změna k
lepšímu, neboť dodavatelé programů, jež poněkud zaostávaly, výrazně dotáhli
konkurenci; samozřejmostí se staly aktualizace v rozmezí jednoho či dvou dnů.
Závěr našeho srovnávání je tedy možná trošku vyhýbavý, avšak nevyhnutelný. O
koupi antivirového nástroje již dnes nemůže rozhodnout pouze jeho technologická
kvalita nebo úspěšnost při testování proti různým nákazám. Produkty jsou v
tomto ohledu natolik vyrovnané, že významnou roli sehraje přidaná hodnota:
integrace s dalšími nástroji pro bezpečnost, podpora od výrobce nebo v
neposlední řadě poměr cena/výkon atd. Naše závěrečné hodnocení složené z
několika kritérií naleznete v tabulce na straně 13.

NOD32 Enterprise Edition
Antivirové řešení NOD32 společnosti Eset si v tuzemsku získává stále širší
uživatelskou obec. Sami jsme se přesvědčili, že zvěsti o jeho kvalitách se
zakládají na pravdě. K dispozici jsme měli na straně klientských počítačů verzi
se základem 2.000.9, administrátorskou centrálu pak představovalo řešení NOD32
Remote Administrator Server s rozhraním NOD32 Remote Administrator Console.
Zhodnocení začneme právě od strany serverové, neboť zde jsme se dočkali velmi
příjemných zážitků. Nástroj Remote Administrator Server je jak po stránce
grafické, tak především co do nabízených funkcí zpracován velmi kvalitně a
přehledně. Zařazení spravovaných stanic do databáze je rychlé a jednoduché a
konfiguraci větších kolekcí samozřejmě usnadňuje možnost definovat skupiny.
Mimo jiné zde najdeme rozhraní pro přípravu instalačních balíčků, volbu pro
vzdálenou instalaci klientských antivirů na cílové počítače či prohledávací
funkci na zjišťování nechráněných strojů, ovšem jestli se tvůrcům něco opravdu
vyvedlo, tak je to přehled zaznamenaných událostí a možnost prohlížení
logovacích souborů. K dispozici jsou rovněž šablony pro generování přehledných
sestav. Celá aplikace pracuje rychle a bez potíží.
Klientský antivirus je možno používat jak v režimu řízeném z administrativního
centra, tak v podobě samostatné aplikace, přičemž změnu lze provést kdykoliv
během používání. I v tomto případě bylo ovládací rozhraní navrženo velmi dobře
a s antivirem lze snadno pracovat.
NOD32 nabízí širokou škálu parametrů pro detailní definování funkce
jednotlivých součástí programu. Zajímavou vlastností je funkce mirror
(zrcadlení), která zajišťuje rozprostření aktualizačních souborů antiviru na
více zdrojů se snahou minimalizovat riziko nedostupnosti. Zajímavou pomůckou
pro opravdu pokročilou konfiguraci je pak Editor konfiguračních souborů, s
jehož pomocí vymáčknete z programu maximum.
Přestože NOD32 jak jsme zmínili výše je zdařilým nástrojem, při testu detekce
na viry se zařadil mezi ty produkty, kterým dělaly potíže zabalené archivy.
Antivirový skener sice pracoval podle očekávání, avšak při kopírování z diskety
infikované soubory "prolezly" na počítač a bylo nutno je likvidovat dodatečně.
Žádné další problémy s detekcí jsme nezaznamenali.

F-Secure Anti-Virus SMB
K prověření klientské instalace antiviru jsme použili produkt FSAV ve verzi
5.52, centrální řízení ze vzdáleného serveru jsme prováděli pomocí nástroje
F-Secure Policy Manager, což je poměrně všestranné rozhraní pro řízení nejen
antivirových funkcí, ale též dalších bezpečnostních mechanismů z dílny F-Secure
(v našem případě ve verzi 5.50). Použili jsme rovněž komponentu pro antivirovou
ochranu a automatické updaty.
Právě řídicí centrum, realizované v pořadí druhou zmíněnou aplikací, pro nás
bylo příjemným překvapením. Správu politik je možno výborně navrhnout díky
principu hierarchického uspořádání a práce s klientskými stanicemi je velmi
přehledná. Nástroj nabízí kvalitní pomůcky k prohledání sítě a identifikaci
spravovaných počítačů, výborné jsou možnosti sledování událostí a celkově
působí ovládací konzole dobře uspořádaným a přehledným dojmem.
Klientská část je u tohoto výrobce zastoupena aplikací Anti-Virus Client
Security, která kromě antiviru integruje třeba také štít proti internetovým
útokům. Ovládací rozhraní stejně jako kolekce nabízených možností působí na
první pohled střízlivým dojmem, avšak podstatné funkce klient pochopitelně
bezezbytku obsahuje. Jako skvělá se ukázala spolupráce s centrální řídicí
aplikací, avšak i v samostatném režimu (jejž lze kdykoliv zvolit) funguje
klientská část řešení bezvadně. V jednotlivých fázích antivirové kontroly lze
bez potíží nastavit způsob chování při nalezení infekce, je zde také kontrola
odchozí i příchozí pošty; rovněž updatování fungovalo u tohoto produktu
spolehlivě. Bohužel se nám ale v ovládacím rozhraní nepodařilo nijak ovlivnit
způsob skenování a parametry jako úroveň heuristické analýzy či zapnutí a
vypnutí této funkce. Uživatel tak nemá možnost tuto funkcionalitu nijak
ovlivnit; odpovídající konfiguraci se nám nepodařilo najít ani v Policy
Manageru.
Na druhou stranu pro nás bylo příjemným překvapením chování antiviru při snaze
o infiltraci zvenčí. Na rozdíl od konkurentů si bleskově poradil i při
kopírování testovacího kódu komprimovaného v archivech a nákazu již v zárodku
odhalil. Kvalita detekčních schopností řešení společnosti F-Secure je tedy
nepopiratelná.

AVG 7.0 Multilicence
Přestože řešení AVG tuzemského výrobce již pamatuje v aktuální verzi loňské
invexové klání, platí i v tomto případě tradiční pravidlo Grisoftu, že produkty
chvályhodně zrají s časem. Na klientském počítači jsme prováděli testování
verze 7.0.262, pro centrální administraci nám pak posloužila komponenta
AVGAdmin ve stejném sestavení, které bylo uvolněno počátkem srpna.
Právě na straně centrální administrace je znát, jakým směrem výrobce napřel své
síly. K dispozici jsou v ní velmi všestranné přehledy o činnosti jednotlivých
stanic a příjemným překvapením pro nás bylo rozhraní určené ke vzdálené
instalaci a konfiguraci klientských instalací. Spokojeni jsme byli především s
možností prohledání IP podsítě či domény Windows a nalezení "neošetřených"
počítačů, s následnou možností distribuce klientského antiviru. Centrální
sledování událostí také pracovalo dobře; o situaci na klientském stroji jsme
byli prakticky vzápětí informováni. Administrátor má k dispozici velmi slušné
možnosti globálního řízení konfigurací klientů, spravované počítače lze členit
do skupin a selektivně ovládat. Pro ukládání dat využívá administrátorské
centrum dle vaší volby dostupný zdroj ODBC, další možností je databáze FireBird
a my jsme pro změnu zvolili výchozí instalaci databáze 602SQL Server.
Klientské části, která může pracovat zcela nezávisle nebo ve spolupráci s
administrativní databází, dominuje poměrně přehledné grafické uživatelské
rozhraní. Možnosti nastavení činností aplikace jsou velmi všestranné a bohaté,
takže chování je možno poměrně dobře přizpůsobit nárokům uživatele. Přihlášení
k centrální databázi a následnou komunikaci jsme realizovali bez vážnějších
komplikací.
Testovaný antivirus na klientské stanici bohužel neprokázal při snaze zabránit
vniknutí infekce stoprocentní výsledky. Stejně jako jeho konkurenti dokázal při
vložení diskety a pokusu o kopírování odhalit ryzí formu testovacího viru v
podobě .com souboru, avšak archivy jej nechávaly chladným. V případě
dodatečného testu na požádání byla sice infekce správně rozpoznána i u
"nejzakuklenějších" variant, avšak přese všechnu snahu se nám nepodařilo
škodlivý soubor zlikvidovat, takže v archivech na lokálním disku zůstal. Toto
chování se ovšem ukázalo jako "normální" i u některých ostatních programů.

Kaspersky Anti-Virus BO
Antivirová technologie tohoto jména dnes patří bezesporu k jedněm z
nejpopulárnějších produktů na trhu. Dnes již tradiční dodavatel stále spoléhá
především na kvalitu skenovacího stroje a nesmírně důsledné, pravidelné
zasílání nových verzí objevených škodlivých kódů ve formě updatů, jež jsou
samozřejmostí dokonce v tříhodinovém intervalu. Co se klientských počítačů
týče, nabízí tento výrobce variantu vhodnou buďto pro koncový počítač
"domácího" charakteru, nebo pro klientské stanice ve firemním prostředí. Právě
instalaci antiviru ve variantě "Pracovní stanice pro Windows", která je
dodávána v rámci licenčního balíku pro malé firmy spolu s administrátorskou
centrální konzolí, jsme podrobili našemu průzkumu.
Antivirus v tomto distribučním provedení může po instalaci plnohodnotně
fungovat jak samostatně, tak především ve spojení s řídicí aplikací.
Centralizovaná správa je pak realizována pomocí balíku Kaspersky Administration
Kit. Při zevrubnějším seznamování s uživatelským rozhraním postupně zjistíte,
že tvůrci zvolili cestu "absolutní kontroly" a dali administrátorům do ruky
velmi široké možnosti nastavení aplikace a jejích funkcí. Velmi důkladně lze
definovat třeba typy souborů, jež bude antivirus při rezidentní ochraně
kontrolovat, dále lze vyřadit či zapnout heuristickou analýzu a zcela bez
kompromisů je také volba chování antiviru při nalezení nákazy. Výborným
způsobem tvůrci implementovali tvorbu a zasílání zpráv o událostech reportů.
Administrátor si může detailním způsobem určit, co vše archivované záznamy
budou obsahovat, jak důkladné informace potřebuje, a s archivem je možno
přehledným způsobem následně pracovat.
Rovněž řídicí komponenta Administration Kit je zdařilou aplikací. Bezproblémová
je organizace klientských počítačů a serverů do skupin ve vlastní hierarchické
struktuře; také vyhodnocování zpráv o nákaze je zpracováno přehledně. Dobrý
dojem na nás zanechalo rovněž používání nástroje pro distribuci klientských
instalací, jež dovoluje přiřadit antivirus na stanici v síti přímo nebo
prostřednictvím instalace do cílové složky, která bude následně zavolána
přihlašovacím skriptem.
Kromě konfiguračních možností se produkty Kaspersky ukázaly ve velmi dobrém
světle i v případě odhalování nákazy. Při snaze infiltrovat počítač z
přenosného média (diskety) rezidentní skener nejen odhalil různě zabalené
varianty zkušebního souboru, ale při pokusu o dezinfekci je také dokázal
úspěšně zlikvidovat, s čímž konkurenti měli značné potíže. I ostatní
prohledávací funkce pracovaly bezvadně, takže z hlediska ochrany se jedná
bezesporu o prvotřídní program.

McAfee VirusScan SMB
Ačkoliv cesty vývoje antivirového softwaru pod značkou McAfee byly chvílemi
nejasné a nejisté, je s námi tento tradiční produkt stále v plné síle a
rozhodně nedělá svému jménu ostudu. Výrobce dodává jak variantu pro klientské
stanice, již jsme testovali ve verzi VirusScan Enterprise 7.1.0, tak
odpovídající nástroj pro centrální řízení v prostředí menší sítě až s několika
stovkami počítačů, jenž se ukrývá pod názvem McAfee Protection Pilot 1.0.0.
V pořadí druhá jmenovaná součást je poměrně robustním nástrojem, jenž při svém
běhu spoléhá na zázemí databázového stroje MSDE z dílny Microsoftu a během
instalace si jej případně zavede a spustí.
Klientská aplikace je ve svém ovládacím rozhraní velice kompaktní a na první
pohled jednoduchá. Teprve při bližším ohledání začne uživatel nacházet v
útrobách grafické reprezentace detailní možnosti nastavení, jež dovolují velmi
přesně naplánovat kontroly, zvolit způsob reakce na situace ohrožení či umístit
karanténu na škodlivý kód dle přání uživatele. Mezi zajímavé vymoženosti určitě
patří přesné vymezení dovolené procesorové náročnosti při skenování disků na
požádání nebo třeba možnost připojení z konzole na vzdálený počítač, vybavený
stejnou technologií.
Příjemným překvapením byly v našem testu zaznamenané detekční schopnosti. Na
rozdíl od řady konkurentů si antivirus nenechal při kopírování z přenosného
média proklouznout mezi prsty testovací kód, komprimovaný v archivech, a
bezpečně jej nejen odhalil, ale také zlikvidoval! Na první pohled jasný úkol
takto perfektně zvládl pouze McAfee VirusScan a Kaspersky, ostatní produkty
měly větší či menší potíže.
Podobně jako klientská aplikace nás zaujal také administrativní nástroj
Protection Pilot. Ten nabízí přehledné ovládací rozhraní, s nímž je správa
monitorovaných počítačů díky možnosti sestavit hierarchickou strukturu
"hračkou". Naleznete zde zajímavé funkce pro připojení spravovaných počítačů,
automatickou instalaci agentů a klientského softwaru a centrální řízení updatů.
Co se nám na tomto řešení opravdu líbilo, byly grafické statistiky, sestavované
z údajů získaných v celé síti, resp. ze všech spravovaných počítačů. Snad
jedinou slabinou administrátorské konzole je její značná pomalost v odezvě. To
by se dle výrobce mělo změnit s novou verzí, která přijde na trh v příštích
týdnech. S recenzí nového produktu vás seznámíme v některém z příštích čísel CW.

Symantec Client Security 2.0
Společnost Symantec tradiční dodavatel komplexních ochranných síťových řešení,
do nichž dnes v zásadě antivirové aplikace patří již jednoznačně preferuje
klientskou kombinaci antivirus + personální firewall. Protože jsme mimo jiné
prověřovali komunikaci s centrálním administrativním rozhraním a "firemní"
nasazení, oblíbený Norton Antivirus pro domácí uživatele v našem přehledu
nahrazuje pro korporátní nasazení připravený Client Security. Že jde pouze o
převtělení téže technologie, se můžete přesvědčit při kontrole označení verze,
jež v našem případě bylo Symantec Antivirus 9.0.0.338.
V případě, že dobře znáte právě ono "domácí" provedení Norton Antiviru, budete
možná překvapeni proměnou uživatelského rozhraní. Domníváme se, že hierarchické
uspořádání všech položek do logické struktury velmi zjednodušilo a zpřístupnilo
práci s ovládací konzolou. Naprosto perfektní jsou pak možnosti konfigurace. O
co je "domácí" varianta zjednodušená, o to plnohodnotnější volby všemožných
parametrů najdete zde. Není tak problém třeba řídit důslednost heuristické
analýzy, optimalizovat výkonnost nastavením velikosti dočasné paměti pro
soubory či detailně nastavit způsoby reakce na virovou nákazu pro všechny
činnosti antiviru. Velmi přehledně jsou též zpracovány záznamy událostí;
interní "Event Viewer" je opravdu perfektním nástrojem.
Pro centrální administraci pochopitelně Symantec nabízí nástroje odpovídajícího
kalibru, jež se řadí mezi naprostou špičku. Jednou z možností pro menší firmu s
desítkami počítačů je mimo jiné produkt Symantec System Center, jenž nás po
instalaci na server překvapil vynuceným restartem. Následovala však již pouze
pozitivní zjištění: konzole je dobře ovladatelná a řízení prostřednictvím
politik je opravdu propracované.
Co se týče detekčních schopností, zařadil se Client Security bohužel po bok
"váhajících" konkurentů. Stejně jako jiné antiviry sice dokáže bezpečně
identifikovat zkušební kód i uvnitř archivovaných balíků, avšak při jejich
kopírování z diskety jej to nijak nevyrušilo, přestože spustitelná i textová
varianta bez komprese byly bezpečně odhaleny. Následné vyžádané skenování
samozřejmě infekci odhalilo a odepřelo k infikovaným souborům přístup.

Antivirové řešení
Kaspersky Anti-Virus Business Optimal
Přestože konkurence (což ostatně dokazují i výsledky našeho hodnocení) je velmi
vyrovnaná, v napínavém a vyrovnaném souboji jsme jako vítěze těsně ohodnotili
technologii Kaspersky. Řešení nabízí výborné možnosti konfigurace, perfektní
nástroj pro centrální řízení a velmi dobré detekční schopnosti. Antivirus
dokáže nejen viry odhalovat, ale též nekompromisně likvidovat; správce má navíc
stále dobrý přehled o dění v síti.