Zbavte síť nebezpečných virů

Okolnosti nasazení antivirových programů na všech úrovních síťové

infrastruktury se pomalu, ale jistě změnily. Co před několika lety mohlo

vypadat jako dobrá volba, ale také trošku luxus, je dnes často vnímáno jako

naprostá nezbytnost při holém boji o síťové přežití. Absence antivirového

řešení může znamenat pro vaši síť naprostou kalamitu bez ohledu na to, zdali

ochranu ošidíte na poštovním serveru, proxy bráně či klientských stanicích.

Velikost sítě nerozhoduje, počet klientů není z hlediska míry nebezpečí

jednoznačně určujícím faktorem. Ani procentuální zastoupení ochráněných

počítačů není ukazatelem, neboť jediný zvenčí přinesený notebook bez patřičné

ochrany může znamenat pohromu. Diskuse o antivirových programech se tedy

přenesla z roviny „nasadit, či nenasadit“ do zcela jiné polohy: které řešení

nasadit?

Stejně jako v loňském roce i letos vám přinášíme srovnávací pojednání o

antivirových programech se zaměřením především na ochranu koncových stanic.

Naším cílem bylo přinést přiměřeně kritický obrázek o aktuální nabídce na trhu,

o skutečných funkcích programů v takové podobě, jakou jsme zachytili, a také

nastínit jakýsi globální obraz úrovně tohoto typu softwaru. Tedy, cílem není

jen srovnávat, ale též podat svědectví o metách, ke kterým technologie „pro

vaši kancelář“ momentálně u předních výrobců dospěla.



Postup při testování

Abychom mohli aplikace, jež jsou předmětem tohoto článku, porovnat s co možná

nejlepší vypovídací schopností, použili jsme sérii standardních postupů, které

měly prokázat nejen připravenost odhalit škodlivý kód, ale i další funkce. Zde

popsaná metodika byla ve všech případech striktně dodržována a naší snahou bylo

co nejvěrněji napodobit reálné situace.

Základem prověření antivirové aplikace pochopitelně byla kontrola reakce na

přítomnost virové nákazy. Jako referenční vzorek jsme nasadili varianty

zkušebního souboru Eicar, jenž má jednu zásadní výhodu: všemi antivirovými

programy v našem testu byl v základní formě (jako spustitelná varianta .com) po

uložení na disk či načtení do paměti okamžitě a neomylně identifikován. Mohli

jsme tedy prověřit, při jak velkém „odstínění“ bude stále nalezen zkoušeli jsme

jeho zabalení do archivů různých formátů, uložení na síťovém disku a různé

cesty zavedení na zkoušený operační systém (disketa, USB disk, kopírování ze

sítě atd.). V případě síťové komunikace byly pochopitelně deaktivovány všechny

funkce jako personální firewally a jiné ochrany, které by mohly výsledek

negativně ovlivnit. Pod pojmem síťový disk se v našem případě skrývá namapovaná

síťová jednotka pod písmenem, připojená pomocí služeb Klient sítě Microsoft a

Sdílení souborů a tiskáren sítě Microsoft, tedy jinak řečeno tradiční aplikační

protokol SMB.

V případě kontroly komprimovaných souborů jsme použili v současné době běžně

používané formáty, resp. algoritmy pro kompresi, jako jsou ZIP či RAR.

Referenční klientské počítače byly vybaveny operačním systémem Windows XP

Professional SP1, administrativní server pak provozoval Windows 2003 Server.



Problémy s archivy

Poté, co jsme se pustili do srovnávání dostupných antivirových řešení, jsme

velmi brzy začali tušit rámcový výsledek: v současné době vám skupina předních

výrobců nabízí velmi kvalitní a navzájem srovnatelná řešení. Po technologické

stránce jsou si produkty poměrně dost podobné, takže při výběru máte téměř

jistotu, že budou zahrnovat stejné funkce jako například rezidentní skener,

kontrola e-mailové korespondence či pravidelná kontrola vybraných složek a

diskových jednotek. Také schopnost odhalit virovou nákazu je velmi dobrá

prakticky ve všech případech.

Bohužel hned u několika z testovaných antivirových aplikací se prokázaly

poměrně nečekané obtíže při řešení problémů s viry ukrytými uvnitř

komprimovaných archivů. V řadě případů jsme pak dosáhli pouze znepřístupnění

těchto souborů, neboť funkce smazání či přesunu do karantény zklamaly. Avšak

dočasné odepření přístupu nemůže být definitivním řešením nastalé situace: po

následném pozastavení funkce rezidentní ochrany byly soubory-viry bez zábran

spustitelné. Na vysvětlenou je potřeba zmínit pravděpodobnou podstatu potíží:

antivirový program totiž typicky nebojuje s vlastním „zapakovaným“ souborem,

ale s dočasnou kopií, která se vytváří v přechodných adresářích při snaze o

jejich on-line použití. Antivirus často úspěšně smaže kopii souboru bohužel

originál zůstává dál zakuklen na původním místě. Bez zajímavosti není ani fakt,

že tento nedostatek jsme odhalili u více programů, nejednalo se tedy o žádnou

tragickou výjimku některého z „účastníků“.

Ale abychom nebyli pesimisty, musíme konstatovat, že vzácná vyrovnanost se mezi

antivirovými programy projevuje i v mnoha kladných případech. Ať už se jedná o

provádění automatizovaných updatů, které jsou snadné a relativně spolehlivé,

nebo o reakci na napadení, kde mají testované produkty k dispozici podobné

nástroje (mazání, karanténa, znepřístupnění souborů odebráním práva přístupu).

Také ostatní základní výbava je u antivirových aplikací na dosti podobné úrovní.

Ve velmi dobrém světle se v každém případě jevila funkcionalita pro automatické

updatování, a především pak podpora ze strany výrobců stran dodávek aktualizací

antivirových databází. Zde nastala oproti loňskému testování výrazná změna k

lepšímu, neboť dodavatelé programů, jež poněkud zaostávaly, výrazně dotáhli

konkurenci; samozřejmostí se staly aktualizace v rozmezí jednoho či dvou dnů.

Závěr našeho srovnávání je tedy možná trošku vyhýbavý, avšak nevyhnutelný. O

koupi antivirového nástroje již dnes nemůže rozhodnout pouze jeho technologická

kvalita nebo úspěšnost při testování proti různým nákazám. Produkty jsou v

tomto ohledu natolik vyrovnané, že významnou roli sehraje přidaná hodnota:

integrace s dalšími nástroji pro bezpečnost, podpora od výrobce nebo v

neposlední řadě poměr cena/výkon atd. Naše závěrečné hodnocení složené z

několika kritérií naleznete v tabulce na straně 13.



NOD32 Enterprise Edition

Antivirové řešení NOD32 společnosti Eset si v tuzemsku získává stále širší

uživatelskou obec. Sami jsme se přesvědčili, že zvěsti o jeho kvalitách se

zakládají na pravdě. K dispozici jsme měli na straně klientských počítačů verzi

se základem 2.000.9, administrátorskou centrálu pak představovalo řešení NOD32

Remote Administrator Server s rozhraním NOD32 Remote Administrator Console.

Zhodnocení začneme právě od strany serverové, neboť zde jsme se dočkali velmi

příjemných zážitků. Nástroj Remote Administrator Server je jak po stránce

grafické, tak především co do nabízených funkcí zpracován velmi kvalitně a

přehledně. Zařazení spravovaných stanic do databáze je rychlé a jednoduché a

konfiguraci větších kolekcí samozřejmě usnadňuje možnost definovat skupiny.

Mimo jiné zde najdeme rozhraní pro přípravu instalačních balíčků, volbu pro

vzdálenou instalaci klientských antivirů na cílové počítače či prohledávací

funkci na zjišťování nechráněných strojů, ovšem jestli se tvůrcům něco opravdu

vyvedlo, tak je to přehled zaznamenaných událostí a možnost prohlížení

logovacích souborů. K dispozici jsou rovněž šablony pro generování přehledných

sestav. Celá aplikace pracuje rychle a bez potíží.

Klientský antivirus je možno používat jak v režimu řízeném z administrativního

centra, tak v podobě samostatné aplikace, přičemž změnu lze provést kdykoliv

během používání. I v tomto případě bylo ovládací rozhraní navrženo velmi dobře

a s antivirem lze snadno pracovat.

NOD32 nabízí širokou škálu parametrů pro detailní definování funkce

jednotlivých součástí programu. Zajímavou vlastností je funkce mirror

(zrcadlení), která zajišťuje rozprostření aktualizačních souborů antiviru na

více zdrojů se snahou minimalizovat riziko nedostupnosti. Zajímavou pomůckou

pro opravdu pokročilou konfiguraci je pak Editor konfiguračních souborů, s

jehož pomocí vymáčknete z programu maximum.

Přestože NOD32 jak jsme zmínili výše je zdařilým nástrojem, při testu detekce

na viry se zařadil mezi ty produkty, kterým dělaly potíže zabalené archivy.

Antivirový skener sice pracoval podle očekávání, avšak při kopírování z diskety

infikované soubory „prolezly“ na počítač a bylo nutno je likvidovat dodatečně.

Žádné další problémy s detekcí jsme nezaznamenali.



F-Secure Anti-Virus SMB

K prověření klientské instalace antiviru jsme použili produkt FSAV ve verzi

5.52, centrální řízení ze vzdáleného serveru jsme prováděli pomocí nástroje

F-Secure Policy Manager, což je poměrně všestranné rozhraní pro řízení nejen

antivirových funkcí, ale též dalších bezpečnostních mechanismů z dílny F-Secure

(v našem případě ve verzi 5.50). Použili jsme rovněž komponentu pro antivirovou

ochranu a automatické updaty.

Právě řídicí centrum, realizované v pořadí druhou zmíněnou aplikací, pro nás

bylo příjemným překvapením. Správu politik je možno výborně navrhnout díky

principu hierarchického uspořádání a práce s klientskými stanicemi je velmi

přehledná. Nástroj nabízí kvalitní pomůcky k prohledání sítě a identifikaci

spravovaných počítačů, výborné jsou možnosti sledování událostí a celkově

působí ovládací konzole dobře uspořádaným a přehledným dojmem.

Klientská část je u tohoto výrobce zastoupena aplikací Anti-Virus Client

Security, která kromě antiviru integruje třeba také štít proti internetovým

útokům. Ovládací rozhraní stejně jako kolekce nabízených možností působí na

první pohled střízlivým dojmem, avšak podstatné funkce klient pochopitelně

bezezbytku obsahuje. Jako skvělá se ukázala spolupráce s centrální řídicí

aplikací, avšak i v samostatném režimu (jejž lze kdykoliv zvolit) funguje

klientská část řešení bezvadně. V jednotlivých fázích antivirové kontroly lze

bez potíží nastavit způsob chování při nalezení infekce, je zde také kontrola

odchozí i příchozí pošty; rovněž updatování fungovalo u tohoto produktu

spolehlivě. Bohužel se nám ale v ovládacím rozhraní nepodařilo nijak ovlivnit

způsob skenování a parametry jako úroveň heuristické analýzy či zapnutí a

vypnutí této funkce. Uživatel tak nemá možnost tuto funkcionalitu nijak

ovlivnit; odpovídající konfiguraci se nám nepodařilo najít ani v Policy

Manageru.

Na druhou stranu pro nás bylo příjemným překvapením chování antiviru při snaze

o infiltraci zvenčí. Na rozdíl od konkurentů si bleskově poradil i při

kopírování testovacího kódu komprimovaného v archivech a nákazu již v zárodku

odhalil. Kvalita detekčních schopností řešení společnosti F-Secure je tedy

nepopiratelná.



AVG 7.0 Multilicence

Přestože řešení AVG tuzemského výrobce již pamatuje v aktuální verzi loňské

invexové klání, platí i v tomto případě tradiční pravidlo Grisoftu, že produkty

chvályhodně zrají s časem. Na klientském počítači jsme prováděli testování

verze 7.0.262, pro centrální administraci nám pak posloužila komponenta

AVGAdmin ve stejném sestavení, které bylo uvolněno počátkem srpna.

Právě na straně centrální administrace je znát, jakým směrem výrobce napřel své

síly. K dispozici jsou v ní velmi všestranné přehledy o činnosti jednotlivých

stanic a příjemným překvapením pro nás bylo rozhraní určené ke vzdálené

instalaci a konfiguraci klientských instalací. Spokojeni jsme byli především s

možností prohledání IP podsítě či domény Windows a nalezení „neošetřených“

počítačů, s následnou možností distribuce klientského antiviru. Centrální

sledování událostí také pracovalo dobře; o situaci na klientském stroji jsme

byli prakticky vzápětí informováni. Administrátor má k dispozici velmi slušné

možnosti globálního řízení konfigurací klientů, spravované počítače lze členit

do skupin a selektivně ovládat. Pro ukládání dat využívá administrátorské

centrum dle vaší volby dostupný zdroj ODBC, další možností je databáze FireBird

a my jsme pro změnu zvolili výchozí instalaci databáze 602SQL Server.

Klientské části, která může pracovat zcela nezávisle nebo ve spolupráci s

administrativní databází, dominuje poměrně přehledné grafické uživatelské

rozhraní. Možnosti nastavení činností aplikace jsou velmi všestranné a bohaté,

takže chování je možno poměrně dobře přizpůsobit nárokům uživatele. Přihlášení

k centrální databázi a následnou komunikaci jsme realizovali bez vážnějších

komplikací.

Testovaný antivirus na klientské stanici bohužel neprokázal při snaze zabránit

vniknutí infekce stoprocentní výsledky. Stejně jako jeho konkurenti dokázal při

vložení diskety a pokusu o kopírování odhalit ryzí formu testovacího viru v

podobě .com souboru, avšak archivy jej nechávaly chladným. V případě

dodatečného testu na požádání byla sice infekce správně rozpoznána i u

„nejzakuklenějších“ variant, avšak přese všechnu snahu se nám nepodařilo

škodlivý soubor zlikvidovat, takže v archivech na lokálním disku zůstal. Toto

chování se ovšem ukázalo jako „normální“ i u některých ostatních programů.



Kaspersky Anti-Virus BO

Antivirová technologie tohoto jména dnes patří bezesporu k jedněm z

nejpopulárnějších produktů na trhu. Dnes již tradiční dodavatel stále spoléhá

především na kvalitu skenovacího stroje a nesmírně důsledné, pravidelné

zasílání nových verzí objevených škodlivých kódů ve formě updatů, jež jsou

samozřejmostí dokonce v tříhodinovém intervalu. Co se klientských počítačů

týče, nabízí tento výrobce variantu vhodnou buďto pro koncový počítač

„domácího“ charakteru, nebo pro klientské stanice ve firemním prostředí. Právě

instalaci antiviru ve variantě „Pracovní stanice pro Windows“, která je

dodávána v rámci licenčního balíku pro malé firmy spolu s administrátorskou

centrální konzolí, jsme podrobili našemu průzkumu.

Antivirus v tomto distribučním provedení může po instalaci plnohodnotně

fungovat jak samostatně, tak především ve spojení s řídicí aplikací.

Centralizovaná správa je pak realizována pomocí balíku Kaspersky Administration

Kit. Při zevrubnějším seznamování s uživatelským rozhraním postupně zjistíte,

že tvůrci zvolili cestu „absolutní kontroly“ a dali administrátorům do ruky

velmi široké možnosti nastavení aplikace a jejích funkcí. Velmi důkladně lze

definovat třeba typy souborů, jež bude antivirus při rezidentní ochraně

kontrolovat, dále lze vyřadit či zapnout heuristickou analýzu a zcela bez

kompromisů je také volba chování antiviru při nalezení nákazy. Výborným

způsobem tvůrci implementovali tvorbu a zasílání zpráv o událostech reportů.

Administrátor si může detailním způsobem určit, co vše archivované záznamy

budou obsahovat, jak důkladné informace potřebuje, a s archivem je možno

přehledným způsobem následně pracovat.

Rovněž řídicí komponenta Administration Kit je zdařilou aplikací. Bezproblémová

je organizace klientských počítačů a serverů do skupin ve vlastní hierarchické

struktuře; také vyhodnocování zpráv o nákaze je zpracováno přehledně. Dobrý

dojem na nás zanechalo rovněž používání nástroje pro distribuci klientských

instalací, jež dovoluje přiřadit antivirus na stanici v síti přímo nebo

prostřednictvím instalace do cílové složky, která bude následně zavolána

přihlašovacím skriptem.

Kromě konfiguračních možností se produkty Kaspersky ukázaly ve velmi dobrém

světle i v případě odhalování nákazy. Při snaze infiltrovat počítač z

přenosného média (diskety) rezidentní skener nejen odhalil různě zabalené

varianty zkušebního souboru, ale při pokusu o dezinfekci je také dokázal

úspěšně zlikvidovat, s čímž konkurenti měli značné potíže. I ostatní

prohledávací funkce pracovaly bezvadně, takže z hlediska ochrany se jedná

bezesporu o prvotřídní program.



McAfee VirusScan SMB

Ačkoliv cesty vývoje antivirového softwaru pod značkou McAfee byly chvílemi

nejasné a nejisté, je s námi tento tradiční produkt stále v plné síle a

rozhodně nedělá svému jménu ostudu. Výrobce dodává jak variantu pro klientské

stanice, již jsme testovali ve verzi VirusScan Enterprise 7.1.0, tak

odpovídající nástroj pro centrální řízení v prostředí menší sítě až s několika

stovkami počítačů, jenž se ukrývá pod názvem McAfee Protection Pilot 1.0.0.

V pořadí druhá jmenovaná součást je poměrně robustním nástrojem, jenž při svém

běhu spoléhá na zázemí databázového stroje MSDE z dílny Microsoftu a během

instalace si jej případně zavede a spustí.

Klientská aplikace je ve svém ovládacím rozhraní velice kompaktní a na první

pohled jednoduchá. Teprve při bližším ohledání začne uživatel nacházet v

útrobách grafické reprezentace detailní možnosti nastavení, jež dovolují velmi

přesně naplánovat kontroly, zvolit způsob reakce na situace ohrožení či umístit

karanténu na škodlivý kód dle přání uživatele. Mezi zajímavé vymoženosti určitě

patří přesné vymezení dovolené procesorové náročnosti při skenování disků na

požádání nebo třeba možnost připojení z konzole na vzdálený počítač, vybavený

stejnou technologií.

Příjemným překvapením byly v našem testu zaznamenané detekční schopnosti. Na

rozdíl od řady konkurentů si antivirus nenechal při kopírování z přenosného

média proklouznout mezi prsty testovací kód, komprimovaný v archivech, a

bezpečně jej nejen odhalil, ale také zlikvidoval! Na první pohled jasný úkol

takto perfektně zvládl pouze McAfee VirusScan a Kaspersky, ostatní produkty

měly větší či menší potíže.

Podobně jako klientská aplikace nás zaujal také administrativní nástroj

Protection Pilot. Ten nabízí přehledné ovládací rozhraní, s nímž je správa

monitorovaných počítačů díky možnosti sestavit hierarchickou strukturu

„hračkou“. Naleznete zde zajímavé funkce pro připojení spravovaných počítačů,

automatickou instalaci agentů a klientského softwaru a centrální řízení updatů.

Co se nám na tomto řešení opravdu líbilo, byly grafické statistiky, sestavované

z údajů získaných v celé síti, resp. ze všech spravovaných počítačů. Snad

jedinou slabinou administrátorské konzole je její značná pomalost v odezvě. To

by se dle výrobce mělo změnit s novou verzí, která přijde na trh v příštích

týdnech. S recenzí nového produktu vás seznámíme v některém z příštích čísel CW.



Symantec Client Security 2.0

Společnost Symantec tradiční dodavatel komplexních ochranných síťových řešení,

do nichž dnes v zásadě antivirové aplikace patří již jednoznačně preferuje

klientskou kombinaci antivirus + personální firewall. Protože jsme mimo jiné

prověřovali komunikaci s centrálním administrativním rozhraním a „firemní“

nasazení, oblíbený Norton Antivirus pro domácí uživatele v našem přehledu

nahrazuje pro korporátní nasazení připravený Client Security. Že jde pouze o

převtělení téže technologie, se můžete přesvědčit při kontrole označení verze,

jež v našem případě bylo Symantec Antivirus 9.0.0.338.

V případě, že dobře znáte právě ono „domácí“ provedení Norton Antiviru, budete

možná překvapeni proměnou uživatelského rozhraní. Domníváme se, že hierarchické

uspořádání všech položek do logické struktury velmi zjednodušilo a zpřístupnilo

práci s ovládací konzolou. Naprosto perfektní jsou pak možnosti konfigurace. O

co je „domácí“ varianta zjednodušená, o to plnohodnotnější volby všemožných

parametrů najdete zde. Není tak problém třeba řídit důslednost heuristické

analýzy, optimalizovat výkonnost nastavením velikosti dočasné paměti pro

soubory či detailně nastavit způsoby reakce na virovou nákazu pro všechny

činnosti antiviru. Velmi přehledně jsou též zpracovány záznamy událostí;

interní „Event Viewer“ je opravdu perfektním nástrojem.

Pro centrální administraci pochopitelně Symantec nabízí nástroje odpovídajícího

kalibru, jež se řadí mezi naprostou špičku. Jednou z možností pro menší firmu s

desítkami počítačů je mimo jiné produkt Symantec System Center, jenž nás po

instalaci na server překvapil vynuceným restartem. Následovala však již pouze

pozitivní zjištění: konzole je dobře ovladatelná a řízení prostřednictvím

politik je opravdu propracované.

Co se týče detekčních schopností, zařadil se Client Security bohužel po bok

„váhajících“ konkurentů. Stejně jako jiné antiviry sice dokáže bezpečně

identifikovat zkušební kód i uvnitř archivovaných balíků, avšak při jejich

kopírování z diskety jej to nijak nevyrušilo, přestože spustitelná i textová

varianta bez komprese byly bezpečně odhaleny. Následné vyžádané skenování

samozřejmě infekci odhalilo a odepřelo k infikovaným souborům přístup.



Antivirové řešení

Kaspersky Anti-Virus Business Optimal

Přestože konkurence (což ostatně dokazují i výsledky našeho hodnocení) je velmi

vyrovnaná, v napínavém a vyrovnaném souboji jsme jako vítěze těsně ohodnotili

technologii Kaspersky. Řešení nabízí výborné možnosti konfigurace, perfektní

nástroj pro centrální řízení a velmi dobré detekční schopnosti. Antivirus

dokáže nejen viry odhalovat, ale též nekompromisně likvidovat; správce má navíc

stále dobrý přehled o dění v síti.