Malware bestaat uit virussen, parasieten en soortgelijk kwaadaardig gespuis. Het bedreigt Windows dektop- en serversystemen. Tenzij u wil overschakelen naar Linux, moet u zich beveiligen tegen malware. Dat lukt met enterprise antimalwaresoftware. Wij testten de belangrijkste producten op de markt.

Malware is gemaakt voor Windows. Punt. Ongeacht wat sommigen u proberen wijs te maken, bestaat er voor geen enkel ander platform malware. Voor de Mac-versie van Microsoft Office bestaan er macrovirussen, dat wel. Maar dat is tengevolge van gebreken in Office, net als bij de Windows-versie. Er zijn wel mensen, vaak werknemers van antimalwareproducenten of van Microsoft, die beweren dat als andere besturingssystemen zo succesvol waren geweest als Windows, ook zij het doelwit geweest zouden zijn van allerlei malware. Met die uitspraak zijn we het helemaal niet eens. Een tegenvoorbeeld is immers snel gevonden: de meest gebruikte webserver is Apache, maar het blijkt niettemin Microsoft Internet Information Server te zijn die het meest last heeft van aanvallen. Windows blijkt helaas gewoon niet veilig en u kunt niet anders dan de vele beveiligingsgaten dichttimmeren met behulp van beveiligingssoftware. Andere besturingssystemen, zoals Linux en MacOS, hebben die inherente zwakheden niet en malware kan gewoon niet werken omdat het daarvoor allerlei rechten en mogelijkheden zou moeten hebben die het onder Windows wel en onder die andere platformen niet heeft.

Microsoft kan de beveiligings- en prestatieproblemen van Windows gewoon niet oplossen zonder het besturingssysteem van de grond af te herschrijven, maar dan zou het niet meer compatibel zijn met bestaande Windows-applicaties. En dus zult u Windows altijd sterk moeten beveiligen, daar komt u niet onderuit. Dat geldt ook voor Windows Server 2008 R2 en Windows 7 die eind oktober uitkomen.

Maakt antimalware onkwetsbaar?

De producenten van antimalwaresoftware geven u de indruk dat u met hun producten volkomen veilig Windows kunt gebruiken. Helaas stellen wij elk jaar bij onze antimalwaretesten vast, dat er altijd wel virussen en parasieten door de mazen van het beveiligingsnet glippen. Bijgevolg moet de sofware naast de gebruikelijke scans van uw computer ook een ijzersterke residente beveiliging bevatten, die alle wijzigingen aan uw systeemsoftware controleert en zonodig verhindert. In een netwerk is het probleem nog veel groter. Als een systeem besmet raakt, is het immers voor malware een koud kunstje om de rest van uw netwerk ook te infiltreren. Daarom moet bedrijfsantimalwaresoftware niet alleen al uw servers en werkstations beschermen, maar ook een behoorlijk centraal beheer bieden. Daarmee kunt u alle systemen in uw netwerk op afstand bedienen en configureren, maar ook de software en eventuele beveiligingsupdates vanaf een centrale plek in uw netwerk uitrollen en verdelen naar al die systemen. Minder is meer, zeker bij netwerksoftware: minder werk voor de beheerder en meer functionaliteit voor het hele netwerk!

Testmethode

Netwerkantimalwareproducten testen we in twee prestatietesten: een antivirustest en een antiparasiettest. Bij virussen komt besmetting het meest voor doordat u een bestand binnenkrijgt via e-mail of een opslagmedium. Virusdetectie is dus een heel belangrijke eerste stap want die voorkomt dat u besmet raakt. Uiteraard moet er ook een achtergrondcontrole zijn die een eventueel tot dusver onbekend virus dat toch gestart is op uw systeem, blokkeert. Een parasietbesmetting treedt heel vaak op een meer argeloze manier op: terwijl u surft (zeker met IE), of eventueel ingebed in software die u installeert. Daarom lijkt ons de residente parasietblokkering de belangrijkste factor in de tweede fase van de test. Voor de antivirustest doen we bijgevolg een detectie- en schoonmaaktest, en voor de antiparasiettest kijken we of de software in staat is een besmetting met honderden parasieten te voorkomen of, als dat toch lukt, het systeem met succes weer te zuiveren. Naast deze prestatietesten hebben we ook punten gegeven op de functionaliteit en netwerkbeheerfaciliteiten van de diverse producten. Meer uitleg over de antivirus- en antiparasiettest vindt u in een tekstkader bij dit artikel. Gedetailleerde productinformatie en testresultaten vindt u in de bijbehorende tabel op onze website (in de rubriek Specials).

Geteste producten

Zoals gebruikelijk vroegen we de bekendste producenten van netwerkantivirussoftware ons een pakket ter evaluatie op te sturen. In deze test vindt u dus de volgende producten (in alfabetische volgorde): F-Secure Client Security; McAfee Active Virus Defense; Panda Security for Enterprise; Symantec Endpoint Protection 11 en TrendMicro OfficeScan 10. We nodigden uiteraard ook Kaspersky uit om mee te doen met onze test, maar het bedrijf liet ons weten dat er ongeveer gelijk met de publicatie van deze test een nieuwe versie van Kaspersky uitgebracht zou worden. Ze zouden begrijpelijkerwijze niet in de test willen zitten met hun oude versie. En wij vergelijken uiteraard geen bètaversie met kant-en-klare producten. Bijgevolg zult u Kaspersky in een volgende test weer aantreffen, maar dus niet in deze.

F-Secure Client Security

Het Finse F-Secure biedt Policy Manager als centraal beheer voor de beveiliging. Zoals de naam al doet vermoeden, definieert u een ‘security policy’ of beveiligingsreglement en alle F-Secure beveiligingssoftware gebruikt dat dan om de naleving van uw hele netwerk daarmee af te dwingen. U kunt Policy Manager als een centraal beheer gebruiken voor al uw antimalwareproducten. F-Secure biedt voor Windows servers aangepaste antimalwareproduten voor file- en Exchange servers. Voor desktopsystemen is er een werkstationantimalwaremodule of Client Security. Dat is een compleet beveiligingspakket voor desktops met naast malwarebestrijding ook een firewallmodule. Policy Manager, dat trouwens ook voor Linux bestaat, kan dit dus net als de andere antimalwareproducten van F-Secure ook volledig op afstand beheren. U kunt geïnfecteerde bestanden wissen, hernoemen, proberen schoon te maken of alleen vermelden in het logboek maar ook verplaatsen of in quarantaine houden. Qua detectie en blokkeren van malware haalt F-Secure de hoogste scores van alle producten in deze test en ook schoonmaken is van het hoogste niveau. De software herkende onze parasietinfector vrijwel onmiddellijk als dusdanig en hij blokkeerde de hele software meteen en volledig, zodat de parasietinfecties niet eens konden beginnen. Zo moet het!

McAfee Active Virus Defense

Het allerbekendste bedrijf als het gaat over het bekampen van computervirussen is waarschijnlijk wel het Amerikaanse McAfee. Voor bedrijven heeft McAfee twee beveiligingssuites. Active Virus Defense omvat in tegenstelling tot wat de naam doet vermoeden een volledige malwarebescherming, maar geen inbraakpreventie. Daarvoor heeft u de suite Total Protection Enterprise nodig. De inbraakpreventie die daarbij hoort is een uitbestede dienst. Voor deze test is dat irrelevant en dus hebben we voor Active Virus Defense gekozen. Het netwerkbeheer heet bij McAfee de ePolicy Orchestrator. Het bijzondere aan deze software is, dat die niet alleen met antivirussoftware van McAfee samenwerkt maar ook die van derden (met name Symantec). U kunt met ePolicy Orchestrator of kortweg ePO alle servers en werkstations in een netwerk opsporen en van beveiligingssoftware voorzien en beheren. U beheert McAfee ePO met een webinterface. Het vereist dat u het installeert op een Windows-server. Bedienen kunt u het daarna vanuit eender welke pc met webtoegang tot die server. Zoals de naam het al aangeeft, werkt ePO met reglementen. U kunt reglementen opstellen voor directoryobjecten, waarschuwingssystemen, ePO-agenten voor niet-Windows-platformen, GroupShield voor Lotus Domino, Symanec Antivirus en McAfee VirusScan Enterprise (ook oudere systemen). Er zijn instellingen en regels voor waarschuwingen en meldingen, voor niet specifiek toegelaten of ‘rogue’ systemen, en inzake vergaarbakken voor systeeminformaties en queries (ondervragingen). De voorpagina van de webinterface is een dashboard dat u kunt herconfigureren tot het eruit ziet zoals u dat wenst. De gebruiksvriendelijkheid van het geheel kan beter. Het vergt tijd om uit te vissen hoe ePO in elkaar zit en u krijgt weinig hulp bij gebrek aan wizards. Een grote tijdbesparende verbetering zou al zijn dat vanuit het dashboard met een grafiek van niet-nalevende systemen volautomatisch de nodige regels en instructies aangemaakt kunnen worden om ze nalevend te krijgen. Nu helpt ePO u daar helemaal niet bij.

De preventieve tak van de malwarebestrijding in Active Virus Defense (in feite VirusScan Enter-prise) probeert te verhinderen dat malware, die door alle detecties wist te ontsnappen en dus systemen kon besmetten, zijn kwaadaardige werk kan uitvoeren. Die blokkering gaat net ver genoeg om de meeste kwaadaardige spullen een flinke hak te zetten, maar laat toch normaal werken toe. Er kunnen wel wat problemen zijn bij de installatie van nieuwe diensten in Windows omdat het systeem probeert te verhinderen dat bestaande diensten vervangen of uitgeschakeld worden, maar als het om legitieme software gaat kunt u een uitzondering maken zodat die installatie dan toch zonder verdere problemen kan verlopen. De eigenlijke bescherming heet VirusScan en die beschermt zowel servers als werkstations en bestrijdt ook parasieten. McAfee haalt de topscore bij de antivirustest en een erg goed maar niet uitstekend resultaat bij de antiparasiettest. Samen met de voorbeeldige functionaliteit weer McAfee Total Protection Enterprise erg hoog te scoren in onze test.

Panda Security for Enterprise

Het naar een schattige beer genoemde Spaanse Panda staat ook al jaren bekend als een uitstekende producent van pc-beveiligingssoftware. Het centraal beheer voor netwerkomgevingen heet AdminSecure. Deze software spoort werkstations en servers in uw netwerk op en laat u dan het antimalwarebeheer van hen uitvoeren. Met dit antimalwarebeheer kunt u op afstand zorgen voor installatie van het antimalwareproduct en de complete configuratie daarvan. Het AdminSecure-beheer van Panda is een Windows-programma en kan dus niet op andere platformen gebruikt worden. Met een webinterface had dat wel gekund. Het centraal beheer van Panda is erg fraai en gebruiksvriendelijk. Er is een stappenplan dat start elke keer als u AdminSecure opent. U kunt dat uitzetten als u het niet meer nodig hebt. Zowat alle taken die u als beheerder uitvoert zijn voorzien van een duidelijke wizard. De software van Panda kan met computers communiceren zodra ze een agent aan boord hebben, en voor die agentdistributie krijgt u verschillende mogelijkheden aangereikt die bijna garanderen dat het lukt om die agent vanop afstand op een pc of server te krijgen. Zo gemakkelijk hebben we het bij geen enkel ander product gehad. Net zoals bij andere producten in deze test kan de clientantimalwaresoftware automatisch geïnstalleerd en geactiveerd worden op een werkstation als de gebruiker inlogt. U kunt ook bepaalde gebruikers uitsluiten van het antimalwarebeheer, bijvoorbeeld omdat ze een besturingssysteem draaien dat niet door Panda wordt ondersteund. Standaard ondersteunt Panda alleen Windows. Panda blijkt volgens onze testen enorm goed in het blokkeren van malware: de software herkende onze parasietinfector vrijwel onmiddellijk als dusdanig en hij blokkeerde de hele software meteen en volledig, zodat de parasietinfecties niet eens konden beginnen.

Symantec EndpointProtection 11

Symantec heeft al jaren antimalwarebestrijdingssoftware, ook voor netwerken, en die hebben wij ook elk jaar getest. Endpoint Protection r11 is een geïntegreerde beveiligingssuite. Het beschermt alle eindpunten (servers, werkstations en mobiele stations) tegen malware, beveiligt ze met een afdwingbaar reglement met inbegrip van regels voor wie toegang krijgt tot het netwerk en de daarin aangesloten machines en via welke methodes. Maar ook wat gebruikers mogen en wat niet. De licentiepolitiek is eenvoudig: één licentie voor alles, geen gedoe met modules en onderdelen. De suite omvat een persoonlijke firewall, apparaat- en applicatiecontrole, antimalware, antirootkit (VxD-sturingen), gedragsanalyse, inbraakbescherming voor netwerk en eindpunten. Het centraal beheer is net als bij de concurrentie gesplitst in een serverdeel (de Management Server) en de eigenlijke beheer-interface (Management Console). Dat is allemaal webgebaseerd. Bij de eerste installatie van EndPoint Protectie biedt een wizard u aan alles te installeren en de software uit te rollen over uw netwerk naar de computers toe. Het beheer heeft een Outlook-achtige interface met hoofdrubriekpictogrammen uiterst links. Er is een hoofdrubriek ‘Clients’ waarmee u de te beheren systemen definieert en er software naar uitrolt. De hoofdrubriek ‘Policy’ verspreidt beveiligingsregels naar de pc’s en servers toe. Bij eindpunten of clients kunt u de controle granulair regelen, maar dat werkt computergebaseerd en niet gebruikergebaseerd. Ook de installatie kan zichtbaar of helemaal onzichtbaar gebeuren. Symantec EndPoint Protection blijkt vrij goed in pure virusdetectie, maar kan slechts ongeveer een derde van de besmette bestanden ook weer schoonmaken. Bij het blokkeren van parasieten gaat het wat beter. Hij hield al onze testparasieten tegen, al moest dat bij sommige in meerdere scanbeurten.

TrendMicroOfficeScan 10

Het Amerikaanse TrendMicro is net als McAfee een van de oudste antimalwareproducenten. Het bedrijf heeft een breed gamma antimalwareproducten en kan u die in verschillende bundels aanbieden. De suite OfficeScan 10 omvat alles om een netwerk met pc’s en servers te beveilingen, maar ook de communicatie tussen deze eindpunten onderling en met het internet. U krijgt OfficeScan serveredities voor Windows en ServerProtect edities voor Linux en NetWare servers; OfficeScan desktopedities voor Windows desktops en notebooks en opnieuw ServerProtect voor Linux desktops. Voor Windows werkt dat in de praktijk met slechts een uitvoerbaar bestand: de licentie die u aankocht bepaalt voor welke omgevingen de software bedoeld is en of het om client- of serversoftware gaat. TrendMicro heeft daarnaast ook specifieke ServerProtect software voor EMC Celerra en NetApp opslagsystemen.

De OfficeScan server werkt samen met een webserver om clients (ook remote clients) toegang te geven tot het beveiligingsproduct. Die webserver kan zowel IIS als Apache zijn. Als u voor Apache kiest terwijl die niet aanwezig is, installeert de OfficeScan-installatieprocedure de Apache webserver voor u. OfficeScan ondersteunt meerdere methodes om clients aan hun beveiliging te helpen, maar de meest gebruikte zullen de webtoegang (waarbij een gebruiker de software dus zelf actief moet installeren) zijn en het vanaf een server op afstand op de client installeren van software. Het hele beheer werkt met een webinterface die omwille van de helaas gebruikte ActiveX controles IE vereist. Het centrale beheer heet dan Control Manager en heeft inmiddels versie 5. Op de clients draait niet gewoon een agent, maar een volwaardige antivirusclient. Gebruikers kunnen dus zelf ook scans laten uitvoeren als ze dat willen. OfficeScan beschermt overigens ook draadloze toestellen en in het bijzonder pda’s. Op servers biedt OfficeScan buiten de actieve malwarebestrijding nog een ‘enterprise firewall’-beveiliging.

OfficeScan heeft code voor virusuitbraakpreventie aan boord. Dat is bedoeld om bij een uitgebroken virus in uw netwerk de machines die nog schoon zijn meteen af te schermen. Verder is er een virusuitbraakmonitor: een bewakingssysteem dat elke overtreding van de firewallregels meldt. OfficeScan ondersteunt Cisco NAC (Cisco Network Admissions Control, een systeem met strikte toegangsreglementen voor eindnodes in netwerken.

TrendMicro geeft een vrij goed resultaat bij de virusdetectietesten, maar laat toch enige steekjes vallen bij het schoonmaken van virussen en het blokkeren van parasieten.

Conclusie

Alle geteste enterprise antimalwareoplossingen geven u een goede, zeer goede of uitstekende beveiliging tegen malware. Er zitten zeker geen slechte producten bij. De allerbeste presteerder inzake functionaliteit, virus- en parasietbestrijding is F-Secure Client Security. Samen met het McAfee Active Virus Defense deelt het de titel van ‘beste koop’. Een eervolle vermelding gaat naar Trend Micro OfficeScan 10. Gedetailleerde productinformatie en testresultaten vindt u in de bijbehorende tabel op onze website (in de rubriek Specials).

Johan Zwiekhorst