企业版杀毒软件测试报告.doc

杀毒软件测试报告制作人：XXX日期：2012.05.29目录一、介绍31.概述32.测试环境33.测试准备3二、测试产品3三、一览表4四、详细测试内容4lESET4u简介4u安装服务及控制台4u控制台6u设置更新7u推送安装客户端9u客户端11u总结13lSymantec13u简介13u服务端部署13u客户端部署15uSymantec Endpoint Protection Management16u主页16u监视器17u报告17u策略18u计算机18u管理员19u客户端20u杀毒测试24u小结25lMcAfee26u简介26u服务器部署26u控制台29u推送安装客户端31u客户端33u总结35lTrend Micro35u简介35u服务端部署35u控制台37u推送客户端40u客户端41u总结46五、总结46一、 介绍1. 概述随着网络上病毒的日益猖狂，类型的日新月异，虽然公司局域网中的电脑处于防火墙的保护下，但对各个电脑的病毒保护也不能忽视。因一直使用的企业版杀软从上年开始就无法正常更新，在网上也无法找到可用更新包，所以计划对杀毒软件进行更换，选取了几款比较权威的外国杀毒软件进行测试。2. 测试环境使用1实体机充当服务器端，3台实体机充当客户端，都加入域。服务器windows server 2003 R2 Enterprise 64X SP2客户端客户端A: windows XP professional 32X SP3客户端B: Windows 2000 professional 32X SP4客户端C: Windows 7 旗舰版 32X SP13. 测试准备完成服务器及客户端系统及软件的安装调整。因为对企业版的杀毒软件并没多大了解，所以需要在网上查找相关资料，对几个产商及相关产品进行了解。决定需要测试的产品后，到官网或论坛下载对应的产品安装包、说明文档及可用的序列号。因为测试环境有限，查杀能力主要参考av-comparatives的测试报告。同时使用卡饭杀毒论坛其中的一个病毒样品进行测试，病毒样品数为62个。二、 测试产品测试产品：ESETS/zh/cn/McA/cn/Trend M三、 一览表控制台推送安装客户端资源占用总评ESET44454Symantec444.534McAfee44.5544.5Trend Micro43444（分值：1-5）参考网站： / 四、 详细测试内容l ESETu 简介ESET公司产品中用于windows系统的主要包括EAV（反病毒软件）和ESS（安全套装），企业版有单独的服务端和控制台软件。所有产品都可以在官网上进行下载，下载企业版需要使用账号。下载软件的同时可以在下载页面找到对应的用户手册。每个软件体积并不是很大，所以下载所需产品不许要太长的时间。u 安装服务及控制台NOD32控制台与服务端分开两个安装包，安装服务时选择自定义模式，需要手动设置的内容较多，但也是比较简单的设定。在安装过程中需选择数据库类型与数据库存放位置，access数据库默认存放与C盘all user文件夹内，需手动更改存放位置。设置更新账号、密码、SMTP服务器以及许可证文件导入都可以在安装完成后进行修改。控制台的安装比较简单，只需要选择安装位置以及服务名称即可。u 控制台输入密码连接服务并登录控制台，主界面如下：控制台界面较为简洁，界面右方默认显示的是服务器及受控客户端列表，通过点击右下方的标签或右上方的图标可切换至日志、任务、报告、远程安装等窗口。控制台的可控客户端数量由许可证决定，没有许可证的情况下可控客户端数量为2。控制台只提供多个单独固定选项生成报告，无法自定义报告。所生成报告以网页形式显示。u 设置更新局域网内客户端的更新可通过服务器创建更新镜像实现，但需要有许可证和更新账号，创建更新镜像后系统会自动生成名为mirror的文件夹，该文件夹会存放用以更新的病毒库文件。把mirror文件夹共享。在客户端上设置更新地址为共享文件夹路径，即可成功更新。u 推送安装客户端控制台会自动搜索处于域中非受管计算机，其对客户端的操作都是以任务的形式进行。要远程推送安装客户端，首先要把安装包添加到控制台。在列表中右键进入“管理程序包”页面，添加下载的安装文件。添加安装包后可对客户端参数进行设置：右键点击计划推送安装计算机，选择“推送安装”。输入管理员账号进行安装（默认静默安装）:在测试过程中偶尔会出现推送安装失败的情况，但在任务提示中并没有详细的失败信息。三个版本系统客户端的使用并没出现不兼容的情况。控制台的推送安装功能并不仅限于杀软客户端，还可以推送各种msi安装包。u 客户端考虑到受控客户端都处于局域网内，并不需要个人防火墙，所以选择了EAV进行测试。EAV用户界面较为简洁，以绿色作为主色调。默认策略下，用户对EAV拥有所有的权限，可在控制台中修改策略以限制用户权限。客户端在非扫描的情况下内存占用约为50M，进行扫描时内存占用约为90M-120M，CPU占用会根据用户使用情况而改变。在系统使用过程中没明显感觉到系统运行变缓慢的情况。病毒样品查杀率为91.9%EAV有一个叫SysInspector的工具，它可以收集系统信息生成包含进程、网络连接、注册表等信息的系统快照，以不同颜色列举出存在不同危险程度的事项，从而方便管理员查找出存在威胁的事项。u 总结在测试ESET产品的过程中可以明显的感受到它的特点就在于简洁易用。无论是服务端部署还是控制台功能模块的使用都很容易上手。客户端在不占用大量系统资源的同时提供安全可靠的服务。l Symantecu 简介Symantec Endpoint Protection 是Symantec公司推出的一款将Symantec AntiVirus 与高级威胁防御功能相结合的企业级电脑防护软件，可以为笔记本、台式机和服务器提供较好的恶意软件防护能力。Symantec Endpoint Protection在一个代理和管理控制台中无缝集成了基本安全技术，从而不仅提高了防护能力，而且还有助于降低总拥有成本。该产品并没限定服务器及客户端数量，只需输入正确序列号即可正常使用，无序列号的情况下只能试用30天。u 服务端部署我们这次测试的是Symantec Endpoint Protection的small business edition版。这款防护软件的服务端与客户端都是在同一安装包内，通过官网可直接下载。打开压缩包会自动进行解压并启动安装程序，择定制模式进行安装。安装服务端的同时必需同时安装管理服务器、控制台还有受管客户端。按照正常的安装步骤安装管理服务器和控制台。安装程序会提示你，安装该防护体系套件需要的最小配置。u 客户端部署客户端的部署有两种类型可供选择，这次我们选择新软件包部署。根据客户端电脑的软硬件属性安装软件包、组、安装功能集等选项。并远程推送至客户端主机。u Symantec Endpoint Protection ManagementSymantec Endpoint Protection Management 是Symantec Endpoint Protection服务器管理平台。它集成了对服务端和客户端的所有管理功能，这些功能包括主页、监视器、报告、策略、计算机和管理员。u 主页主页是一个整个防御体系的一个状态汇总，它显示了平台的安全状态，端点状态、许可证状态、病毒和风险活动摘要等内容。u 监视器监视器页面可以查看防御体系服务器收集起来的各种信息。u 报告报告页面可以允许管理员根据需要生成扫描、网络威胁防护、风险和计算机状态这四大类型的报告，有助于网络管理员对网络安全的整体状况和个别重点问题进行掌控和分析。调度报告可以每天每周的向管理员发送各种报告。u 策略Symantec Endpoint Protection 防御体系有五种策略病毒和间谍软件策略、入侵防护策略、防火墙策略、liveupdate策略和例外策略。这些策略可以灵活的组合并分配给不同的计算机组，给了管理员比较大的管理灵活性。u 计算机计算机页面可以让管理员方便的浏览整个防御体系内的所有计算机组和属于这个组的成员，并且还可以看到被分配到这个组的各种策略。除此这外，管理员还可以对组或是某个组的客户端的属性进行编辑或是向组和客户端发送任务命令。u 管理员管理员页面提供了对管理员账户、系统服务器属性与liveupdate还有许可证的管理。可以为防御体系创建多个管理员账户并为其分配管理操作权限，为防御体系的管理提供了安全的管理方案。u 客户端Symantec Endpoint Protection客户端是由主控端推送并安装到客户端主机上的。它是这个防护体系为客户端主机提供保护的具体实施者。它为客户端主机提供了强大的防护功能。它主要包括：病毒和间谍软件防护，主动性威胁防护和网络威胁防护（主要是防御来自Web的防护）。在状态界面下，用户能看到各种防护定义的版本，并对该防护功能选项进行配置。Symantec Endpoint Protection客户端的扫描功能也比较强大，它分为活动扫描和全面扫描。客户端用户可以根据自己的喜好设定扫描参数。客户端用户可以在更改设置板块中，更改病毒和间谍软件防护，网络威胁防护和例外等配置设置。客户端可以根据自己的需求来配置相应的保护，但是大部分的配置都已经被主控制端配置并锁定，无法更改。客户端用户可以再隔离区查看Symantec Endpoint Protection扫描到并隔离的受感染文件或是病毒木马文件。用户可以查看这些文件的一些基本属性如：路径、文件名称和风险等，也可以单击导出按钮将整个报表导出方便分析查看。用户也可以根据自己的判断还原或是删除被隔离的文件，还可以将自己判断是受感染的文件放入隔离区。用户如果不放心本次查杀的结果，可以待软件更新后重新扫描这些受感染文件。用户觉得有必要的话单击提交按钮就能把此次查杀的结果报告提交给symentec公司。Symantec Endpoint Protection客户端的日志系统比较细致。它分别为病毒和间谍软件防护、主动威胁防护、网络威胁防护和客户端管理记录了相关的几项日志。如病毒和防护功能下就有三种日志：扫描日志、风险日志和系统日志。这些日志有助于帮助网络管理员判断网络安全情况和判断网络安全缺口。客户端需要升级时，单机操作界面上的LiveUpdate按钮就可以自动连接更新服务器下载更新。这种更新方式在大型网络有点不太可取，如果客户端数量过大，容易造成通信拥堵，影响正常上网，如果分批次进行更新，则需要综合考虑网络管理人员的时间安排和客户端主机使用者的配合，处理起来比较麻烦，最好的办法是下载病毒定义包后在客户端进行离线更新。u 杀毒测试将从互联网上收集下的一些病毒样本放到装有Symantec Endpoint Protection客户端的主机上进行杀毒测试。Windows 2003 server操作系统主机：病毒和间谍软件防护定义为2012年5月24日r19版本,主动威胁防护定义为2012年5月17日r11版本，网络威胁防护定义为2012年5月24日r1版本。杀毒样品包为vir.Sample-110211.rar，其中包含病毒样品60个。查杀结果：还剩下：三个病毒样品未被查杀。未被查杀的病毒样本Windows XP操作系统主机病毒和间谍软件防护定义为2012年5月16日r17版本,主动威胁防护定义为2012年5月8日r11版本，网络威胁防护定义为2012年5月16日r1版本。杀毒样品包为vir.Sample-110211.rar，其中包含病毒样品60个。查杀结果：还剩下：三个病毒样品未被查杀。未被查杀的病毒样本Windows 2000操作系统主机病毒和间谍软件防护定义为2012年5月16日r3版本,主动威胁防护定义为2012年5月16日r3版本，网络威胁防护定义为2012年5月16日r1版本。杀毒样品包为vir.Sample-110211.rar，其中包含病毒样品60个。查杀结果：还剩下：三个病毒样品未被查杀。未被查杀的病毒样本u 小结经测试，Symantec Endpoint Protection防护软件的整体防护性能能够满足我公司的病毒防护需求，但是其客户端软件占用的系统资源（主要是内存）比较多，静默开启有70M左右，正在病毒文件防护时占用资源达到了200M左右，并且操作系统整体CPU利用率持续在100%比较长的时间，这对于公司机型比较老的主机来说负荷过重，比较影响公司电脑的正常工作。综合看来这款防护软件不太适合我公司的网络综合环境。l McAfeeu 简介Mcafee是全球第二大的杀毒和安全软件公司，它的产品不光依靠启发式技术与病毒特征库来防御病毒，还依靠着拥有强大功能的防护规则来保护电脑的正常运行。虽然Mcafee很受企业用户的欢迎，但因为它所使用的防护规则过于复杂，所以很多的家庭用户对它望而却步。这次测试服务器端使用的是epo4.6，客户端使用mcafee agent4.6和VSE8.8SP1。u 服务器部署解压下载的安装包双击安装程序进行安装。epo4.6只能使用SQL作为数据库，可选择安装SQL2005或使用本机已有SQL。如选择已有SQL，需输入数据库服务器及身份验证信息。安装程序会显示epo所使用的端口并检查是否被占用。输入管理员用户名与密码。输入许可证密钥或使用评估版。最后选择接受许可完成安装。u 控制台epo使用的是b/s模式，所以控制台以网站形式显示，在不同电脑也可通过浏览器运行。epo并不支持IE9，所以系统如果使用的是IE9，需选择其它核心的浏览器。第一次打开控制台会有“引导式配置”，该设置会简单的教导管理员整个控制台的标准管理及客户端部署流程。“信息显示板”：可以查看受控客户端的威胁状况、系统日志等实时信息。“主储存库”：用以存放病毒特征库、查杀引擎、杀毒客户端等软件，可导入通过网络下载的软件。“策略目录”：可对受控客户端进行策略规则的设置。“系统树”：受控客户端的列表，可修改客户端策略、分发任务、推送安装产品、更新等操作。因为没有找到中文的说明文档，对控制台的熟悉耗费了一段时间，需注意的是对已迁入的产品进行策略管理，需要在产品扩展模块把对应产品进行添加操作。u 推送安装客户端Mcafee控制台对客户端的管理与其它的企业版杀毒软件不一样，它无法对客户端直接进行管理，需要通过代理软件mcafee agent进行。所以在推送杀毒客户端前首先要推送安装mcafee agent。在“系统树”窗口选择“新建系统”。选择安装mcafee agent版本，输入需部署的电脑名称与管理员账号密码，点击确认进行安装。安装过程默认为静默模式。在部署mcafee agent成功后即可运行客户端任务进行客户端部署。选择产品部署任务，如果不使用引导时所创建任务，可创建新任务。客户端安装默认也是静默模式。测试发现Mcafee agent4.5和VSE8.7以上版本均不支持win2000系统。因没找到8.7以下版本，无法测试兼容2000系统的客户端版本。u 客户端Mcafee VirusScan Enterprise 8.8主界面非常简单，主要列出它的几个防御功能。所有的设置可以通过控制台进行，也可以直接在客户端上修改。只要拥有管理员权限，可以直接通过本地客户端连接到别的用户进行客户端的设置。在测试中客户端使用的是系统的默认规则，非主动扫描时，VSE内存占用约为60M。可对主动扫描进行设置决定对CPU的使用率，把设置选择“低于正常水平”即可使CPU占用率控制在50%左右。使用病毒样品包测试查杀率为100%。同时在全盘扫描时发现了盗号病毒“潜行者”，该病毒会感染sfc_os.dll文件，使很多杀毒软件无法检测到。因为sfc_os.dll文件主要用于系统文件保护，所以删除后系统会出错，只能通过在别的系统上从新复制来处理。u 总结Mcafee VirusScan Enterprise 8.8虽然没有各种特色的功能，但它拥有着强大的杀毒引擎和安全规则。因为对规则还不熟悉，所以测试中使用的是默认规则，无法测试出其防护规则的防御效果，但其病毒防御及查杀能力的确是值得信赖的。l Trend Microu 简介趋势科技是在这次测试当中唯一带点亚洲味道的杀软厂商，总裁是华裔，成立于美国，于日本上市。因为它的产品分类实在太多，并不像其它厂商那么明确，所以参考av-comparatives的测试报告选择了中小企业版的“趋势科技安全无忧软件7.0”。该产品并没限定服务器及客户端数量，只需输入正确序列号即可正常使用，无序列号的情况下只能试用30天。u 服务端部署安全无忧软件服务器及客户端都在同一压缩包内，通过官网可直接下载。打开压缩包会自动进行解压并启动安装程序，择定制模式进行安装。选择服务器安装的组件，默认安装管理服务器及客户端：因为控制台是以IIS服务形式远程连接，所以需选择服务器以域名标示还是以IP标示：如果之前选择了在服务器安装客户端，则在安装服务器完成后会出现选择安装客户端功能模块的步骤：u 控制台“实时状态”控制台与服务端为B/S模式，所以控制台以网站形式显示。打开控制台默认显示的是“实时状态”，可查看网内受控客户端的安全情况。“安全设置”：在该页面下管理员可进行推送安装客户端、设置客户端策略、远程杀毒等动作。对受控客户端进行日常的管理。“爆发防御”：这是该产品的一个特色功能。当出现全球性的病毒爆发时，趋势科技的安全管理服务器会自动响应，提供相关信息及应对措施。同时，该功能还会检测出容易收到攻击和需处理的计算机。“扫描”：管理员可对受控客户端进行手动或预订扫描，但该功能只能对组而不是对单个客户端进行控制。“报表”：管理员可通过该功能生成一次性的安全报告，也可以通过设定模板让系统定时生成报告并发送到管理员邮箱。“首选项”：进入该模块的“全局设置”就可以对控制台及客户端的策略进行设置，设置选项有位置感知、支持部门通知、过滤URL等。u 推送客户端控制台可对非受控计算机进行远程安装客户端，与前面测试的几款杀软不同的是，安装的计算机需开启remote registry服务。推送安装时并没有设置选项，默认为静默安装，在使用win7测试时发现有命令行窗口弹出的情况。u 客户端趋势安全无忧软件的客户端比NOD32还要小巧。客户端后台运行非扫描状态下只占用约50M内存，但系统启动加载较慢。使用8.998.71（2012-05-15）病毒库，病毒样品查杀率为100%。拥有着高查杀率的同时，其误杀率在av-comparatives的测试结果中也很高。扫描状态默认设置CPU占用率不会超过50%。在测试中发现在安装有360安全卫士的计算机上安装趋势客户端，客户端主进程会一直处于高CPU占用状态。在网上查找资料后发现由趋势兼容性规则引起，需先把360卸载，在趋势客户端安装完成后再安装360。将鼠标移到主窗口右下方图标会显示该客户端正使用功能模块。点击主窗口左下方文字连接可直接打开outlook向管