Pár hónapja a kezembe kaptam 3 cég vírusirtó szoftvereit, hogy próbáljam ki, teszteljem őket. A gond ott volt, hogy mindössze néhány napom volt csak a tesztelésre, így – nyilvánvalóan – nem születhetett korrekt eredmény. Emiatt sokat gondolkodtam rajta, hogy mi legyen ezzel a cikkel. Hónapokig el volt mentve a vázlatok között, többször is átírtam és végül is úgy döntöttem, hogy megosztom azt a kevés tapasztalatot amit a tesztidőszak alatt szereztem, valamint összegyűjtöttem pár szempontot, amiket szerintem érdemes figyelembe venni, ha vírusirtó beszerzését, vagy a meglévő szoftverünk lecserélését tervezzük. Nem győzöm hangsúlyozni, rendkívül rövid idő állt csak rendelkezésemre, ezért az itt leírtak nem feltétlenül mérvadóak, de persze azért van némi jelzésértékük.

 

Szempontok vírusirtó vásárláshoz

A vírusirtó vásárlás nagyon nagy felelősség, hiszen ha elkötelezzük magunkat egy gyártó terméke mellett, akkor hosszú időre az a szoftver fogja alkotni informatikai rendszerünk egyik kritikus védelmi vonalát. Ha több száz gépes rendszerhez tervezünk vírusirtót beszerezni, az ember nem találomra választ a piacon lévő termékek közül, hanem a vásárlást megelőzően informálódik, teszteket olvas, saját tesztelésre kér a cégektől próbaverziót és természetesen az árakat sem hagyja figyelmen kívül. Míg egy kisebb – két-három gépes – cég könnyedén átállhat másik termékre, ha nem jött be neki amit megvásárolt, egy öt vagy tíz gépes rendszernél egy ilyen lépésnek már elég komoly anyagi vonzatai vannak. Felelősségteljes döntésről van tehát szó, nem szabad elkapkodni. A saját véleményem, hogy vírusirtó vásárláskor az alábbi szempontokat kell szem előtt tartani:

1. A legfontosabb, hogy milyen hatékony védelmet nyújt az adott szoftver. A legkönnyebben erről első körben az interneten és szakmai folyóiratokban lehet tájékozódni. Rengeteg tesztet lehet olvasni, sokszor konkurens gyártók termékeit is összehasonlítják. Az általános tapasztalat azonban az, hogy a nagyobb gyártók termékei általában elég jól szerepelnek ezeken a teszteken, a gyakorlatban azonban már más a helyzet. Azt javaslom, hogy kezdjük itt, de ne higgyünk el mindent, amit olvasunk. Azokat a termékeket azonnal felejtsük el, amelyekről nem találunk teszteket. Ezek persze lehetnek nagyon jó, a piac számára még ismeretlen termékek, de ekkora beruházásnál ne mi legyünk a béta tesztelők.
2. Másik nagyon fontos dolog a szoftver stabilitása, megbízhatósága és a kompatibilitása a meglévő szoftvereinkkel. Ez az a szempont, amire nagyon nehéz tesztelni egy vírusirtót, hiszen előfordulhat, hogy bizonyos hibák csak hónapok múlva derülnek ki. Az ember sokszor nem is gondol ilyesmire, pedig bizony előfordulhat, hogy egy vírusirtó szoftver több gondot fog okozni, mint azt gondoltuk volna. Nem egyszer fordult elő, hogy bizonyos alkalmazások nem rendesen működtek vagy magának az operációs rendszernek a működését befolyásolta. Az egyik legemlékezetesebb esetem az volt, mikor a Windows nyomtatási sor kezelője folyamatosan lefagyott és néha újraindítani sem lehetett. Sohasem gondoltam volna, hogy vírusirtó okozhat ilyet, de igen. A legbosszantóbb persze az volt, hogy csak hónapokkal később jelentkezett a hiba. A vírusirtó eltávolítása és újratelepítése megoldotta a dolgot, de csak néhány hónapig, utána kezdődött minden elölről.
3. Harmadik szempont az erőforrásigény. A rendszerkövetelmény egy látszólag jól dokumentált adat mindegyik szoftver esetében, valójában azonban nem mérvadó a gyártók által feltüntetett érték. A gyártók leggyakrabban a memória felhasználással példálóznak, ez azonban nem minden. Egyáltalán nem elegendő azt néznünk, hogy mennyi memóriát, mekkora processzort és mekkora helyet igényel a merevlemezen. Fontos megnézni, hogy a vírusirtó ténylegesen milyen mértékben lassítja az alaprendszer és az általunk használt alkalmazások működését. Természetesen valamennyi teljesítménycsökkenéssel mindenképpen számolnunk kell, bármilyen vírusirtót is választunk, a mértéke az, ami nem mindegy. Fontos szempont viszont, hogy hiába gyors egy vírusirtó, ha nem nyújt elegendő védelmet és hiába nyújt valami megfelelő védelmet, ha közben annyira lelassítja a rendszer működését, hogy a munkavégzés szinte lehetetlenné válik. A lentebb olvasható tesztből érdemes kiemelni a McAfee és a Symantec megoldásának az eredményeit, ugyanis papírforma szerint a Symantec Endpoint Protection kevesebb erőforrást igényel, a McAfee megoldása a nagyobb memóriahasználat ellenére is a legtöbb esetben sokkal jobban teljesített, kevésbé lassította a munkavégzést.
4. A központi menedzsment és a távtelepítés szintén nagyon fontos szempont olyan szervezet esetén ahol elég sok számítógépre kell telepíteni a vírusirtót. Nyílván rengeteg időt visz el, ha minden egyes gépre egyenként kell telepíteni a szoftvert és egyenként kell elvégezni minden beállítást. Ezeknek a megoldásoknak a kezelhetősége szintén nem elhanyagolható tényező, de a megfelelő védelem, a stabil működés nem áldozható fel a kényelemért cserébe. Ha egy szoftver jól működik, megfelelő védelmet nyújt és az erőforrásigénye is elfogadható, de a központi menedzsmentje esetleg egy kicsit körülményesebb, mint amit megszoktunk, akkor ezt a kis kényelmetlenséget érdemes bevállalni.
5. Szintén nem elhanyagolható szempont az ár. Általános tapasztalat, hogy az informatikai jellegű beruházásokat nem egyszerű átverekedni a cégvezetésen. Akié a végszó az általában csak egyetlen egy szempontot tud/akar figyelembe venni, ez pedig a költség, márpedig ha egy jól működő, stabil, aránylag gyors szoftver kicsit többe kerül, mint a vetélytársai akkor nem szabad, hogy az ár legyen a döntő tényező. Ha a drágább megoldás egyértelműen jobb, akkor hosszú távon az lesz az olcsóbb megoldás, hiszen nem megy el idő a vírusirtó szoftver problémáinak a kezelésével és a bejutott vírusok által okozott károk elhárításával. Persze az is igaz, hogy nem mindig a drágább a jobb és néha azon tudnak értetlenkedni emberek, hogy miért az olcsóbb változatot szeretnénk, holott a drágább biztosan jobb vagy sokkal többet tud. Itt kell mérlegelni, hogy milyen szolgáltatásokat tartalmaz az adott vírusirtó szoftver és ebből nekünk pontosan mire is van szükségünk. 

Akkor következzenek a tesztek. Nem győzöm hangsúlyozni, ez nem egy korrekt teszt, a rövid idő miatt nem is sikerült az összes szoftver minden funkcióját kipróbálni. Mondjuk, ha kevesebbet kellett volna szívni a Symantec szoftverével, akkor azért valószínűleg több idő jutott volna a másik kettőre.

 

Symantec Endpoint Protection 11 (SEP)

1. A program telepítése utáni első vírusminta letöltés nagyon lassú volt ráadásul, mint kiderült, valójában nem is frissült a szoftver. Semmilyen hibaüzenetet nem kaptunk sőt, a program szerint olyannyira rendben volt minden, hogy az augusztusi vírusminták ellenére is az szerepelt a védelem állapota mellett, hogy OK. Első körben persze azonnal lefuttattam kézzel is a LiveUpdate-et de itt egy újabb hibába ütköztem, erről bővebben a 4-ik pontban . További vicces dolog, hogy véletlenszerűen néhány funkciónál egyszer csak jelezni kezdte a hibát a szoftver. Például az egyik gépen a vírusminták bár több hónaposak voltak, nem kaptunk hibajelzést, viszont a Proactive Threat Protection-nél már kiabált, hogy baj van.
2. Telepítés után néhány gépen a védelem folyamatosan ki- és bekapcsolt, amíg ismét újra nem lett indítva a számítógép. Persze telepítés után mindenképpen újra kell majd indítani a gépet, hogy a szoftver minden funkciója megfelelően működjön de alapvetően a telepítés után már működnie kellene a programnak.
3. Az Alcatel PimPhony nevű telefonközpont alkalmazásban nem lehetett hívást kezdeményezni, átadni és nem látszódtak a jelzések (foglalt, szabad, átirányítva) a mellékek mellett, miután felkerült a SEP a gépre. Gyakorlatilag használhatatlanná vált az egész rendszer. Hozzáteszem, sajnos ez egy elég gyenge kis gép, de a minimális rendszerkövetelményeknek tökéletesen megfelelt. Itt jön elő az amit már írtam, hogy hiába a minimális rendszerkövetelmény, egyáltalán nem biztos, hogy teljes mértékben fedi a valóságot. Ha használni is akarunk valamit a gépen a vírusirtó mellett akkor a döntés előtt nem árt letesztelni a cégünk leggyengébb gépein a vírusirtót.
4. Jöjjön a már korábban említett LiveUpdate hiba. A hibajelzéseknél lehetőségünk van egy javítás gombra kattintani, ami elindította ugyan a Liveupdate-et de az csak hibaüzenettel futott le. A hibaüzenet röhejes volt, a program szerint ugyanis nem volt elég hely a merevlemezen, hogy letölthesse a frissítéseket (Hibakód: LU1866). Elárulom, a rendszer partíción közel 40 Gb szabad hely volt és a többin sem volt helyhiány. A hibára rákeresve ugyan találtam egy megoldást a Symantec honlapján – igaz, csak a Norton 360-as verzióhoz –, amely szerint a frissítéshez legalább 500 MB szabad hely szükséges. Ezt azért én kicsit viccesnek találtam de mint írtam, ez nem lehetett probléma mert a szabad tárterület több Gb volt… Akit érdekel, az ITT elolvashatja a Symantec hivatalos válaszát a problémára. Végül a Symantec Magyarország segítségével lett megoldva a probléma. Azt javasolták, telepítsek helyi LiveUpdate szervert, mert az egy teljesen más forrásból frissíti magát mint a sima LiveUpdate. Ahhoz viszont, hogy a klienseknek be tudjam állítani a helyi LiveUpdate szervert, fel kellett rakni egy Endpoint Protection Manager-t is. Lehet, hogy egyszerűbben is meg lehetett volna adni valami konfig fájlban, hogy honnan frissüljön a vírusirtó de mivel a központi menedzsment részt sem árt megismerni ezért inkább fel lett telepítve a Manager is. Így már működött a frissítés, de a LiveUpdate szerver működése problémás volt, sokszor leállt a szolgáltatás mikor menteni akartam a beállításokat.
5. A vírusirtó alapbeállításokkal telepítve több mint 400 Mb helyet foglalt a merevlemezen. Nem mondom, hogy a mai háttértár méretek mellett ez olyan nagy tragédia, de a többi cég termékeihez viszonyítva kirívóan sok.
6. Memóriahasználat üresjáratban nagyjából így néz ki: Smc.exe (8 Mb), Smcgui.exe (7Mb / user), ccSvcHst (2,5 Mb), Rtvscan.exe (4,6 Mb), ccApp (Kb 0,6 Mb / User): Összesen Kb 23 Mb

Sajnos azt kell mondanom, hogy a Symantec Endpoint Protection-el volt a legtöbb negatív tapasztalatom. Alapbeállításokkal telepítve rendkívül problémás és erőforrás zabáló szoftver. Az a véleményem, hogy ha egy szoftver alapból ennyire problémás, azt inkább kerülni kell. A központi menedzsment része viszont nem rossz, de a LiveUpdate szerver elég instabilnak bizonyult. Helyi LiveUpdate szerverek telepíthetőek, van policy alapú menedzselési lehetőség és távtelepítés, ami viszont egy nagy vicc. (Ezt most nem részletezném mert előkészületben van egy cikk ami kifejezetten a Symantec Endpoint Protection-ről fog szólni.) Az már csak hab a tortán, hogy ez a szoftver lassította a legjobban a gépeket dacára annak, hogy hivatalosan ennek a legkisebb a memória igénye…

 

Computer Associates (CA) eTrust Antivírus 8.1 és PestPatrol

1. Az első vírusminta frissítés itt is elég lassan zajlott le, ráadásul itt is volt probléma a frissítésekkel. A frissítési beállításoknál, a szerverek listájánál van rá lehetőség, hogy proxy-t állítsunk be. Ha az Explorerben be van állítva a proxy szerver, akkor egyéb alkalmazásokban már nem kellene újra megadni. Elméletileg legalábbis nem, ez a szoftver viszont nem vette figyelembe az Explorer beállításait. Ez persze önmagában nem lenne gond, hiszen utólag is be lehetne állítani, azonban az így konfigurált gépek jó része nem frissült rendesen. Az antivírus mintákat letöltötte, a PestPatrol mintákat viszont nem. Azokon a gépeken ahol az update szervernél azonnal be lett állítva a proxy szerver is, ott gond nélkül lefutott a frissítés (Antivirus és PestPatrol is).
2. Alapértelmezett beállításokkal telepítve újraindítás után letiltja a VNC szolgáltatást, ami elég nagy hiba szerintem, ugyanis rengetegen használják ezt a programot a gépek távoli menedzselésére. A Pespatrol – ez a CA Spyware irtója – viszont Spyware-nek érzékelte a VNC szervert és szépen letiltotta a szolgáltatást. Két gépen teszteltem, az egyiken miután próbáltam kézzel újraindítani a VNC szervert, le is törölte az exe fájlt a gépről. A PestPatrol beállításainál meg lehetett ugyan adni, hogy bizonyos alkalmazásokat ne blokkoljon, viszont van egy gyári lista a szoftverhez és csak az abban szereplő alkalmazásokat lehetett hozzáadni a kivételekhez. Rákeresve a VNC-re és az összes találatot hozzáadva a kivételekhez, még mindig tiltotta a VNC-t. Hiányoltam azt a lehetőséget, hogy kézzel kitallózhassam a winvnc.exe-t és hozzáadhassam a kivételekhez.
3. Volt szerencsém korábbi eTrust verziókhoz. A 8.1-es a 6-os és a 7-es változatokhoz képest sokkal stabilabban működött. A 7-es például Windows 98 és NT4 operációs rendszereken előszeretettel vágta haza időnként a Windows nyomtatási sor kezelőjét de annyira, hogy csak a vírusirtó eltávolítása és újbóli feltelepítése oldotta meg a problémát, ráadásul csak időlegesen, mert néhány havonta menetrendszerűen elő szokott fordulni a probléma. Tudom, ezek már nem mai oprendszerek de számomra ez egy hihetetlen hiba volt mikor belefutottam, nehezen tudtam megemészteni, hogy egy vírusirtó ilyen problémát okozhat. A 7-es egyébként XP alatt is okozott nyomtatási problémákat de jóval kevesebbet.
4. A 8.1-es verzió PestPatrol nélküli változata egy viszonylag kis erőforrás igényű és korrektül menedzselhető szoftver. Nagyon jó a távtelepítője, a felhasználó szinte semmi sem vesz észre abból, hogy a gépére felkerült az új verzió. A megbízhatósága viszont már más kérdés, ugyanis sokszor nem fogott meg olyan vírusokat amelyeket a más gyártó termékei igen. Néha nagyon lassan jöttek ki hozzá a megfelelő vírusminták. Láttam már olyat, hogy megfogta ugyan a vírust és a fertőzött fájlt valamennyire sikerült is megjavítania, de néhány hónappal – igen, néhány HÓNAPPAL – később az egyik vírusminta frissítés után a korábban fertőzött de megjavított fájlokat ismét vírusosnak találta és újból megjavította… Ha ez még nem lenne elég, sok téves riasztást is generált, a Micorosft gyári vbs szkriptjeit például gyakran vírusnak érzékelte.
5. A PestPatrol-al bővített változatra minden igaz a fent leírtak közül, csak egyrészt sokkal több erőforrást eszik, másrészt pedig pocsék a konfigurálhatósága, lásd 2-es pont.
6. Memóriahasználat üresjáratban nagyjából így néz ki: Inorpc.exe (11,1 Mb), Inort.exe (27,6 Mb), Inotask.exe (31,5 Mb), Realmon.exe (Kb 7,6 Mb – Kikapcsolható): Összesen Kb 77,8 Mb

Mivel eddig mindegyik verziójával volt valami komolyabb problémám ezért én nem ajánlom a beszerzését senkinek. A vírusminták néha nem megfelelő gyorsasággal érkeznek és egy új vírushoz kiadott első változatok gyakran csak felismerni és blokkolni tudják az adott vírust, a fertőzött fájlokat javítani nem. Sok a téves riasztás is. PestPatrol nélkül nem sokat ér, PestPatrol-al viszont nagyon erőforrás igényes és az is gyakran tévesen blokkol alkalmazásokat. Ugyanakkor jól menedzselhető, jó a távtelepítője. Ha jól tudom, akkor most már a piacon van az újabb változat is, tehát van rá esély, hogy a leírt problémák közül sokat kijavítottak, mindenesetre én ennyi szívás után tutira nem venném meg.

 

McAfee VirusScan Enterprise

1. Az első vírusminta frissítés itt is lassú volt és közben a gépeken semmilyen haladásmutatót nem lehetett látni így kicsit olyan érzés volt, mintha megállt volna a program működése. A látszat ellenére hiba nélkül lefutott a telepítés mindegyik tesztgépen, és semmilyen problémát nem tapasztaltam a frissítéseknél.
2. Sajnos erre a szoftverre jutott a legkevesebb idő így a központi menedzsment részéről például semmit sem tudok mondani.
3. Bár a memória felhasználása a SEP-hez képest a duplája, a gépeket ez lassította a legkevésbé és a programok működésében sem okozott fennakadást.
4. Memóriahasználat üresjáratban nagyjából így néz ki: Engineserver.exe (2 MB), McShield.exe (35,8 Mb), Mfeann.exe (4,6 Mb), Mfevtps.exe (10,9 Mb), Vstskmgr.exe (0,8 Mb), Shstat.exe (Kb 0,8 Mb / user – Kikapcsolható): Összesen Kb 55,1 Mb

Sajnálom, hogy erről tudok a legkevesebbet írni, pedig ez tűnt a legígéretesebbnek. Igaz már magának a programnak a kinézete is elég fapados de legalább nem terheli agyon a gépet és nem utolsó sorban még működik is, például alapbeállításokkal, mindenféle bűvészkedés nélkül probléma nélkül le tudta frissíteni magát.

 

Akkor most melyik a jó?

Erre a kérdésre nem igazán tudok kielégítő választ adni. Egy biztos: Symantec-et és eTrust-ot tutira nem vennék. A fentiek közül a McAfee tűnt a leghasználhatóbbnak, ez a lista azonban nagyon rövid, hiányzik róla számos, neves gyártó terméke. Szívesen kipróbáltam volna például az F-Secure legújabb változatát. A SEP-ről egyébként lesz majd egy külön cikkem amiben összeszedem az eddigi tapasztalataimat, ugyanis úgy hozta a sors, hogy azzal elég behatóan meg kellett ismerkednem, az "élmények" pedig egyre csak gyűlnek…

Hasonló bejegyzések:

1. Symantec Endpoint Protection 11 (SEP)
2. Eset NOD32 Antivírus teszt
3. Symantec Norton Antivirus 2003-2007
4. Számítógép kiválasztása
5. Látogatás a Sicontact Kft.-nél

Címkék: CA, Computer Associates, eTrust Antivirus, f-secure, McAfee VirusScan Enterprise, PestPatrol, SEP, SEP Manager, Symantec Endpoint Protection, Symantec Endpoint Protection Manager, Vírusirtó

Ez a bejegyzés 2009. július 13. hétfő 5:00-kor készült és a következő kategóriákban található: Szoftver. Valamennyi hozzászólás követhető az RSS 2.0 hírcsatornán keresztül. Hozzá lehet szólni, vagy küldhető visszajelzés a saját oldalról.