первый ВЗГЛЯД
Антивирусная программа имеет первоклассные функции предупреждения
Администраторы серверов Windows NT подучили еще одну "родную" антивирусную программу для сканирования дисков в реальном времени или по требованию под названием NetShield for NT 2.5, которую фирма McAfee Associates выпустила в середине марта.
На нас произвели впечатление простота работы продукта NetShield for NT, а также надежность его функций сканирования в реальном времени и выдачи предупреждений (по этим параметрам NetShield превосходит своего соперника Inocu-LAN 1.01 for Windows NT), однако мы были озабочены наличием разнообразных мелких ошибок.
NetShield фирмы McAfee позволяет легко устанавливать задания на сканирование
Цена по каталогу продукта Net-Shield for NT 2.5 варьируется от $425 за версию на 25 узлов до $26 200 за версию на 2500 узлов. Для сканирования рабочих станций под Windows NT необходимо также приобрести сопутствующий продукт VirusScan for NT 2.5; его цена колеблется от $1250 за версию на 25 узлов до $31 000 за версию на 2500 узлов.
Основная цель любого антивирусного продукта - обнаружение вирусов; NetShield for NT весьма преуспел в этом.
Он поймал все наши вирусы, кроме "троянского коня" (который находят немногие продукты) и дважды сжатых вирусов в архивах PKZIP. Хотя NetShield обнаруживает вирусы в обычных архивах PKZIP, он не производит рекурсивной проверки повторно сжатых ZIP-файлов.
В отличие от конкурирующего продукта InocuLAN, NetShield for NT не позволяет выбирать глубину сканирования. Однако оба продукта можно настроить на высокую или низкую загрузку ЦП.
Программа сканирования продукта NetShield использует как фрагменты вирусов, так и ограниченные эвристические методы; последние позволяют находить мутирующие вирусы по их поведению. Программа может выявлять ранее неизвестные вирусы в файлах любого типа, а также вирус Boza, заражающий Windows 95, и вирусную макрокоманду WinWord Concept, которую Национальная ассоциация по компьютерной безопасности недавно назвала "самой плодовитой вонючкой" из всех существующих.
Однако NetShield не производит проверок целостности файлов. Антивирусную защиту такого типа предлагают и другие продукты, например LANDesk Virus Protect корпорации Intel, работающий на базе NetWare.
Обнаружение вирусов в реальном времени важно для сдерживания распространения инфекции. NetShield выполняет эту задачу, как бдительный охранник, поскольку он запускается в качестве службы NT. Стоило нам только скопировать инфицированный файл на сервер, как NetShield немедленно предупредил об этом администратора и удалил файл. Тем не менее NetShield не смог обнаружить загрузочный вирус на гибком диске, а многие другие продукты умеют это делать. Официальные представители компании пообещали, что эта возможность будет включена в следующую версию.
С другой стороны, NetShield for NT может автоматически отключать любую сетевую станцию, которая заносит вирус на сервер. Для этого NetShield пресекает способность Windows NT восстанавливать потерянные соединения с рабочими станциями, инициируя сигналы на отсоединение до тех пор, пока сервер не сдастся.
АДМИНИСТРИРОВАНИЕ
Операции по восстановлению легко инициировались; но с умеренным успехом. Предпринимались попытки восстановить примерно половину файлов, в то время как остальные были расценены как слишком испорченные и не подлежащие восстановлению. Нам понравилось, что зараженные ZIP-файлы немедленно восстанавливались; InocuLAN их не трогает.
Также нам понравился планировщик заданий, причем мы обнаружили, что его можно использовать как для проведения сканирований, так и для копирования обновленных версий базы данных о вирусах. Мы установили время запуска ежедневного сканирования, и программа сканирования активизировалась точно в назначенный момент. Однако первый запуск по непонятным причинам дал сбой, в то время как последующие прошли без ошибок.
С помощью планировщика мы могли запрограммировать запуск сканирований через определенные интервалы времени, в определенный день месяца или при загрузке системы.
Пакет для выдачи предупреждений работал весьма впечатляюще. Хотя, как мы считаем, МсAfee должна была бы оформить его в виде автономного продукта и (или) интегрировать его во все свои продукты. Пакет может выдавать предупреждения по пейджинговой связи, распечатывать их на принтере, передавать с помощью прерываний SNMP, по электронной почте или в виде широковещательных сообщений. Кроме того, мы могли перенаправить предупреждения на другие серверы.
В каждом окне конфигурирования предупреждений имеется кнопка Test (проверка), которая позволяет убедиться в том, что предупреждения выдаются согласно заданным параметрам. Подсистема выдачи предупреждений также позволяет выбрать, какое из 50 с лишним сообщений об ошибках нам хотелось бы получать, устанавливать для каждого из них уровень приоритета.
В то время как система выдачи предупреждений по электронной почте продукта NetShield заранее сконфигурирована как совместимая с протоколом SMTP, другие почтовые системы, основанные, например, на Messaging Handling Service (служба обработки сообщений) или Messaging API (интерфейс программирования систем передачи сообщений), могут работать в NetShield только после того, как администратор создаст программу-посредник. В этом случае NetShield for NT будет вызывать эту программу каждый раз, когда будет генерироваться предупреждение.
NetShield for NT поддерживает только серверы Windows NT, хотя модуль консоли управления можно установить и на рабочей станции под NT. Есть также отдельная версия, работающая только под NetWare,
NetShield поддерживает имена путей, заданные по схеме UNC (универсальная конвенция о наименовании), что позволяет сделать сканирование удаленных рабочих станций более удобным. Поскольку такое сканирование планируется службой NT, которая не имеет доступа к отображенным дискам, необходимо иметь пути UNC к этим ресурсам ПК. Для сканирования удаленных ПК регистрироваться на них не нужно.
NetShield может либо производить сканирование по сети, если удаленный диск отображен на локальной машине и сеть слабо загружена, либо запустить копию клиентского агента VirusScan, установленного на удаленном ПК.
С помощью панели инструментов мы могли выбрать для сканирования любой удаленный сетевой компьютер. К сожалению, мы не могли запрограммировать сканирование всех машин, не описывая каждую из них по отдельности.
NetShield for NT фиксирует события заражения и сканирования в собственном файле регистрации NetShield, в файле регистрации событий (Event Log) Windows NT или в обоих этих файлах. Мы задали параметры регистрации, после чего могли просматривать файл регистрации запущенного по требованию сканирования с помощью редактора Notepad.
Можно ежемесячно бесплатно копировать обновленную версию базы данных о вирусах с корпоративной электронной доски объявлений фирмы McAfee, с узла FTP (File Transfer Protocol), через CompuServe или с одного из нескольких узлов Web.
Для упрощения процесса обновления базы данных NetShield for NT может автоматически по расписанию копировать последний файл с центрального пункта хранения, если администратор скопировал базу данных и переписал ее туда. Можно также заставить NetShield выполнять прилагаемый сценарий для открытия сеанса FTP с сервером McAfee и копирования нужного файла.
ПРОИЗВОДИТЕЛЬНОСТЬ
Скорость сканирования можно менять с помощью ползунка на консоли. Если установить его на отметку производительности "высокая", то процесс сканирования получит более высокий приоритет на использование ресурсов ЦП и доступ к диску за счет других работающих приложений. Если же установить ползунок на отметку "низкая", то сканирование займет несколько больше времени, чем обычно, зато другие приложения не будут так грубо "обижены".
На "тихом" сервере с процессором Pentium при максимальной скорости программа сканировала около 2,6 Мб в сек. Запустив параллельно другое приложение для сканирования системы, мы убедились, что его производительность упала более чем на 40%. При низкой скорости сканирования второе приложение работало почти с нормальной скоростью. Всегда лучше проводить сканирование в нерабочие часы.
Мы не тестировали скорость сканирования рабочей станции, поскольку считаем, что с этой задачей лучше справляется отдельный клиентский агент VirusScan.
ИНСТАЛЛЯЦИЯ
Нам понравилось, что продукт NetShield for NT можно легко установить с компакт-диска. Испросив нашего разрешения, инсталляционная программа автоматически запустила службу сканирования в реальном времени. Нам нужно было только сообщить ей пользовательский идентификатор и пароль для регистрации. Продукт NetShield сертифицирован для использования с пакетом BackOffice корпорации Microsoft.
Мы также сочли, что по сравнению с аналогичными продуктами пользовательский интерфейс NetShield наиболее прост. С помощью инструмента Wizard мы быстро запрограммировали новые задания на сканирование. Панель инструментов содержит кнопки для копирования, запуска и остановки заданий, просмотра списка вирусов и файла регистрации событий NT, а также для подключения к другому серверу NetShield.
Печатная документация содержит прекрасное изложение основ использования NetShield, хотя ей, на наш взгляд, не хватает рисунков, иллюстрирующих, как должен выглядеть экран. Оперативная документация в формате Acrobat показалась нам более полной.
Особенно полезным оказался электронный список вирусов, в который включено краткое описание действий вирусов и указание на то, способен ли продукт их обезвреживать.
КЕН ФИЛЛИПС
МЕТОДИКА ТЕСТИРОВАНИЯ
Мы установили продукт NetShield for NT 2.5 с компакт-диска на отказоустойчивый мультисервер ERS/FT II корпорации Cubix с 90 МГц процессором Pentium и подключили к нему внешний дисковод CD-ROM фирмы Advanced Micro Solutions, работающий под Windows NT 3,51 Server. Был подготовлен обширный тестовый набор вирусов, некоторые из которых были обычными, широко распространенными виршами, а другие - относительно необычными.
В тестовый набор водили также различные семейства вирусов, включает загрузочные, полиморфные вирусы и вирусы "троянского коня’. Мы несколько раз провели репликацию некоторых мутирующих вирусов, повторно заражая ими файлы. Мы также сжали и повторно сжали некоторые инфицированные файлы с помощью программы PKZip. Наш тестовый набор не следует считать полным или даже репрезентативным тестом на обнаружение вирусов, однако он демонстрирует возможности антивирусных продуктов. Мы запускали сканирование серверных дисков как по расписанию, так и по требованию, а также протестировали возможность сканирования в реальном времени, попытавшись внести зараженные файлы с гибких дисков в систему NT.
Антивирусное ПО для серверов Windows NT
+----------------------------+---------------------+-----------------------+
| |NetShield 2.5 for NT | lnocuLAN1.02 for |
| | McAfee Associates | Windows NT |
| | Inc. | Cheynne Software Inc. |
+----------------------------+---------------------+-----------------------+
|ЗАЩИТА |
+----------------------------+---------------------+-----------------------+
|Возможности обнаружения | ХОРОШО | УДОВЛ. |
|вирусов | | |
+----------------------------+---------------------+-----------------------+
|Проверка целостности файлов | НЕТ ДАННЫХ | НЕТ ДАННЫХ |
+----------------------------+---------------------+-----------------------+
|Искоренение вирусов и | ОТЛИЧНО | ОТЛИЧНО |
|восстановление файлов | | |
+----------------------------+---------------------+-----------------------+
|АДМИНИСТРИРОВАНИЕ |
+----------------------------+---------------------+-----------------------+
|Гибкость планирования | ОТЛИЧНО | ОТЛИЧНО |
|заданий | | |
+----------------------------+---------------------+-----------------------+
|Предупреждения | ОТЛИЧНО | ХОРОШО |
+----------------------------+---------------------+-----------------------+
|Поддержка сервера NetWare | НЕТ ДАННЫХ | НЕТ ДАННЫХ |
+----------------------------+---------------------+-----------------------+
|Поддержка клиентских ОС | НЕТ ДАННЫХ | ПЛОХО |
+----------------------------+---------------------+-----------------------+
|Поддержка доменов | ХОРОШО | ХОРОШО |
+----------------------------+---------------------+-----------------------+
|Выдача отчетов | УДОВЛ. | УДОВЛ. |
+----------------------------+---------------------+-----------------------+
|Обновление ПО | ХОРОШО | УДОВЛ. |
+----------------------------+---------------------+-----------------------+
|ПРОИЗВОДИТЕЛЬНОСТЬ |
+----------------------------+---------------------+-----------------------+
|Скорость сканирования | УДОВЛ. | УДОВЛ. |
+----------------------------+---------------------+-----------------------+
|Снижение производительности | НЕТ ДАННЫХ | УДОВЛ. |
|приложений на рабочих | | |
|станциях | | |
+----------------------------+---------------------+-----------------------+
|ИНСТАЛЛЯЦИЯ |
+----------------------------+---------------------+-----------------------+
|Простота установки | ОТЛИЧНО | отлично |
+----------------------------+---------------------+-----------------------+
|Пользовательский интерфейс | ОТЛИЧНО | отличное |
+----------------------------+---------------------+-----------------------+
|Документация | УДОВЛ. | ХОРОШО |
+----------------------------+---------------------+-----------------------+
|Оперативная справка | ОТЛИЧНО | ХОРОШО |
+----------------------------+---------------------+-----------------------+
Антивирусное ПО для серверов Windows NT
NetShield 2.5 for NT
McAfee Associates Inc.
Санта-Клара, шт. Калифорния (800) 332-9966, (408) 988-3832 http://www.mcafee.com
ДОСТОИНСТВА: Производит антивирусное сканирование в реальном времени; можно централизованно управлять серверами NetShield; сканирует сжатые файлы; может выявлять полиморфные вирусы; предлагает широкие возможности предупреждения администратора; может восстанавливать файлы, поврежденные многими вирусами; может автоматически копировать обновленные версии базы данных о вирусах; сертифицирован для использования с продуктом BackOffice корпорации Microsoft.
НЕДОСТАТКИ: Программа сканирования в реальном времени не обнаруживает загрузочные вирусы на гибких дисках; клиентские агенты необходимо покупать дополнительно.
InocuLAN 1.02 for Windows NT
Cheyenne Software Inc.
Рослин-Хейтс, шт. Нью-Йорк (800) 234-9462, (516) 465-4000 http://www.cheyenne.com
ДОСТОИНСТВА: Производит антивирусное сканирование в реальном времени; можно централизованно управлять серверами InocuLAN; самостоятельно производит удаленное сканирование рабочих станций и серверов под NT без регистрации на них; сканирует сжатые файлы; может выявлять полиморфные вирусы; предлагает разнообразные возможности предупреждения администратора; может восстанавливать файлы, поврежденные многими вирусами; включает автономное клиентское ПО для систем под DOS и Windows З.х; содержит версии на французском и немецком языках; сертифицирован для использования с продуктом BackOffice корпорации Microsoft.
НЕДОСТАТКИ: Не перехватывает некоторые операции по копированию файлов под DOS; не всегда выявляет загрузочные вирусы на гибких дисках; клиент для Windows 95 может вызывал, ошибку общей защиты при обнаружении вируса; клиентом для Мас пользоваться невозможно; клиентское ПО для Windows 95 необходимо покупать дополнительно.
РЕЗЮМЕ: Администраторы сочтут, что продукт
NetShield 2.5 for NT фирмы McAfee - это надежная антивирусная программа с немногими недостатками; поддержку клиентов можно купить за дополнительную плату. Продукт InocuLAN 1.01 for Windows NT фирмы Cheyenne Software прекрасно обнаруживает вирусы, прост в использовании, но некоторые моменты требуют доработки.
АВТОНОМНАЯ МОЩНОСТЬ
Пакет для выдачи предупреждений из продукта NetShield поддерживает пейджинговую связь, принтеры, прерывания SNMP, электронную почту и широковещательные сообщения. Мы считаем, что McAfee должна оформить его в виде автономного продукта
ПОЙМАТЬ ИХ!
С помощью ограниченных эвристических методов NetShield может находить мутирующие вирусы по их поведению