Elk systeem dat is aangesloten op internet moet iets van een antivirus geïnstalleerd hebben. Het aantal virussen neemt ieder jaar schrikbarend toe. Daarbij komt dat dreigingen voor desktops niet alleen komen van eenvoudige virussen; vaak gaat het om een gecoördineerde en erg gerichte aanval met mal- en spyware. En dan komen de gevaren niet alleen van het internet vandaan, onbeschermde laptops die de bedrijfsomgeving betreden kunnen evengoed problemen meesmokkelen, terwijl werknemers usb-stickies mee naar buiten nemen. Beveiligingsapplicaties moeten dus zowel interne als externe dreigingen het hoofd bieden.

Omdat het beveiligen van de client, of endpoint zo je wilt, zo ontzettend belangrijk is, testen wij vijf veelgebruikte producten.

- Check Point Endpoint Security - Secure Access Edition

- McAfee Total Protection for Endpoint 4.0

- Sophos Endpoint Security

- Symantec Endpoint Protection 11

- Trend Micro OfficeScan Client/Server Edition 8.0

Eerst het saaie nieuws: allevijf zijn het bedrijfspakketten die hun beschermtaken in mijn testlab foutloos uitvoerden. Maar het gaat niet alleen om de effectiviteit van de software om virussen en andere malware buiten te houden. Zijn ze makkelijk in het beheer? Hoe eenvoudig is het om ze te updaten, en de clients onder controle te houden? Hoe goed is het reportagesysteem over de stand van de beveiliging binnen de hele organistatie? Welke zijn multi-platform, en welke ondersteunen alleen Windows? Allemaal vragen waar ik op inga.

Check Point Endpoint Security – Secure Access Edition

Endpoint Security is een goede security-allroundpakket voor Windowsclients. Meegeleverd worden antivirus, antispyware, destkop firewall, NAC, applicatiecontrole en een VPN-client, dat alles in een enkele agent. De beheerconsole is minder log dan die van McAfee Total Protection, maar hij is ook niet zo intuïtief als de console van Trend Micro OfficeScan. De reporting engine is bijzonder bondig, maar biedt wel alle beveiligingsinformatie die de ict-afdeling nodig heeft, zonder dat deze direct wordt bedolven onder de cijfertjes.

Ik heb Endpoint Security geïnstalleerd op een gevirtualiseerde Windows Server 2003 server, en ik had geen enkel probleem met het laden van de bijbehorende applicaties. Het beheerplatform draait op WS2003 of Check Points eigen SecurePlatform, wat eigenlijk een eigen versie van Linux is. Voor de clients ondersteunt het alleen Windows 2000 Pro SP4, Windows XP Pro SP2 en Vista Enterprise.

Het Endpoint Security beheerplatform neemt vooral door de meegeleverde Tomcat webengine meer dan 350 MB aan geheugen in beslag. Daar staat tegenover dat het de processor minimaal belast. De client deed het met ongeveer 102 MB aan RAM, zowel in ruststand als tijdens het scannen. De cpu werd tot 55 procent belast. Endpoint Security pakte alle dreigingen feilloos aan, maar dat konden we dus al verwachten.

De engine van Check Point draait op technologie van Kaspersky Labs, en op Check Points eigen antispyware-onderdelen. Daarmee worden zowel de aloude database met signatures als nieuwere ontdekkingstechnieken aangewend om malware te verwijderen voordat deze zijn kwade werk kan doen.

Anders dan bij de andere bekeken pakketten kent Endpoint Security geen ondersteuning voor push-installatie naar de clients vanaf de beheerconsole. Je bent als beheerder daardoor aangewezen op de traditionele distributiemethodes, of op een gedeelde locatie. Organisaties waar de Check Point firewall al draait, krijgen de interessante mogelijkheid om gebruikers te dwingen om de client te installeren; met een captive portal is het slikken of stikken voor de eindgebruiker, want als hij het niet installeert kan hij gewoon het internet niet op.

De policy editor biedt een goede mate van controle. Elke policy valt onder danwel een trusted zone (het lokale netwerk), danwel een untrusted zone (alles dat daarbuiten ligt), waarbij elk een ander toegangsniveau meekrijgt. De firewall voor de client heeft een redelijke selectie aan voorgedefinieerde regeltjes, en het creëren van eigen instellingen voor inkomend en uitgaand verkeer is redelijk eenvoudig. Elke policy heeft ook zogenaamde 'enforcement' instellingen, dat eigenlijk gewoon Check Point-taal is voor NAC. In mijn scenario's werkte het allemaal prima.

De engine voor applicatiescontrole is eenvoudig te beheren en kan de uitvoer van programma's op zowel clients als servers tegenhouden. Beheerders kunnen met whitelisting logische applicatiegroepen aanmaken, zoals een groep met browsers, een groep met mailclients enzovoorts, en voor elke groep instellen wanneer wat uitgevoerd mag worden. Ik kon bijvoorbeeld aangeven welke browsers gebruikt mogen worden door de executables naar een groep te slepen, en deze op slot te gooien. Dit is zeer krachtig, maar eenvoudig in het gebruik.

De reporting enginge komt op eerste gezicht een beetje pover over, alsof de reportages en grafieken ontbreken. Maar vergeleken met Symantecs informatievloed is de bijna simplistische engine van Check Point een verademing. De drie belangrijke rapportagegroepen (endpoint monitor, endpoint activiteit en infectiegeschiedenis) geven een overzichtelijke kijk op wat er gaande is. Jammer alleen dat de infectiegeschiedenis niet verder dan 14 dagen terug gaat.

Check Point Endpoint Security – Secure Access Edition is een goed samenspel van bescherming en flexibiliteit. De verfijnde controle die elke policydefinitie biedt is erg aansprekend, en de onderverdeling tussen trusted en untrusted zones verdubbelt de voetafdruk van de beveiliging. Helaas wordt client nogal beperkt door zijn exclusieve ondersteuning voor Windows, en door het gebrek aan een push-mogelijkheid.

Eindcijfer: 7.8 McAfee Total Protection for Endpoint 4.0

McAfee Total Protecetion for Endpoint is een bundel van antivirus, antispyware, host-intrusion bescherming en NAC. Beheerplatform ePolicy Orchestrator vlecht dat alles bij elkaar, en versie 4.0 is een welkome opwaardering van de vorige versie. De reporting engine is helemaal vernieuwd, waardoor beheerders een bijzonder goede grip krijgen op de terugkoppeling die de software doet. Total Protection is, anders dan Check Point Endpoint Security, niet Windows-centrisch, en doet het ook op andere OS'en.

In eerste instantie moest ik het doen met een pre-release-versie van het installatiepakket, waardoor ik was aangewezen op een erg ingewikkeld script waar een regisseur als David Lynch trots op zou zijn. Gelukkig bleek later dat de uiteindelijke meegeleverde installer al het zware werk voor de beheerder opknapt, dus daar zul jij niet veel mee te maken krijgen. Op het specificeren van de database-engine na (ik kreeg te maken met MSDE), verloopt installatie relatief eenvoudig.

Ik ben erg te spreken over de selectie aan ondersteunde besturingssystemen die Total Protection biedt. Je kunt vanuit ePO alle Windowsversies (32 en 64-bits, inclusief NT 4.0 en SP6a) beheren, net als Novell Netware, Linux, Mac OS X, Citrix MetaFrame 1.8 en XP Tablet. Het is ook een grote plus dat een gemengde omgeving vanuit een enkele console valt te besturen, net als bij Sophos en Symantec het geval is.

De ePO-agent is op verschillende manieren op cliëntsystemen te installeren. Hier kunnen we wel pushen door de systemen te selecteren in ePolicy Orchestrator, en op 'deploy agent' te klikken. EPO synchroniseert ook met Active Directory, waardoor nieuw toegevoegde endpoints automatisch worden opgenomen door Total Protection. De orchestrator houdt het lokale netwerk voortdurend in de gaten, zodat de niet-beveiligde systemen er zo worden uitgepikt.

Het toewijzen en definieren van policies is met ePO lang niet zo intuïtief als bij de concurrentie. Het biedt toegang tot groepen, gebruikers, systemen, policies en meer, maar ePO lijdt aan een overdosis van drop-down menuutjes. Het is moeilijk om de policies in een oogopslag te vangen, en om een verdeling te maken tussen groepen of individuele clients.

Total Protection doet zijn naam bijna helemaal eer aan, en komt de belofte van complete bescherming goed na. VirusScan Enterprise en McAfee Anti-Spyware hebben twee scanniveau's, en bieden daarmee uitstekende realtime, on-demand bescherming op basis van zowel signatures als heuristische technieken. Total Protection had geen kind aan het herkennen van problemen, of het nou een dubieuzee webpagina of een geïnfecteerd bestand is.

Total Protection maakt gebruik van slechts één scanengine, waardoor de tol op systeemgeheugen beperkt blijft tot 80 MB. Een scan had 100 MB nodig, en gebruikte gemiddeld 37 procent van de processorkracht, met uitschieters van de volle 100 procent.

Om de desktop bij problemen af te schermen is er HIP (Host Intrusion Prevention) voor het blokkeren van applicaties, het firewallen van de client en het uitvoeren van algemene IPS rules. Net als met Trend Micro's Intrusion Defense Firewall kan de ict-afdeling regels aanmaken die aangeven welk verkeer wel en niet mag. De applicatieblocker is goed te noemen, maar zo fijn af te stellen als Check Point Endpoint Security is hij helaas niet. Beheerders kunnen bij elke policy slechts kiezen uit een 'toelaten' of 'weigeren' van een actie.

McAfee's product pakt de hoofdprijs met zijn reporting module. De reporting- en dashboardfuncties in de nieuwe ePO zijn uitgerust met een hoop nieuwe tools, waarmee de beheerder aangepaste reportages aanmaakt en deze aan het dashboard vastklemt. Het is zelfs mogelijk om meerdere dashboards aan te maken, waarmee hele groepen in de gaten worden gehouden. Het aantal voorgedefinieerde rapportages is verbluffend, en ik vond het een grote plus dat het aanmaken van nieuwe rapportages in meerdere formaten zo snel en makkelijk gaat.

Total Protection is een solide, goed afgewerkt pakket dat op alle fronten goed draait. De verbeterde reporting in ePO is een must, en de virus- en spywarescanners zijn erg goed. De brede ondersteuning maakt het zeer geschikt voor grote organisaties. Mijn grootste klacht is dat het moeilijk blijft om een goed overzicht van de policies op het scherm te toveren.

Morgen het tweede en laatste deel, waarin Sophos Endpoint Security, Symantec Endpoint Protection 11 en Trend Micro OfficeScan Client/Server Editie 8.0 worden besproken. Eindcijfer: 8.3

Vertaling: Michiel van Blommestein

Bron: Infoworld.com Bron: Techworld