Integritätsprüfung der Anwendungskomponenten

Kaspersky Endpoint Security enthält eine Vielzahl verschiedener binärer Module in Form von dynamisch verbundenen Bibliotheken, ausführbaren Dateien, Konfigurationsdateien und Dateien der Oberfläche. Angreifer können ein oder mehrere ausführbare Module oder Dateien der Anwendung durch andere Dateien ersetzen, die bösartigen Code enthalten. Um einen solchen Austausch von Modulen und Dateien zu verhindern, bietet Kaspersky Endpoint Security die Funktion zur Integritätsprüfung der Anwendungskomponenten. Die Anwendung überprüft Module und Dateien auf nicht autorisierte Änderungen und Schäden. Ein Modul oder eine Datei von der Anwendung mit einer nicht korrekten Prüfsumme gilt als beschädigt.

Eine Integritätsprüfung wird für die folgenden Komponenten der Anwendung durchgeführt (sofern auf dem Gerät installiert):

• Anwendungspaket.
• Paket der grafischen Benutzeroberfläche.
• Paket des Kaspersky Security Center Administrationsagenten.
• Web-Plug-in für die Verwaltung von Kaspersky Endpoint Security.
• MMC-Plug-in für die Verwaltung von Kaspersky Endpoint Security.

Die Integritätsprüfung der Anwendungskomponenten erfolgt mit dem Tool zur Integritätsprüfung. Das Tool überprüft die Integrität der Dateien, die in gesonderten Listen aufgeführt sind und Manifestdateien genannt werden. Jede Anwendungskomponente verfügt über ihre eigene Manifestdatei, die eine Liste von Anwendungsdateien enthält, deren Integrität für den korrekten Betrieb dieser Anwendungskomponente wichtig ist. Der Name der Manifestdatei ist für jede Komponente gleich, der Inhalt der Manifestdateien ist jedoch unterschiedlich. Die Manifestdateien werden digital signiert. Auch ihre Integrität wird überprüft.

Um das Tool zur Integritätsprüfung auf Geräten mit Linux-Betriebssystemen auszuführen, ist ein Konto mit Root-Rechten erforderlich. Um das Tool zur Integritätsprüfung auf Geräten mit Windows-Betriebssystemen auszuführen, ist ein Konto mit Administrator-Rechten erforderlich.

Das Tool zur Integritätsprüfung wird zusammen mit der Anwendung installiert und befindet sich in den folgenden Pfaden:

• Um das Anwendungspaket, das Pakets der grafischen Benutzeroberfläche und des Administrationsagenten zu überprüfen: /opt/kaspersky/kesl/bin/integrity_checker
• Um das MMC-Plug-in für die Verwaltung von Kaspersky Endpoint Security zu überprüfen:
  • Für 32-Bit-Betriebssysteme: %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\Plugins\kesl_<Versionsnummer>.plg\integrity_checker.exe
  • Für 64-Bit-Betriebssysteme: %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security Center\Plugins\kesl_<Versionsnummer>.plg\integrity_checker.exe
• Um das Web-Plug-in für die Verwaltung von Kaspersky Endpoint Security zu überprüfen:
  • %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center Web Console\integrity_checker.exe – für Windows-Geräte
  • /var/opt/kaspersky/ksc-web-console/integrity_checker – für Linux-Geräte

Die Manifestdateien finden Sie unter den folgenden Pfaden:

• Für die Integritätsprüfung des Anwendungspakets: /opt/kaspersky/kesl/bin/integrity_check.xml.
• Für die Integritätsprüfung des Pakets mit der grafische Benutzeroberfläche: /opt/kaspersky/kesl/bin/gui_integrity_check.xml.
• Um den Administrationsagenten zu überprüfen:
  • /opt/kaspersky/klnagent/bin/kl_file_integrity_manifest.xml – für 32-Bit-Betriebssysteme
  • /opt/kaspersky/klnagent64/bin/kl_file_integrity_manifest.xml – für 64-Bit-Betriebssysteme
• Um das MMC-Plug-in für die Verwaltung von Kaspersky Endpoint Security zu überprüfen
  • %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\Plugins\kesl_<Version des Plug-ins>.plg\integrity_check.xml – für 32-Bit-Betriebssysteme
  • %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security Center\Plugins\kesl_<Version des Plug-ins>.plg\integrity_checker.xml – für 64-Bit-Betriebssysteme
• Um das Web-Plug-in für die Verwaltung von Kaspersky Endpoint Security zu überprüfen:
  • %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center Web Console\server\plugins\kesl_Versionsnummer\integrity_check.xml – für Windows-Geräte
  • /var/opt/kaspersky/ksc-web-console/server/plugins/kesl_<Versionsnummer>\integrity_check.xml – für Linux-Geräte

Um die Integrität einer Komponente der Lösung zu überprüfen, müssen Sie das Tool im Speicherordner des Tools für diese Komponente ausführen.

Um das Tool zur Integritätsprüfung starten, führen Sie einen der folgenden Befehle aus:

• Für die Integritätsprüfung des Anwendungspakets und des Pakets für die grafische Benutzeroberfläche

  integrity_checker [<Pfad zur Manifestdatei>] --signature-type kds-with-filename

• Für die Integritätsprüfung des MMC-Plug-ins für die Verwaltung von Kaspersky Endpoint Security:

  integrity_checker.exe [<Pfad zur Manifestdatei>]

• Für die Integritätsprüfung des Web-Plug-ins für die Verwaltung von Kaspersky Endpoint Security und des Administrationsagenten auf Linux-Geräten:

  integrity_checker [<Pfad zur Manifestdatei>]

• Für die Integritätsprüfung des Web-Plug-ins für die Verwaltung von Kaspersky Endpoint Security auf Windows-Geräten:

  integrity_checker.exe [<Pfad zur Manifestdatei>]

Standardmäßig wird der Pfad zum Manifest verwendet, die sich in dem Verzeichnis befindet, in dem das Tool zur Integritätsprüfung ausgeführt wird.

Das Tool kann mit den folgenden optionalen Einstellungen ausgeführt werden:

• --crl <Verzeichnis> – Pfad des Verzeichnisses mit der Liste der widerrufenen Zertifikate (Zertifikatssperrliste).
• --version – Zeigt die Version des Tools an.
• --verbose – Ausführliche Ausgabe der durchgeführten Aktionen und Ergebnisse. Wenn Sie diese Einstellung nicht angeben, werden nur Fehler, Objekte, welche die Prüfung nicht bestanden haben, und die Gesamtstatistik der Untersuchung angezeigt.
• --trace <Dateiname>, wobei <Dateiname> der Name der Datei ist, in der Ereignisse mit der Informationstiefe DEBUG aufgezeichnet werden, die während der Untersuchung aufgetreten sind.
• --signature-type kds-with-filename – Typ der zu prüfenden Signatur (dieser Parameter ist obligatorisch für die Überprüfung des Anwendungspakets, des Pakets für die grafische Benutzeroberfläche und des Administrationsagenten).
• --single-file <Datei> – Überprüft nur eine im Manifest enthaltene Datei – die restlichen Manifest-Objekte werden ignoriert.

Eine Beschreibung aller verfügbaren Einstellungen des Tools zur Integritätsprüfung finden Sie in der Hilfe zu den Einstellungen des Tools, die Sie mithilfe des Befehls integrity_checker --help aufrufen.

Das Ergebnis der Überprüfung der Manifestdatei wird wie folgt angezeigt:

• SUCCEEDED – Die Integrität der Dateien wurde bestätigt (Rückgabecode 0).
• FAILED – Die Integrität der Dateien konnte nicht bestätigt werden (Rückgabecode ist nicht 0).

Wenn beim Starten der Anwendung ermittelt wird, dass die Integrität der Anwendung oder des Administrationsagenten verletzt ist, erstellt Kaspersky Endpoint Security ein Ereignis darüber im Ereignisprotokoll und in Kaspersky Security Center.

Nach oben