Кен Филлипс (для PC Week Labs)
Обзор
Недостатки, обнаруженные в антивирусных пакетах, не позволяют безоговорочно рекомендовать их для применения в вычислительных системах предприятий
Антивирусные средства для серверов Exchange корпорации Microsoft - это важнейшая преграда на пути макровирусов. К сожалению, ни один из продуктов, рассмотренных в этом обзоре, не может быть безоговорочно рекомендован для использования на предприятиях.
Интерфейс ScanMail делает конфигурирование несложным занятием
Мы протестировали три продукта, предназначенных для контроля за прохождением по каналам Exchange инфицированного почтового трафика и для обезвреживания содержащихся в электронных почтовых отправлениях вирусов прежде, чем те смогут поразить защищаемую локальную сеть или выскользнуть на просторы Internet. Мы рассмотрели такие пакеты: GroupShield 3.2.0 for Microsoft Exchange фирмы Network Associates (ранее известной как McAfee Associates), ScanMail for Microsoft Exchange 1.5 фирмы Trend Micro и AntiVirus Agent for Microsoft Exchange Server 1.0 Service Pack 1 фирмы Computer Associates International. Наиболее удачным нам показался пакет GroupShield, но и у него обнаружилась своя ахиллесова пята: чрезмерная чувствительность к малому объему свободной виртуальной памяти. Этот недостаток охладил наш энтузиазм, но для администратора, пристально следящего за состоянием виртуальной памяти на своих серверах, GroupShield определенно будет хорошим выбором.
Антивирусный пакет GroupShield, поступивший в продажу в ноябре прошлого года, обладает хорошими функциями администрирования, полным набором опций рассылки уведомлений и способностью осуществлять антивирусное сканирование сжатых файлов. Он продается только в составе интегрированного комплекта NetShield Security Suite, состоящего из средств борьбы с вирусами, шифрования данных и распространения ПО в рамках вычислительных систем предприятий. При покупке комплекта на 500 пользователей стоимость NSS составляет $17 в расчете на одного пользователя. Однако следует учитывать, что это стоимость двухгодичной аренды продукта, а не постоянной лицензии.
ScanMail for Microsoft Exchange 1.5 фирмы Trend Micro поставляется с октября прошлого года по цене $8995 за лицензию на 500 пользователей.
Этот пакет оказался лучшим в рассматриваемой группе: ScanMail успешно обрабатывал все, что мы ему предлагали. Однако способ оповещения у него всего один - в отличие от обоих своих соперников он может только отправить письмо по электронной почте. Кроме того, пакет лишен функции удаленной установки.
Пакет AntiVirus Agent for Microsoft Exchange Server 1.0 Service Pack 1, предлагаемый CA за $695, интегрирован с Exchange меньше других продуктов. Поставляемый с июля прошлого года, он требует, чтобы на одном сервере с защищаемой копией Exchange был установлен пакет InocuLAN 4.0 (производимое CA антивирусное ПО для защиты серверов). InocuLAN стоит $995 в расчете на один сервер плюс $17 на каждого клиента при количестве узлов от 500 и выше. К достоинствам AntiVirus Agent относится то, что его администрирование осуществляется с единой консоли InocuLAN, однако этот пакет не имеет эвристического сканера макровирусов и содержит ряд серьезных ошибок. По этим причинам мы сочли необходимым снабдить его пометкой Caution! (осторожно!).
Антивирусные средства для Exchange разрабатывают также фирмы Data Fellows и Dr. Solomon’s Software, однако их продукты на момент составления этого обзора находились еще на этапе бета-тестирования.
Сетевые шлюзы можно рассматривать как некие “командные высоты”, с которых может быть отражена атака макровирусов, - нового дикого племени, быстро затмившего своими бесчинствами все другие вирусы (см. “Причины для беспокойства”). Защита на уровне шлюзов позволяет в значительной мере отвратить эту наиболее распространенную угрозу, но она не имеет никакого отношения к защите от инфекций, распространяющихся по каналам, отличным от почтовой системы.
Для борьбы с наиболее традиционными вирусами, распространяющимися по локальным сетям, по-прежнему необходимы сканеры, запускаемые на клиентских и серверных машинах. Однако эти средства обнаруживают вирусные десанты только после раскрытия пользователем присоединенного к почтовому отправлению файла, после того как, быть может, это почтовое отправление было уже разослано нескольким другим адресатам - в пределах ЛВС или по всему миру.
Кроме того, не будь у шлюзов антивирусной защиты, вирусы могли бы спасаться на них от облав, устраиваемых с использованием обычных сканеров файловых систем серверного базирования. Каким образом, спросите вы? Дело в том, что Exchange хранит электронную корреспонденцию в специальной БД, а не в отдельных файлах файловой системы.
Ряд производителей, включая CA, Dr. Solomon’s Software, Network Associates и Symantec, предлагают средства защиты как для почтовых серверов, работающих по протоколу SMTP, так и для серверов почтовой системы Lotus Notes. Trend Micro выпускает только SMTP-версию. Кроме того, Network Associates и Trend Micro продают специальные сканеры для контроля за любыми передаваемыми по Internet файлами и для фильтрации вредоносных Java- или ActiveX-компонентов.
Продукт MIMEsweeper фирмы Integralis уникален в том отношении, что позволяет совместно использовать механизмы антивирусного сканирования других производителей. Кроме того, он обеспечивает контроль за процессом модификации cookie-файлов, блокирование коммуникаций на основе заданных правил, анализ данных в процессе их передачи и многое другое.
Трудности с первого шага
Хотя ни один из протестированных нами продуктов не имеет никаких необычных функций, кроме, пожалуй, поддержки Exchange, установка некоторых из них на наш испытательный сервер причинила нам немало хлопот. Эта машина - Vectra VL4 5/166 компании Hewlett-Packard с 80 Мб ОЗУ, на которой было установлено ПО Exchange 5.0, - использовалась исключительно для целей тестирования: во время испытаний никакого регулярного почтового трафика через нее не пропускалось.
Система распространения сигналов тревоги пакета GroupShield for Exchange впечатляет
В пакете GroupShield фирмы Network Associates предусмотрена наилучшая процедура инсталляции: во-первых, потому, что в ходе испытаний нам удалось выполнить ее без каких-либо осложнений, во-вторых, потому, что она позволяет установить ПО на сервер с удаленной рабочей станции под управлением ОС Windows NT. Последнее обстоятельство очень удобно для администраторов сетей, которые смогут установить GroupShield на все нуждающиеся в защите серверы вычислительной системы предприятия, не выкраивая времени для личного посещения консоли управления каждого из них.
Пакет ScanMail фирмы Trend Micro терпит на этом фронте полнейшее фиаско, так как вообще не обладает способностью к удаленной установке. У AntiVirus for Exchange фирмы CA в этом отношении дела обстоят несколько лучше - достаточно небольшого редактирования конфигурационного файла, чтобы установленный в сети пакет заработал. Инсталляционная процедура AntiVirus Agent for Exchange показалась нам самой утомительной, отчасти из-за отсутствия адекватной документации.
Мы вручную создали регистрационную запись службы, как того требовала документация, но полной информации о том, какие привилегии следует занести в эту запись, в ней не было. В результате после установки программа оказалась неработоспособной и пришлось обращаться в службу технической поддержки.
Мы обнаружили также, что собственных средств AntiVirus Agent недостаточно для того, чтобы направить администратору электронное письмо с извещением о вирусной атаке. Необходимо еще задать соответствующие правила в модуле Inbox Assistant сервера Exchange. Кроме того, чтобы просматривать и сканировать на наличие вирусов те или иные конкретные почтовые ящики Exchange, необходимо входить в NT Server по процедуре, установленной для системных служб. Если бы мы заранее знали о недостатках регистрации AntiVirus Agent в качестве отдельной службы, мы бы просто расширили права администратора Exchange, что было бы значительно эффективнее.
При установке ScanMail for Microsoft Exchange мы также столкнулись с некоторыми трудностями. Использовать для работы этого пакета регистрационную запись самого сервера Exchange представлялось нам вполне естественным техническим решением, однако в результате мы не смогли запустить фоновый сканер реального времени, поскольку сервер Exchange был зарегистрирован с недостаточными для этого правами. Еще более серьезную проблему составило то обстоятельство, что поначалу мы даже не смогли войти в модуль администрирования ScanMail, при попытке сделать это появлялось непонятное сообщение об ошибке, связанной с неким файлом системной, динамически компонуемой библиотеки NT. Чтобы выйти из создавшейся ситуации, пришлось обращаться в службу технической поддержки, сотрудники которой помогли нам удалить несколько старых файлов и скопировать из сети новый. Утилита деинсталляции продукта Trend Micro тоже не работает должным образом.
Из трех рассмотренных продуктов с задачей обнаружения вирусов на нашей испытательной системе лучше всего справился пакет ScanMail. Единственная брешь, которую нам удалось найти в его оборонительных линиях, - то, что не обнаруживаются вирусы, встроенные в текст сообщения. Например, мы делали попытки переслать закодированный по алгоритму uuencode вирус в качестве присоединенного файла и встроенным в текст - последний способ часто применяется пользователями более старых клиентских программ для работы с электронной почтой Internet, обладающих ограниченными функциональными возможностями. ScanMail обнаруживал вирус в присоединенном файле, но не в инфицированном тексте письма.
Впрочем, и два других рассмотренных продукта не обнаруживают вирусы, упакованные таким способом. По ряду причин этот недостаток не может считаться серьезным поводом для беспокойства. Во-первых, компонент Internet Mail Connector фирмы Microsoft автоматически отделяет закодированные части текста сообщения и превращает их в присоединенные файлы перед тем, как опустить в почтовый ящик Exchange. Во-вторых, другие антивирусные продукты, такие, как InterScan фирмы Trend Micro или WebShield фирмы Network Associates, обнаруживают транспортируемые описанным способом вирусы в процессе сканирования Internet-трафика.
Мы заметили также, что ScanMail создает в процессе анализа почты временные файлы с расширением .TMP, но никогда их не удаляет после завершения работы, что производит дополнительный беспорядок в системе, так как некоторые из этих .TMP-файлов оказываются инфицированными и вызывают срабатывание собственного антивирусного сканера NT Server. Согласно официальной информации, полученной из Trend, ее инженеры уже подготовили необходимые исправления, которые должны быть реализованы в очередной версии.
AntiVirus Agent for Microsoft Exchange фирмы CA окончательно упал в наших глазах, когда мы увидели, как он при тестировании без звука пропустил в почтовую систему Exchange больше половины зараженных писем. Позднее мы выяснили причину: нам отчего-то взбрело в голову использовать список расширений подлежащих проверке файлов, а AntiVirus Agent принимал во внимание не более семи первых его пунктов. Таким образом, файлы с расширением .EXE (оно оказалось в нашем списке приблизительно на девятом месте) просто игнорировались при проверке, наряду с файлами с расширением .XLS и многими другими.
Обойти эту проблему можно, если использовать режим сканирования всех файлов подряд. Однако при этом замедляется процесс фонового сканирования данных не только системы Exchange, но и сервера Windows NT в целом. Когда мы наконец догадались исправить свою оплошность, AntiVirus Agent стал благополучно расправляться с любым инфицированным присоединенным файлом, какой бы ему ни предложили. Он даже отловил закодированный в формате MIME (Multipurpose Internet Mail Extension) файл, с которым не справились ни GroupShield, ни ScanMail. Эта форма присоединенных файлов, возникающая при создании MIME-приложения к электронному письму средствами, отличными от автоматического механизма MIME-кодирования системы Exchange, встречается довольно редко, однако ничего невозможного в ее появлении нет.
Мы также заметили, что повторная активизация фонового сканера после аварийного завершения работы системы не всегда бывает успешной, что делает применение AntiVirus Agent рискованным занятием. Официальные представители CA заверили нас, что компания намерена незамедлительно выпустить исправленный вариант. Однако помимо перечисленного, AntiVirus Agent недостает еще и алгоритма обнаружения макровирусов, для борьбы с ними этот пакет использует только проверку на присутствие хранимых в специальном файле характерных кодовых последовательностей. Этот серьезный недостаток означает, что продукт не способен обнаружить еще неизвестные макровирусы. Согласно официальной информации, CA планирует реализовать эвристический сканер в следующей версии, выпуск которой намечен на март.
Не отстал от своих соперников в демонстрации сомнительной надежности и GroupShield. Иногда, когда мы подавали на вход детектора вирусов цепочку сжатых присоединенных файлов, он вдруг “ломался” и начинал давать зеленый свет всему подряд. Последующие электронные письма даже с одиночными присоединенными инфицированными файлами проскакивали через него вообще без всякой проверки, хотя со временем GroupShield частично восстанавливал свои способности по обнаружению вирусов. Были очевидные нелады и с виртуальной памятью, что, возможно, порождало ошибки в самом сервере, не позволяя даже остановить и перезапустить службу GroupShield.
Технические специалисты Network Associates объяснили нам, что GroupShield действительно отличается повышенной чувствительностью к недостатку виртуальной памяти: в таких ситуациях детектор просто выгружается без всякого предупреждения. Exchange отбирает на свои нужды каждую кроху виртуальной памяти, до которой сумеет дотянуться, и если администратор не контролирует состояние этого ресурса надлежащим образом (например, он может установить порог выдачи предупреждения о дефиците виртуальной памяти в системной утилите Performance Monitor ОС Windows NT), то может даже и не узнать о том, что антивирусный щит его системы частично или полностью разрушен. Уже после увеличения объема доступной на сервере виртуальной памяти возникла ошибка запуска GroupShield, что снова отрицательно сказалось на работе детектора. Два других рассматриваемых здесь продукта не проявили такой чувствительности к наличию свободной виртуальной памяти, хотя работали в совершенно идентичных условиях.
Кроме того, GroupShield оказался неспособен обнаруживать вирусы во вложенных архивах (ZIP-файлах, упакованных в другие ZIP-файлы). Эта возможность, согласно информации представителей компании, должна была быть реализована в версии, которую планировалось выпустить в конце 1997 г.
Все три продукта различаются своими системами выдачи уведомлений. ScanMail надежно извещает об обнаруженных вирусах администратора сети, а также отправителя и получателя инфицированного отправления, но только по электронной почте. Два других продукта предлагают широкий выбор альтернативных способов доставки уведомления: по пейджинговой связи, методом широковещательной рассылки, через регистрационный журнал системных событий NT, через сообщения протокола SNMP и с помощью вывода на принтер. Диапазон вариантов доставки уведомления AntiVirus Agent еще шире, помимо уже перечисленных каналов он позволяет задействовать электронную почту системы Notes и вывести сообщение на консоль системы администрирования Unicenter TNG фирмы CA.
Система распространения уведомлений пакета GroupShield оказалась в целом лучшей, хотя в ней сильно ощущается недостаток в средствах пользовательской настройки. В защиту ScanMail можно сказать, что эта программа генерирует более информативные и легко читаемые тексты, чем ее соперники. В некоторых предупреждениях, выданных по ходу нашего тестирования, AntiVirus Agent недоставало важной информации. Как AntiVirus Agent, так и GroupShield генерировали избыточные сообщения. Производители обоих продуктов работают над исправлением этого недостатка.
Каждый рассмотренный продукт позволяет выполнять антивирусное сканирование по расписанию, а также “по требованию” - в ручном режиме. Кроме того, мы выборочно сканировали отдельные почтовые ящики и общедоступные папки. Каждый пакет, если требуется, дает возможность автоматически обезвреживать вирусы в присоединенных файлах. Однако специального тестирования функций обезвреживания вирусов или восстановления зараженных файлов мы не проводили, отчасти по той причине, что многие вирусы не допускают лечения без разрушения пораженного исполнимого файла, а отчасти из-за того, что большинство администраторов все равно относятся к отремонтированным файлам с подозрением. Наиболее полезными в данной области следует признать функции удаления макровирусов из пораженных документов.
GroupShield обладает одним достоинством, которого нет у двух других пакетов: он способен обрабатывать сжатые архивы. AntiVirus Agent и ScanMail лишь перемещают зараженные архивы в специальный карантинный каталог, но не удаляют из них вирусы, хотя Trend Micro планировала реализовать эту возможность в версии ScanMail, которая должна была выйти в конце декабря; CA намерена сделать то же самое в начале 1998 г.
Все три продукта сертифицированы для версий Exchange с 4.0 по 5.5. Пакет GroupShield интегрирован, кроме того, с сопутствующим продуктом GroupScan. Применение GroupScan позволяет обеспечить более высокий уровень безопасности в случае использования встроенной функции шифрования Exchange - в зашифрованном файле никакой антивирусный сканер ничего не обнаружит. Поскольку сообщение дешифруется только по прибытии в почтовый ящик пользователя, его зашифрованная инфицированная версия продолжает храниться на сервере.
GroupScan не только обнаруживает вирус в сообщении в тот момент, когда конечный пользователь открывает его, но и удаляет зараженный присоединенный файл из хранимой на сервере копии. Эта новая функция будет в ближайшее время интегрирована с VirusScan и без дополнительной оплаты. К сожалению, другие производители не предлагают решения проблем, создаваемых шифрованием сообщений. В любом случае сообщения, зашифрованные автономными средствами (например, такими, как Pretty Good Privacy), не могут быть правильно обработаны никаким антивирусным средством, включая и продукт Network Associates.
ScanMail и GroupShield снабжаются адекватной документацией, но печатное руководство и оперативная справочная подсистема AntiVirus Agent недостаточно подробны. В комплект каждого продукта входит электронная энциклопедия вирусов, содержащая описания проявлений вирусных инфекций, с которыми может столкнуться пользователь; однако все три удручающе неполны
С автором и редактором Кеном Филлипсом можно связаться по адресу: kenp@alpinet.net.
Причины для беспокойства
Почему макровирусные инфекции распространяются так быстро? По следующим причинам:
Инфицированные макровирусами документы, как правило, совместно используются сразу многими пользователями. Исполнимые файлы (зараженные обычными вирусами) совместно используются не столь часто.
Макровирусы размножаются быстрее загрузочных вирусов, поражающих загрузочные секторы дисков, поскольку могут распространяться с электронными почтовыми отправлениями и копируемыми из Internet файлами.
Макровирусы долго остаются незамеченными пользователями, поскольку не вызывают очевидных перемен в поведении ПК. Таким образом, они получают запас времени, необходимый для дальнейшего распространения инфекции.
Резюме для руководителей
Пока не будут исправлены некоторые серьезные ошибки, администраторам лучше держаться от этого продукта подальше. До тех пор его применение связано с риском, а возможные обходные маневры замедляют работу компьютера.GroupShield 3.2.0 фирмы McAfee - мощный антивирусный продукт. Администраторы останутся довольны его управляемостью, хотя надежность продукта мы поставили бы под сомнение.Антивирусный пакет ScanMail for Exchange фирмы Trend Micro надежно обнаруживает как известные, так и неизвестные вирусы. Ему недостает многих возможностей, необходимых в системе уровня предприятия, но для небольшой односерверной ЛВС он вполне пригоден.Методика оценки: www.pcweek.com/reviews/meth.html.
AntiVirus Agent for Microsoft
Exchange 1.0 Service Pack1.Computer Associates International, Исландия, шт. Нью-Йорк, (800) 243-9462, www.cheyenne.com.
GroupShield 3.2.0 for Microsoft Exchange.Network Associates, Санта-Клара, шт. Калифорния, (800) 332-9966, www.mcafee.com.
ScanMail for Microsoft
Exchange 1.5.Trend Micro, Купертино, шт. Калифорния, (800) 228-5651, www.antivirus.com.
Объединен с пакетом антивирусного сканирования сетевого сервера для управления с единой консоли; предлагает широкий выбор каналов распространения уведомлений; детектор успешно обрабатывает присоединенные файлы, закодированные по стандартам MIME и uuencode; позволяет запускать механизмы обезвреживания вирусов и сканирования почтовых ящиков по расписанию.
Может быть установлен с одной рабочей станции администратора на все серверы Exchange; предлагает мощные возможности пользовательской настройки механизма рассылки уведомлений и широкий выбор каналов их распространения; обезвреживает вирусы внутри сжатых архивов; предусматривает обработку сообщений, зашифрованных собственными средствами Exchange; обнаруживает неизвестные макровирусы; включает средство запуска по расписанию сканера почтовых ящиков.
Надежно обнаруживает вирусы любого типа, включая еще неизвестные макровирусы; проверка почтовых ящиков и обезвреживание вирусов могут выполняться по заранее составленному расписанию.
Работающий в реальном масштабе времени антивирусный сканер фонового режима не свободен от ошибок, которые могут привести к потере способности обнаружения вирусов; не обнаруживает неизвестных макровирусов; процедура удаленной установки сложна; уведомления об ошибках неадекватны; процедура инсталляции запутана, а документация несовершенна; требует наличия установленной копии серверного ПО InocuLAN; не обезвреживает вирусы в сжатых архивах.
Может пропускать вирусы при уменьшении объема доступной виртуальной памяти; не обнаруживает вирусы в дважды сжатых вложенных архивах; генерирует избыточные уведомления.
Не рассчитан на удаленную установку; процедура инсталляции чревата осложнениями, даже при выполнении с консоли сервера; система выдачи сигналов тревоги работает только через электронную почту Exchange; не поддерживается обеззараживание сжатых файлов; в процессе работы на диске создаются инфицированные .TMP-файлы, которые остаются неудаленными.
