Malware bestaat uit virussen, parasieten en soortgelijk kwaadaardig gespuis. Het bedreigt Windows dektop- en serversystemen. Tenzij je wil overschakelen naar Linux, moet je jezelf beveiligen tegen malware. Dat lukt met enterprise antimalwaresoftware. Wij testten de belangrijkste producten op de markt.
Malware is gemaakt voor Windows. Punt. Ongeacht wat sommigen ons proberen wijs te maken, bestaat er voor geen enkel ander platform malware. Voor de Mac-versie van Microsoft Office bestaan er macrovirussen, dat wel. Maar dat is tengevolge van gebreken in Office, net als bij de Windows-versie. Er zijn wel mensen, vaak werknemers van antimalwareproducenten of van Microsoft, die beweren dat als andere besturingssystemen zo succesvol waren geweest als Windows, ook zij het doelwit geweest zouden zijn van allerlei malware. Met die uitspraak zijn we het helemaal niet eens. Een tegenvoorbeeld is immers snel gevonden: de meest gebruikte webserver is Apache, maar het blijkt niettemin Microsoft Internet Information Server te zijn die het meest last heeft van aanvallen. Windows blijkt helaas gewoon niet veilig. Je kunt niet anders dan de vele beveiligingsgaten dichttimmeren met behulp van beveiligingssoftware. Andere besturingssystemen, zoals Linux en MacOS, hebben die inherente zwakheden niet en malware kan gewoon niet werken omdat het daarvoor allerlei rechten en mogelijkheden zou moeten hebben die het onder Windows wel en onder die andere platformen niet heeft.
Microsoft kan de beveiligings- en prestatieproblemen van Windows gewoon niet oplossen zonder het besturingssysteem van de grond af te herschrijven, maar dan zou het niet meer compatibel zijn met bestaande Windows-applicaties. En dus zul je Windows altijd sterk moeten beveiligen, daar kom je niet onderuit. Dat geldt ook voor Windows Server 2008 R2 en Windows 7 dat eind oktober uitkomen.
Maakt antimalware onkwetsbaar? De producenten van antimalwaresoftware geven je de indruk dat je met hun producten volkomen veilig Windows kunt gebruiken. Helaas stellen wij elk jaar bij onze antimalwaretesten vast, dat er altijd wel virussen en parasieten door de mazen van het beveiligingsnet glippen. Bijgevolg moet de sofware naast de gebruikelijke scans ook een ijzersterke residente beveiliging bevatten, die alle wijzigingen aan de systeemsoftware controleert en zonodig verhindert.
In een netwerk is het probleem nog veel groter. Als een systeem besmet raakt, is het immers voor malware een koud kunstje om de rest van het netwerk ook te infiltreren. Daarom moet bedrijfsantimalwaresoftware niet alleen alle servers en werkstations beschermen, maar ook een behoorlijk centraal beheer bieden. Daarmee kunnen alle systemen in het netwerk op afstand worden bediend en geconfigureerd. Ook is het dan mogelijk de software en eventuele beveiligingsupdates vanaf een centrale plek uit te rollen en te verdelen naar alle systemen. Minder is meer, zeker bij netwerksoftware: minder werk voor de beheerder en meer functionaliteit voor het hele netwerk!
Testmethode
Netwerkantimalwareproducten testen we in twee prestatietesten: een antivirustest en een antiparasiettest. Bij virussen komt besmetting het meest voor doordat je een bestand binnenkrijgt via e-mail of een opslagmedium. Virusdetectie is dus een heel belangrijke eerste stap, want die voorkomt dat je systeem besmet raakt. Uiteraard moet er ook een achtergrondcontrole zijn die een eventueel tot dusver onbekend virus dat toch gestart is, blokkeert. Een parasietbesmetting treedt heel vaak op een meer argeloze manier op: terwijl je surft (zeker met IE), of eventueel ingebed in software die je installeert. Daarom lijkt ons de residente parasietblokkering de belangrijkste factor in de tweede fase van de test. Voor de antivirustest doen we bijgevolg een detectie- en schoonmaaktest, en voor de antiparasiettest kijken we of de software in staat is een besmetting met honderden parasieten te voorkomen of, als dat toch lukt, het systeem met succes weer te zuiveren. Naast deze prestatietesten hebben we ook punten gegeven op de functionaliteit en netwerkbeheerfaciliteiten van de diverse producten. Meer uitleg over de antivirus- en antiparasiettest vind je hieronder in een tekstkader bij dit artikel. Gedetailleerde productinformatie en testresultaten vind je in de drie bijbehorende Excel-tabellen.
Geteste producten
Zoals gebruikelijk vroegen we de bekendste producenten van netwerkantivirussoftware ons een pakket ter evaluatie op te sturen. In deze test vind je dus de volgende producten (in alfabetische volgorde): F-Secure Client Security; McAfee Active Virus Defense; Panda Security for Enterprise; Symantec Endpoint Protection 11 en TrendMicro OfficeScan 10. We nodigden uiteraard ook Kaspersky uit om mee te doen met onze test, maar het bedrijf liet ons weten dat er ongeveer gelijk met de publicatie van deze test een nieuwe versie van Kaspersky uitgebracht zou worden. Ze zouden begrijpelijkerwijze niet in de test willen zitten met hun oude versie. En wij vergelijken uiteraard geen bètaversie met kant en klare producten. Bijgevolg zul je Kaspersky in een volgende test weer aantreffen, maar dus niet in deze.
F-Secure Client Security
Het Finse F-Secure biedt Policy Manager als centraal beheer voor de beveiliging. Zoals de naam al doet vermoeden, definieer je een ‘security policy’ of beveiligingsreglement en alle F-Secure beveiligingssoftware gebruikt dat dan om de naleving ervan af te dwingen in het volledige netwerk. Je kunt Policy Manager als een centraal beheer gebruiken voor al je antimalwareproducten. F-Secure biedt voor Windows servers aangepaste antimalwareproduten voor file- en Exchange servers. Voor desktopsystemen is er een werkstationantimalwaremodule of Client Security. Dat is een compleet beveiligingspakket voor desktops met naast malwarebestrijding ook een firewallmodule. Policy Manager, dat trouwens ook voor Linux bestaat, kan dit dus net als de andere antimalwareproducten van F-Secure ook volledig op afstand beheren. Je kunt geïnfecteerde bestanden wissen, hernoemen, proberen schoon te maken of alleen vermelden in het logboek, maar ze ook verplaatsen of in quarantaine houden. Qua detectie en blokkeren van malware haalt F-Secure de hoogste scores van alle producten in deze test. Ook het schoonmaken is van het hoogste niveau. De software herkende onze parasietinfector vrijwel onmiddellijk als dusdanig en hij blokkeerde de hele software meteen en volledig, zodat de parasietinfecties niet eens konden beginnen. Zo moet het!
McAfee Active Virus Defense
Het allerbekendste bedrijf als het gaat over het bekampen van computervirussen is waarschijnlijk wel het Amerikaanse McAfee. Voor bedrijven heeft McAfee twee beveiligingssuites. Active Virus Defense omvat in tegenstelling tot wat de naam doet vermoeden een volledige malwarebescherming, maar geen inbraakpreventie. Daarvoor heb je de suite Total Protection Enterprise nodig. De inbraakpreventie die daarbij hoort is een uitbestede dienst. Voor deze test is dat irrelevant en dus hebben we voor Active Virus Defense gekozen. Het netwerkbeheer heet bij McAfee de ePolicy Orchestrator (lees onze eerdere test) . Het bijzondere aan deze software is, dat die niet alleen met antivirussoftware van McAfee samenwerkt, maar ook die van derden (met name Symantec). Je kunt met ePolicy Orchestrator of kortweg ePO alle servers en werkstations in een netwerk opsporen en van beveiligingssoftware voorzien en beheren. Je beheert McAfee ePO met een webinterface. Het vereist dat je het installeert op een Windows server. Bedienen kun je het daarna vanaf gelijk welke pc met webtoegang tot die server.
Zoals de naam al aangeeft, werkt ePO met reglementen. Je kunt reglementen opstellen voor directoryobjecten, waarschuwingssystemen, ePO-agenten voor niet-Windows platformen, GroupShield voor Lotus Domino, Symanec Antivirus en McAfee VirusScan Enterprise (ook oudere systemen). Er zijn instellingen en regels voor waarschuwingen en meldingen, voor niet specifiek toegelaten of ‘rogue’ systemen, en inzake vergaarbakken voor systeeminformaties en queries (ondervragingen). De voorpagina van de webinterface is een dashboard dat je kunt herconfiguren tot het eruit ziet zoals je dat wenst. De gebruiksvriendelijkheid van het geheel kan beter. Het vergt tijd om uit te vissen hoe ePO in elkaar zit; je krijgt weinig hulp bij gebrek aan wizards. Een grote tijdbesparende verbetering zou al zijn dat vanuit het dashboard met een grafiek van niet-nalevende systemen volautomatisch de nodige regels en instructies aangemaakt kunnen worden om ze nalevend te krijgen. Nu helpt ePO je daar in ’t geheel niet bij.
De preventieve tak van de malwarebestrijding in Active Virus Defense (in feite VirusScan Enterprise) probeert te verhinderen dat malware, die door alle detecties wist te ontsnappen en dus systemen kon besmetten, zijn kwaadaardige werk kan uitvoeren. Die blokkering gaat net ver genoeg om de meeste kwaadaardige spullen een flinke hak te zetten, maar laat toch normaal werken toe. Er kunnen wel wat problemen zijn bij de installatie van nieuwe diensten in Windows omdat het systeem probeert te verhinderen dat bestaande diensten vervangen of uitgeschakeld worden, maar als het om legitieme software gaat kun je een uitzondering maken zodat die installatie dan toch zonder verdere problemen kan verlopen. De eigenlijke bescherming heet VirusScan en die beschermt zowel servers als werkstations en bestrijdt ook parasieten. McAfee haalt de topscore bij de antivirustest en een erg goed maar niet uitstekend resultaat bij de antiparasiettest. Samen met de voorbeeldige functionaliteit weer McAfee Total Protection Enterprise erg hoog te scoren in onze test.
Panda Security for Enterprise
Het Spaanse Panda staat ook al jaren bekend als een producent van uitstekende pc-beveiligingssoftware. Het centraal beheer voor netwerkomgevingen heet AdminSecure. Deze software spoort werkstations en servers in het netwerk op en laat je dan het antimalwarebeheer uitvoeren. Met dit antimalwarebeheer kun je op afstand zorgen voor installatie van het antimalwareproduct en de complete configuratie daarvan. Het AdminSecure-beheer van Panda is een Windows-programma en kan dus niet op andere platformen gebruikt worden. Met een webinterface had dat wel gekund. Het centraal beheer van Panda is erg fraai en gebruiksvriendelijk. Er is een stappenplan dat start elke keer als je AdminSecure opent. Je kunt dat uitzetten als je het niet meer nodig hebt. Zowat alle taken die je als beheerder uitvoert zijn voorzien van een duidelijke wizard.
De software van Panda kan met computers communiceren zodra ze een agent aan boord hebben. Voor die agentdistributie krijg je verschillende mogelijkheden aangereikt die bijna garanderen dat het lukt om die agent vanop afstand op een pc of server te krijgen. Zo gemakkelijk hebben we het bij geen enkel ander product gezien. Net zoals bij andere producten in deze test kan de clientantimalwaresoftware automatisch geïnstalleerd en geactiveerd worden op een werkstation als de gebruiker inlogt. Je kunt ook bepaalde gebruikers uitsluiten van het antimalwarebeheer, bijvoorbeeld omdat ze een besturingssysteem draaien dat niet door Panda wordt ondersteund. Standaard ondersteunt Panda alleen Windows.
Panda blijkt volgens onze testen enorm goed in het blokkeren van malware: de software herkende onze parasietinfector vrijwel onmiddellijk als zodanig en hij blokkeerde de hele software meteen en volledig, zodat de parasietinfecties niet eens konden beginnen.
Symantec Endpoint Protection 11
Symantec heeft al jaren antimalwarebestrijdingssoftware, ook voor netwerken, en die hebben wij ook elk jaar getest. Endpoint Protection r11 is een geïntegreerde beveiligingssuite. Het beschermt alle eindpunten (servers, werkstations en mobiele stations) tegen malware, beveiligt ze met een afdwingbaar reglement met inbegrip van regels voor wie toegang krijgt tot het netwerk en de daarin aangesloten machines en via welke methodes. Maar ook wat gebruikers mogen en wat niet. De licentiepolitiek is eenvoudig: één licentie voor alles, geen gedoe met modules en onderdelen. De suite omvat een persoonlijke firewall, apparaat- en applicatiecontrole, antimalware, antirootkit (VxD-sturingen), gedragsanalyse, inbraakbescherming voor netwerk en eindpunten.
Het centraal beheer is net als bij de concurrentie gesplitst in een serverdeel (de Management Server) en de eigenlijke beheerinterface (Management Console). Dat is allemaal webgebaseerd. Bij de eerste installatie van EndPoint Protectie biedt een wizard je aan alles te installeren en de software uit te rollen over het netwerk naar de computers toe. Het beheer heeft een Outlook-achtige interface met hoofdrubriekpictogrammen uiterst links. Er is een hoofdrubriek ‘Clients’ waarmee je de te beheren systemen definieert en er software naar uitrolt. De hoofdrubriek ‘Policy’ verspreidt beveiligingsregels naar de pc’s en servers toe. Bij eindpunten of clients kun je de controle granulair regelen, maar dat werkt computer- en niet gebruikergebaseerd. Ook de installatie kan zichtbaar of helemaal onzichtbaar gebeuren.
Symantec EndPoint Protection blijkt vrij goed in pure virusdetectie, maar kan slechts ongeveer een derde van de besmette bestanden ook weer schoonmaken. Bij het blokkeren van parasieten gaat het wat beter. Hij hield al onze testparasieten tegen, al moest dat bij sommige in meerdere scanbeurten.
TrendMicro OfficeScan 10
Het Amerikaanse TrendMicro is net als McAfee een van de oudste antimalwareproducenten. Het bedrijf heeft een breed gamma antimalwareproducten en kan je die in verschillende bundels aanbieden. De suite OfficeScan 10 omvat alles om een netwerk met pc’s en servers te beveiligen, maar ook de communicatie tussen deze eindpunten onderling en met het internet. Je krijgt OfficeScan serveredities voor Windows en ServerProtect edities voor Linux en NetWare servers, OfficeScan desktopedities voor Windows desktops en notebooks en opnieuw ServerProtect voor Linux desktops. Voor Windows werkt dat in de praktijk met slechts een uitvoerbaar bestand. De licentie die je aankocht bepaalt voor welke omgevingen de software bedoeld is en of het om client- of serversoftware gaat. TrendMicro heeft daarnaast ook specifieke ServerProtect software voor EMC Celerra en NetApp opslagsystemen.
De OfficeScan server werkt samen met een webserver om clients (ook remote clients) toegang te geven tot het beveiligingsproduct. Die webserver kan zowel IIS als Apache zijn. Als je voor Apache kiest terwijl die niet aanwezig is, installeert de OfficeScan-installatieprocedure zelf de Apache webserver. OfficeScan ondersteunt meerdere methodes om clients aan hun beveiliging te helpen. De meest gebruikte zullen de webtoegang zijn (waarbij een gebruiker de software dus zelf actief moet installeren) en het vanaf een server op afstand op de client installeren van software. Het hele beheer werkt met een webinterface die omwille van de helaas gebruikte ActiveX controles IE vereist. Het centrale beheer heet dan Control Manager en zit inmiddels aan versie 5.
Op de clients draait niet gewoon een agent, maar een volwaardige antivirusclient. Gebruikers kunnen dus zelf ook scans uitvoeren als ze dat willen. OfficeScan beschermt overigens ook draadloze toestellen en in het bijzonder pda’s. Op servers biedt OfficeScan buiten de actieve malwarebestrijding nog een ‘enterprise firewall’-beveiliging.
OfficeScan heeft code voor virusuitbraakpreventie aan boord. Dat is bedoeld om bij een uitgebroken virus in uw netwerk de machines die nog schoon zijn meteen af te schermen. Verder is er een virusuitbraakmonitor: een bewakingssysteem dat elke overtreding van de firewallregels meldt. OfficeScan ondersteunt Cisco NAC (Cisco Network Admissions Control, een systeem met strikte toegangsreglementen voor eindnodes in netwerken).
TrendMicro geeft een vrij goed resultaat bij de virusdetectietesten, maar laat toch enige steekjes vallen bij het schoonmaken van virussen en het blokkeren van parasieten.
Conclusie
Alle geteste enterprise antimalwareoplossingen bieden een goede, zeer goede of uitstekende beveiliging tegen malware. Er zitten zeker geen slechte producten bij. De allerbeste presteerder inzake functionaliteit, virus- en parasietbestrijding is F-Secure Client Security. Samen met het McAfee Active Virus Defense deelt het de titel van ‘beste koop’. Een eervolle vermelding gaat naar Trend Micro OfficeScan 10.
Methode Antivirustest
Zoals je uit onze vorige testen wel weet, hebben we zelf een collectie van in deze contreien reeds voorgekomen virussen samengesteld. Onze collectie is eerder bescheiden, maar er zit wel van alles wat in. We hebben programmavirussen, macro- en scriptvirussen en speciale virussen die zich in allerlei andere bestanden proberen te verstoppen. Met virussen bedoelen we uiteraard in één adem ook trojans en wormen, kortom alles waarvan je verwacht dat een goed antiviruspakket je ertegen beschermt. Onze collectie omvat bijna achttienduizend stuks.
Helaas bleek geen enkel antivirusproduct in staat al onze virussen te herkennen: naast heel recente ontsnapten ook oudere virussen de virusdetectie. Die alleroudste virussen vormen niet noodzakelijk een probleem voor moderne Windows-systemen. Ze zijn geschreven voor oude Microsoft systemen. Daarom beperken we ons tegenwoordig voor dit soort testen tot onze collectie van EXE-virussen en macrovirussen. We hebben – gemeen als we zijn – een paar ‘false positives’ of valse positieven apart gezet: een virusdetector krijgt strafpunten als hij die herkent als een virus, want het gaat helemaal niet om een virus (al zit een er wel een signatuur in).
Methode Antiparasiettest
Voor de antiparasiettest interesseert ons vooral of de software in staat is een schoon systeem malwarevrij te houden. Daartoe hebben we een doordeweekse pc uitgerust met Windows XP en voorzien van Service Pack 3 en alle beveiligings- en andere updates die Microsoft voorschrijft. Op deze pc hadden we ook de gebruikelijke desktopsoftware zoals Microsoft Office met Outlook, Acrobat Reader en zo geïnstalleerd. Als browser was nog steeds IE voorzien, maar Firefox was ook aan boord. Vervolgens installeren we de antimalwaresoftware zoals de producent dat voorschrijft. Daarmee hebben we dus een schoon en goed beveiligd systeem, althans volgens de producent van de beveiligingssoftware en volgens Microsoft. Als normale gebruiker zou je nu gaan rondsurfen en wellicht allerlei dingen uitproberen. Wij kozen de kortste weg. We downloaden en installeren een op het eerste zicht leuke gratis mp3-speler: FreeMP3 Player. Dat is, zoals de naam het al aangeeft, een gratis speler voor allerlei geluidsformaten waaronder mp3. Helaas installeert deze gratis speler onder de neus van de gebruiker een waar bataljon aan parasieten: daar zitten een paar zéér hardnekkige bij. Als niets de parasieten tegenhoudt, heeft de onfortuinlijke pc maar liefst meer dan 400 registerinschrijvingen, meer dan 250 bestanden en ettelijke geheugenlocaties besmet met in totaal een twintigtal parasietfamilies!
Zoals je al begrijpt, is het uiteraard de bedoeling dat de antimalwareoplossing op deze client-pc alle parasieten tegenhoudt. Hierbij aanvaarden we dat de malwarebestrijder de installatie van de hele mp3-speler tegenhoudt. Als de mp3-speler geïnstalleerd raakt, starten we die uiteraard en proberen een paar dingen uit zoals mp3’s afspelen. Pas daarna gaan we controleren hoeveel parasieten op ons testsysteem aanwezig zijn. Dat doen we eerst met de te testen antimalwaresoftware. Als die zegt dat er geen parasieten meer zijn, controleren we het manueel. De toegekende testscore is uiteraard afhankelijk van hoeveel parasieten verwijderd werden en hoe gevaarlijk die waren. Hoe minder parasieten we achteraf tijdens onze manuele controle nog kunnen terugvinden, hoe hoger de score.
Johan Zwiekorts, DatatestLab
Quote uit artikel: ‘Windows blijkt helaas gewoon niet veilig. Je kunt niet anders dan de vele beveiligingsgaten dichttimmeren met behulp van beveiligingssoftware. Andere besturingssystemen, zoals Linux en MacOS, hebben die inherente zwakheden niet en malware kan gewoon niet werken omdat het daarvoor allerlei rechten en mogelijkheden zou moeten hebben die het onder Windows wel en onder die andere platformen niet heeft.’
Absolute onzin. Eerlijk gezegd snap ik niet dat een dergelijke mening wordt geventileerd in een artikel van een ‘profesionele’website.
Het gaat om de kennis van het product. Of het nu gaat om Linux, OSX, Solaris, OS390, Windows of andere besturingssystemen. In de handen van een leek kan het heel snel een onveilig product zijn. In de handen van een kenner kan het een heel veilig product zijn.
Wat ik graag bij zulke tests ook terug vind is de beoordeling van prestaties / belasting van de systemen waarop het ge?nstalleerd wordt, en het configuratie gemak.
Wij zijn zelf bijvoorbeeld met End Point gestopt omdat dit veel te zwaar belastend is (voor een product wat ook nog eens niet lekker werkt), en bijvoorbeeld een standaard installatie zonder (veel) finetunen van Kasperksy wordt je ook niet vrolijk van op je werkplekken.
Dat zijn zaken die naar mijn menig ook mee moeten tellen in de beoordeling van een software pakket.