Sophos Anti-Virus staat zijn mannetje

Zeer complete netwerkbeveiliging met enkele minpuntjes

In de massatest van netwerkantimalwarepakketten (Computable 49, 8 december 2006) ontbrak Sophos. We hebben het product toch nog binnengekregen en dus wilden we u de testresultaten niet onthouden.

Sophos is een bekende naam inzake virusbestrijding. Alleen liep er wat mis met de communicatie, want het bedrijf slaagde er niet in een product bij ons afgeleverd te krijgen voor onze deadline. Nu is dat dus wel gelukt. De netwerkbeveiliging van Sophos bestaat uit een aantal componenten. Sophos Anti-Virus of SAV verzorgt de eigenlijke malwarebestrijding. Dat is een lokale beveiliging, maar die kunt u op afstand beheren met de Sophos Enterprise Console. Updates en softwaredistributie kunnen ook vanaf een centraal punt in uw netwerk naar de werkstations en servers toe en dat doet u met Sophos EM Library. Deze updatecomponent wordt automatisch door Enterprise Console meegeïnstalleerd. De andere beveiligingsproducten van Sophos zijn de Client Firewall en de mailfilters PureMessage en MailMonitor (de laatste ondersteunt systemen die PureMessage niet ondersteunt). Ten slotte kunt u ook nog een ontwikkelingskit downloaden om de antiviruscomponent rechtstreeks vanuit uw applicaties te kunnen aanroepen.

Installatie en configuratie

Voor netwerkinstallaties hoeft u maar één product te downloaden en te installeren: Sophos Enterprise Console. Deze software verzorgt het centrale beheer van alle desktops en servers waarop u Sophos-beveiligingen hebt draaien of wil draaien. Sophos Enterprise Console of kortweg SEC downloadt dan zelf de laatste versies van de andere software van de site van Sophos. Als eerste is dat de updatecomponent EM Library. Een bibliotheek is bij Sophos de verzameling van software en updates die over het netwerk beschikbaar gesteld worden voor andere clients en servers.

U kunt meerdere bibliotheken aanmaken, maar meestal zult u iedereen met de laatste nieuwe software en updates willen laten werken en dan hebt u er maar één nodig. Voor uw eigen hoofdbibliotheek moet u een ‘parent’ (ouderbibliotheek) opgeven, normaalgesproken de updatesite van Sophos waarvoor u een inlog nodig hebt.

SEC presenteert geen hoofdconfiguratiewizard, maar toont een lijst knoppen die u van boven naar onder moet aflopen. Moeilijk is dat dus niet. Na het opgeven van de parentbibliotheek geeft u de updateschema’s op: hoe vaak moet het centrale systeem updates downloaden? Standaard staat dat ingesteld op elke werkdag om de tien minuten. De derde stap is het selecteren van de pakketten die u nodig hebt in uw bedrijf. Dat zijn doorgaans de verschillende platformspecifieke versies van het antivirusproduct, maar ook de firewall. We merken trouwens op dat Sophos zelf alleen maar over antivirus spreekt: er wordt nergens melding gemaakt van malware. Stap vier is het downloaden van de pakketten en die klaarzetten voor uw netwerk in uw bibliotheek. En stap vijf is een button voor het starten van SEC. Daarmee doet u het dagelijkse beheer.

Functionaliteit en beheer

Het dagelijks beheer van SEC toont een boomstructuur van het netwerk, vertrekkende vanuit het beheersysteem. Bij het eerst gebruik maakt u een of meer computergroepen aan. Dan scant u uw netwerk en kunt u alle gevonden systemen in een speciale groep ‘unassigned’ (niet-toegewezen) vinden. Vervolgens sleept u de systemen met uw muis naar de juiste groep toe. Zodra u loslaat, start automatisch een wizard die u voorstelt om het systeem te beveiligen. Daartoe moet u inloggevens verstrekken. Hierbij stellen we vast dat Sophos de regels voor gebruikersnaam- en -wachtwoordcombinaties strikter toepast dan Microsoft zelf. Doorgaans is dat geen probleem, op voorwaarde dat u een volledig correct werkende implementatie van Active Directory of NT-domeinen hebt draaien. We geven er de voorkeur aan dat Sophos de inlogprocedure wat versoepelt om ook niet correct in het domein geïntegreerde werkstations te kunnen beheren.

Qua functionaliteit komt u verder niets tekort. U kunt per computergroep update-, antivirus- en firewallpolicy’s definiëren en toepassen. Malwarebestrijding is aanwezig, maar er wordt niet specifiek naar verwezen. Er is een optie om ‘automatisch schoonmaken van ongewenste applicaties’ mogelijk te maken, maar Sophos heeft dat standaard uitgeschakeld. Zoiets mag van ons standaard aan staan.

Prestaties

Sophos haalt bij ons een functionaliteitsscore van 98%. Dat is het hoogst van alle geteste pakketten. Bij de antivirustest liet de software zich vangen door onze valse positieven, die dus onterecht als virussen werden herkend. De virusdetectietest leverde met 85% een vrij goed resultaat op, maar het schoonmaken ging heel wat minder met een score van 44%. Kennelijk kan het product van Sophos vrij goed macrovirussen verwijderen uit documenten, maar kan het EXE-bestanden slecht schoonmaken. Dat levert een antivirusscore van 65% op.

De malwarebestrijding is erg goed; Sophos verwijdert alle malwarevarianten op drie na en één daarvan wordt na een scan weggehaald, de andere twee niet. 180SearchAssistant herkent Sophos wel, maar kan hij dus niet effectief verwijderen. BargainBuddy blijft zonder detectiemelding in ons testsysteem achter. De antimalwarescore bedraagt daarmee 89%. Als we alles totaliseren, krijgen we een zeer behoorlijke prestatiescore van 83%, een prijsscore van 57% en een prijs/prestatiescore van 75%.