Das Erzeugen von Regeln für die Kontrolle des Programmstarts kann kompliziert sein, wenn Sie auch Installationspakete auf einem geschützten Gerät überwachen müssen, beispielsweise auf geschützten Geräten, auf denen installierte Software regelmäßig automatisch aktualisiert wird. In diesem Fall muss die Liste der Erlaubnisregeln nach jedem Software-Update aktualisiert werden, damit neu erstellte Dateien in den Einstellungen der Aufgabe zur Kontrolle des Programmstarts berücksichtigt werden. Um die Startkontrolle bei Installationspakete-Szenarien zu vereinfachen, können Sie das Untersystem "Kontrolle für Installationspakete" verwenden.
Ein Installationspaket (im Weiteren "Paket") stellt eine Software-Anwendung dar, die auf einem geschützten Gerät installiert werden soll. Jedes Paket enthält mindestens eine Anwendung und kann darüber hinaus einzelne Dateien, Updates oder auch einen bestimmten Befehl enthalten, vor allem, wenn Sie eine Software-Anwendung oder ein Update installieren.
Das Untersystem "Kontrolle für Installationspakete" wird als zusätzliche Liste von Ausnahmen implementiert. Wenn Sie ein Installationspaket zu dieser Liste hinzufügen, erlaubt das Programm, dass diese vertrauenswürdigen Pakete dekomprimiert werden und erlaubt, dass Software, die von einem vertrauenswürdigen Paket installiert oder verändert wurde, automatisch gestartet wird. Die extrahierten Dateien können das Merkmal für die Vertrauenswürdigkeit von einem Hauptprogrammpaket erben. Ein Hauptprogrammpaket ist ein Paket, das vom Benutzer zur Liste der Ausnahmen von der Kontrolle der Installationspakete hinzugefügt wurde und nun als vertrauenswürdiges Paket gilt.
Kaspersky Security für Windows Server kontrolliert nur vollständige Zyklen von Installationspaketen. Das Programm kann den Start von Dateien, die von einem vertrauenswürdigen Paket modifiziert wurden, nicht korrekt verarbeiten, wenn das Paket das erste Mal ausgeführt wird, wenn die Kontrolle für Installationspakete deaktiviert ist oder wenn die Komponente "Kontrolle des Programmstarts" nicht installiert ist.
Die Kontrolle für Installationspakete ist nicht verfügbar, wenn das Kontrollkästchen Regeln für ausführbare Dateien verwenden in den Einstellungen der Aufgabe zur Kontrolle des Programmstarts deaktiviert ist.
Cache für Softwareverteilung
Kaspersky Security für Windows Server verwendet einen dynamisch erzeugten Cache für Softwareverteilung (Installations-Cache), um die Beziehung zwischen vertrauenswürdigen Paketen und Dateien herzustellen, die während der Softwareverteilung erstellt wurden. Wenn ein Paket erstmals gestartet wird, erkennt Kaspersky Security für Windows Server alle Dateien, die von dem Paket während des Softwareverteilungsprozesses erstellt werden, und speichert die Prüfsummen und Pfade der Dateien im Installations-Cache. Anschließend dürfen alle Dateien im Installations-Cache standardmäßig gestartet werden.
Sie können den Installations-Cache nicht über die Benutzeroberfläche überprüfen, löschen oder modifizieren. Der Cache wird von Kaspersky Security für Windows Server mit Daten gefüllt und kontrolliert.
Sie können den Installations-Cache in eine Konfigurationsdatei exportieren (xml-Format) und den Cache außerdem mithilfe von Befehlszeilenoptionen löschen.
Um den Installations-Cache in eine Konfigurationsdatei zu exportieren, führen Sie den folgenden Befehl aus:
kavshell appcontrol /config /savetofile:<full path> /sdc
Um den Installations-Cache zu löschen, führen Sie den folgenden Befehl aus:
kavshell appcontrol /config /clearsdc
Kaspersky Security für Windows Server aktualisiert den Installations-Cache alle 24 Stunden. Wenn die Prüfsumme einer zuvor erlaubten Datei geändert wird, löscht das Programm den Datensatz für diese Datei aus dem Installations-Cache. Wenn die Aufgabe zur Kontrolle des Programmstarts im aktiven Modus gestartet wurde, werden weitere Ausführungsversuche dieser Datei unterbunden. Wenn der vollständige Pfad einer zuvor erlaubten Datei geändert wird, werden weitere Ausführungsversuche dieser Datei unterbunden, da die Prüfsumme im Installations-Cache gespeichert ist.
Verarbeiten der extrahierten Dateien
Alle aus einem vertrauenswürdigen Paket extrahierten Dateien erben beim ersten Start des Pakets das Merkmal für die Vertrauenswürdigkeit. Wenn Sie das Kontrollkästchen nach dem ersten Start deaktivieren, behalten alle aus dem Paket extrahierten Dateien das geerbte Attribut. Um das geerbte Attribut für alle extrahierten Dateien zurückzusetzen, müssen Sie den Installations-Cache löschen und das Kontrollkästchen Weitere Verteilung von aus diesem Installationspaket erstellten Programmen erlauben deaktivieren, bevor Sie das vertrauenswürdige Installationspaket erneut starten.
Extrahierte Dateien und Pakete, die von einem vertrauenswürdigen Hauptprogrammpaket erstellt wurden, erben das Merkmal für die Vertrauenswürdigkeit, indem ihre Prüfsummen beim ersten Start des Installationspakets in der Liste mit Ausnahmen zum Installations-Cache hinzugefügt werden. Als Folge gelten sowohl das Installationspaket selbst als auch alle extrahierten Dateien des Pakets als vertrauenswürdig. Standardmäßig ist die Anzahl der Ebenen von Vererbung des Merkmals für die Vertrauenswürdigkeit unbegrenzt.
Extrahierte Dateien behalten das Merkmal für die Vertrauenswürdigkeit nachdem das Betriebssystem neu gestartet wurde.
Die Verarbeitung von Dateien wird in den Einstellungen der Kontrolle für Installationspakete angepasst. Aktivieren oder deaktivieren Sie dazu das Kontrollkästchen Weitere Verteilung von aus diesem Installationspaket erstellten Programmen erlauben.
Angenommen, Sie fügen beispielsweise das Paket test.msi, das einige andere Pakete und Programme enthält, zur Ausnahmeliste hinzu und aktivieren das Kontrollkästchen. In diesem Fall wird allen Paketen und Programmen im Paket test.msi erlaubt, zu starten oder ihren Inhalt zu extrahieren, wenn sie andere Dateien enthalten. Dieses Szenario gilt für extrahierte Dateien auf allen Verschachtelungsebenen.
Wenn Sie das Paket test.msi zur Ausnahmeliste hinzufügen und das Kontrollkästchen Weitere Verteilung von aus diesem Installationspaket erstellten Programmen erlauben deaktivieren, weist das Programm das Merkmal für die Vertrauenswürdigkeit nur solchen Paketen und ausführbaren Dateien zu, die direkt aus dem primären vertrauenswürdigen Paket extrahiert werden (auf der ersten Verschachtelungsebene). Die Prüfsummen dieser Dateien werden im Installations-Cache gespeichert. Alle Dateien, die sich auf der zweiten Verschachtelungsebene und tiefer befinden, werden nach dem Prinzip des standardmäßigen Verbots (Default Deny) blockiert.
Arbeiten mit der Regelliste für die Kontrolle des Programmstarts
Die Liste vertrauenswürdiger Pakete des Untersystems "Kontrolle für Installationspakete" ist eine Liste bestehend aus Ausnahmen. Diese Liste erweitert die allgemeine Liste mit Regeln für die Kontrolle des Programmstarts, ersetzt sie jedoch nicht.
Verbotsregeln der Kontrolle des Programmstarts haben die höchste Priorität: Das Dekomprimieren vertrauenswürdiger Pakete und das Ausführen neuer oder modifizierter Dateien wird blockiert, wenn diese Pakete und Dateien von den Verbotsregeln zur Kontrolle des Programmstarts betroffen sind.
Ausnahmen für die Kontrolle für Installationspakete werden sowohl auf vertrauenswürdige Pakete als auch auf Dateien angewendet, die von diesen Paketen erstellt oder modifiziert wurden, wenn keine Verbotsregeln in der Liste der Kontrolle des Programmstarts auf diese Pakete und Dateien angewendet werden.
Verwendung der KSN-Einstufungen
KSN-Einstufungen, dass eine Datei nicht vertrauenswürdig ist, haben eine höhere Priorität als die Ausnahmen der Kontrolle für Installationspakete: Dekomprimierung von vertrauenswürdigen Paketen und Start von Dateien, die von diesen Paketen erstellt oder geändert werden, werden blockiert, wenn KSN meldet, dass diese Dateien nicht vertrauenswürdig sind.
Danach und nach dem Entpacken eines vertrauenswürdigen Pakets dürfen alle untergeordneten Dateien ausgeführt werden, unabhängig von der Verwendung von KSN innerhalb des Bereichs "Kontrolle des Programmstarts". Die Status der Kontrollkästchen Start von Programmen, die laut KSN nicht vertrauenswürdig sind, verbieten und Start von Programmen, die laut KSN vertrauenswürdig sind, erlauben haben daher keine Auswirkung auf das Kontrollkästchen Weitere Verteilung von aus diesem Installationspaket erstellten Programmen erlauben.
Zum Seitenanfang