Shavlik Netchk Protect im Praxistest
Sicherheit im Doppelpack
Security-Spezialist Shavlik vereint seit dem Herbst letzten Jahres sein Patchtool HF Netchk mit einer Spyware-Erkennung und -Entfernung. Die Verknüpfung dieser beiden Sicherheitsfunktionen in einer Lösung soll sowohl die Verwaltung vereinfachen als auch die Sicherheit der beteiligten Systeme erhöhen. Funktionsweise und Leistung hat sich LANline in einem Test angesehen.
Neben der Erkennung und Vermeidung von Viren tritt mittlerweile der Kampf gegen andere Formen
von schädlichem Code in den Vordergrund: Ob Spy-ware, Adware, Rootkits oder sonstige Malware,
unerwünscht sind sie alle. Netchk Protect von Shavlik soll derartige Formen von schädlichem Code
erkennen und abwehren, außerdem verteilt das Tool Patches. Für diesen Test stand uns die aktuelle
Version Netchk Protect 5.6 zur Verfügung. Die hohe Versionsnummer rührt daher, da das Tool als
Erweiterung des bestehenden Patch-Werkzeugs Netchk Pro dessen Versionsnummer fortführt. Shavlik
liefert die beiden Module allerdings auch separat.
Dass eine Verknüpfung mehrerer Sicherheitsfunktionen sinnvoll ist, zeigt nicht zuletzt die
Anzahl und Vielfalt der angebotenen Appliances in diesem Segment. Eine solche Kombination
vereinfacht die Verwaltung, denn die Erkennung und Entfernung von Viren und von Malware ähneln
einander sowohl aus der Sicht der Administration, aber auch des Benutzers: In beiden Fällen sind
Rechnergruppen aufzubauen, Rechte und Zeitpläne einzurichten, die Anwender über die anstehenden
Aktionen und Eingriffe zu informieren und Protokolle über die Ergebnisse zu verfassen. Diese
grundlegende Programm- und Verwaltungslogik dehnt Shavlik nun vom Virenscan auf die
Spyware-Vermeidung aus.
Bezüglich der Systemanforderungen verhält sich das Produkt sehr genügsam: eine CPU mit 500 MHz,
256 MByte RAM sowie 60 MByte Plattenplatz für das Programm zuzüglich einiger GByte für das Patch
Repository sollten genügen. Die Patches lädt das Tool bei Bedarf von Microsofts Website. Ihr Umfang
bestimmt die Größe des benötigten Platzes. Als Betriebssystem erwartet das Toolset entweder Windows
2000 mit SP3, Win-dows XP Professional mit SP1 oder Windows Server 2003. Ferner sind folgende
Softwaremodule erforderlich: Internet Explorer 5.5, Windows Installer 2.0, MDAC 2.8, MSJET 4 SP6,
MSXML 4 sowie das Dotnet-Framework 1.1.
Die Installationsroutine prüft zu Beginn des Setups, ob alle benötigten Komponenten auf dem
System vorhanden sind, und ermöglicht es, die fehlenden direkt aus dem Internet zu laden. Hier ist
allerdings Vorsicht geboten, da der Vorgang laut dem deutschen Vertriebspartner Prosoft nur die
englischsprachigen Komponenten lädt. Für deutschsprachige Systeme empfiehlt es sich stattdessen,
die Installation manuell vorzunehmen. Software und Dokumentation sind nur in einer englischen
Sprachversion verfügbar. Dies hat allerdings keinen Einfluss auf die Sprachversionen der zu
verteilenden Patches oder Spyware-Kennungen. Die Software unterstützt 13 Landessprachen, darunter
auch viele europäische. Die Dokumentation selbst ist online aus dem Programm abzurufen und bietet
zahlreiche Hilfen und Beschreibungen.
Für diesen Test verwendeten wir ein virtuelles Image von Windows 2000 Professional, alternativ
in einer zweiten Umgebung ebenfalls als Image Windows Server 2003 sowie Microsoft Virtual Server
2005. Die diversen Zielsysteme, die es auf Patches und Spyware zu untersuchen galt, waren
(größtenteils physische) Systeme unter Windows 2000 Professional und Server, Windows XP und Windows
Server 2003.
Funktion
Nach dem Setup, das in wenigen Minuten erledigt ist, fragt die Software die grundlegenden
Konfigurationsoptionen ab. Anschließend befindet sich der Anwender im Hauptbildschirm des Tools.
Hier erfährt man, dass das Tool – zum Testzeitpunkt – über 10.800 Patches und 90.500
Spyware-Kennungen verwaltet. Diese Informationen stammen direkt von der Shavlik-Website und
umfassen die Muster zur Erkennung von Spyware und Viren. Die eigentlichen Patches lädt das Werkzeug
hingegen wie erwähnt nur bei Bedarf nach. Die Option "Run disconnected" gestattet den Einsatz des
Tools ohne Internetanbindung. Dann sind die benötigten Patches allerdings separat
bereitzustellen.
Zuerst muss der Administrator dem Tool die zu untersuchenden Geräte mitteilen. Dazu dienen
Rechnergruppen, die er frei zusammenstellen kann. Zudem verfügt er über eine Reihe von
Konfigurationsoptionen, Signaturgruppen und Templates zur Gruppierung der Scan-Optionen sowie
Favoriten. Für den Test definierten wir mehrere Rechnergruppen, unterschieden nach
Betriebssystemen.
Die Gruppenzuordnung der Rechner kann über mehrere Wege erfolgen: nach Rechnernamen, Domäne,
Organisationseinheit, IP-Adressen sowie Informationen aus Dateien oder dem Active Directory.
Positiv fällt auf, dass diese Gruppen auch geschachtelt sein dürfen. Ferner lassen sich
Ausschlusskriterien für Geräte definieren und diese weiter filtern. Verbesserungsbedürftig ist der
Umstand, dass keine Änderungsmöglichkeit besteht: Hat man sich bei der IP-Adresse oder den Namen
vertippt, helfen nur Löschen und Neuerfassung.
Für die Patch-Suche hat der Hersteller drei Methoden definiert: Quick-Scan, Full-Scan sowie
Windows-Update-Scan. Die Methoden unterscheiden sich in der Tiefe der Suche. Sie reicht von der
Prüfung der Registry über die Existenz der Dateien, die den Patch ausmachen, bis hin zur Prüfung
der Dateiinhalte mit Prüfsummen. Neben diesen drei vordefinierten Scan-Varianten kann der Nutzer
eigene einrichten.
Die eigentliche Suche nach Spyware oder fehlenden Patches lässt sich sofort, einmalig oder
periodisch zu definierbaren Zeitpunkten durchführen. Dazu lädt das Tool die notwendigen Prozeduren
auf die zu untersuchenden Geräte. Ein Benutzer muss nicht am Gerät angemeldet sein. Wake on LAN
unterstützt Netchk Protect jedoch nicht. Eine feste Installation von Agenten ist ebenso wenig
notwenig wie eine Integration in eine Windows-Domäne. Erforderlich sind lediglich Accounts
berechtigter Benutzer.
Die zu untersuchenden Geräte scannt Netchk Protect zu den bestimmten Zeiten parallel. Im Test
war dies jeweils nach wenigen Minuten abgeschlossen. Die Ergebnisse bewahrt die Lösung für die
nachfolgende Bearbeitung auf. Dies ist entweder die Beseitigung (Remediation) der Spyware, die
Verteilung von Patches und Service-Packs oder einfach nur die Berichterstattung über den Zustand
der Geräte. Für Letzteres offeriert das Werkzeug mehrere Berichte.
Fazit
Netchk Protect erledigte im Test alle anstehenden Arbeiten korrekt, lediglich das GUI bedarf
stellenweise des Feinschliffs. Die Kombination aus Patch-Management und Erkennung von schadhaften
Code vereinfacht sicher die Verwaltung. Wer noch kein Spyware-Tool im Einsatz hat, findet hier
eines in Kombination mit einer etablierten Patch-Verteilung. Der Preis für eine 10er-Lizenz beträgt
318 Euro inklusive einem Jahr Support und Updates, die 100er-Lizenz schlägt mit 2841 Euro zu
Buche.
Info: Prosoft Tel.: 08171/405200 Web: www.prosoft.de/protect
Lesen Sie mehr zum Thema
