Integritätsprüfung der Anwendungskomponenten

Kaspersky Endpoint Security enthält eine Vielzahl verschiedener binärer Module in Form von dynamisch verbundenen Bibliotheken, ausführbaren Dateien, Konfigurationsdateien und Dateien der Oberfläche. Angreifer können ein oder mehrere ausführbare Module oder Dateien der Anwendung durch andere Dateien ersetzen, die bösartigen Code enthalten. Um einen solchen Austausch von Modulen und Dateien zu verhindern, bietet Kaspersky Endpoint Security die Funktion zur Integritätsprüfung der Anwendungskomponenten. Die Anwendung überprüft Module und Dateien auf nicht autorisierte Änderungen und Schäden. Ein Modul oder eine Datei von der Anwendung mit einer nicht korrekten Prüfsumme gilt als beschädigt.

Eine Integritätsprüfung wird für die folgenden Komponenten der Anwendung durchgeführt (sofern auf dem Gerät installiert):

• Anwendungspaket
• Paket der grafischen Benutzeroberfläche
• Paket des Kaspersky Security Center Administrationsagenten
• das Verwaltungs-Plug-in für Kaspersky Endpoint Security

Die Anwendung überprüft die Integrität der Dateien, die in gesonderten Listen aufgeführt sind und Manifestdateien genannt werden. Jede Anwendungskomponente verfügt über ihre eigene Manifestdatei, die eine Liste von Anwendungsdateien enthält, deren Integrität für den korrekten Betrieb dieser Anwendungskomponente wichtig ist. Der Name der Manifestdatei ist für jede Komponente gleich, der Inhalt der Manifestdateien ist jedoch unterschiedlich. Die Manifestdateien werden digital signiert. Auch ihre Integrität wird überprüft.

Die Integritätsprüfung der Anwendungskomponenten erfolgt mit dem Tool zur Integritätsprüfung "integrity_checker".

Die Integritätsprüfung muss unter einem Konto mit Root-Rechten ausgeführt werden.

Das Tool zur Integritätsprüfung wird zusammen mit der Anwendung installiert und befindet sich in den folgenden Pfaden:

• zur Überprüfung des Anwendungspakets, des Pakets der grafischen Benutzeroberfläche und des Administrationsagenten: /opt/kaspersky/kesl/bin/integrity_checker
• zur Überprüfung des Verwaltungs-Plug-ins für Kaspersky Endpoint Security: im Verzeichnis mit den ausführbaren Modulen (DLLs) des Verwaltungs-Plug-ins:
  • C:\Program Files\Kaspersky Lab\Kaspersky Security Center\Plugins\<Version des Plug-ins>.linux.plg\integrity_checker.exe – für 32-Bit-Betriebssysteme
  • C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\Plugins\<Version des Plug-ins>.linux.plg\integrity_checker.exe – für 64-Bit-Betriebssysteme

Die Manifestdateien finden Sie unter den folgenden Pfaden:

• /opt/kaspersky/kesl/bin/integrity_check.xml – zur Integritätsprüfung des Anwendungspakets
• /opt/kaspersky/kesl/bin/gui_integrity_check.xml – zur Integritätsprüfung des Pakets der grafischen Benutzeroberfläche
• /opt/kaspersky/klnagent/bin/kl_file_integrity_manifest.xml – zur Überprüfung des Administrationsagenten für 32-Bit-Betriebssysteme
• /opt/kaspersky/klnagent64/bin/kl_file_integrity_manifest.xml – zur Überprüfung des Administrationsagenten für 64-Bit-Betriebssysteme

Führen Sie den folgenden Befehl aus, um die Integrität von Anwendungskomponenten zu überprüfen:

• So überprüfen Sie das Anwendungspaket und das Paket für die grafische Benutzeroberfläche:

  integrity_checker [<Pfad zur Manifestdatei>] --signature-type kds-with-filename

• So überprüfen Sie das Verwaltungs-Plug-in von Kaspersky Endpoint Security und den Administrationsagenten:

  integrity_checker [<Pfad zur Manifestdatei>]

Standardmäßig wird der Pfad zum Manifest verwendet, die sich in dem Verzeichnis befindet, in dem das Tool zur Integritätsprüfung ausgeführt wird.

Das Tool kann mit den folgenden optionalen Einstellungen ausgeführt werden:

• --crl <Verzeichnis> – Pfad des Verzeichnisses mit der Liste der widerrufenen Zertifikate (Zertifikatssperrliste).
• --version – Zeigt die Version des Tools an.
• --verbose – Ausführliche Ausgabe der durchgeführten Aktionen und Ergebnisse. Wenn Sie diese Einstellung nicht angeben, werden nur Fehler, Objekte, welche die Prüfung nicht bestanden haben, und die Gesamtstatistik der Untersuchung angezeigt.
• --trace <Dateiname>, wobei <Dateiname> der Name der Datei ist, in der Ereignisse mit der Informationstiefe DEBUG aufgezeichnet werden, die während der Untersuchung aufgetreten sind.
• --signature-type kds-with-filename – Typ der zu prüfenden Signatur (dieser Parameter ist obligatorisch für die Überprüfung des Anwendungspakets, des Pakets für die grafische Benutzeroberfläche und des Administrationsagenten).
• --single-file <Datei> – Überprüft nur eine im Manifest enthaltene Datei – die restlichen Manifest-Objekte werden ignoriert.

Eine Beschreibung aller verfügbaren Einstellungen des Tools zur Integritätsprüfung finden Sie in der Hilfe zu den Einstellungen des Tools, die Sie mithilfe des Befehls integrity_checker --help aufrufen.

Das Ergebnis der Überprüfung der Manifestdatei wird wie folgt angezeigt:

• SUCCEEDED – Die Integrität der Dateien wurde bestätigt (Rückgabecode 0).
• FAILED – Die Integrität der Dateien konnte nicht bestätigt werden (Rückgabecode ist nicht 0).

Wenn bei Starten der Anwendung ermittelt wird, dass die Integrität der Anwendung oder des Administrationsagenten verletzt ist, erstellt Kaspersky Endpoint Security das Ereignis IntegrityCheckFailed im Ereignisprotokoll und in Kaspersky Security Center.

Nach oben