Integritätsprüfung der Programmkomponenten

Kaspersky Endpoint Security enthält eine Vielzahl verschiedener binärer Module in Form von dynamisch verbundenen Bibliotheken, ausführbaren Dateien, Konfigurationsdateien und Dateien der Oberfläche. Angreifer können ein oder mehrere ausführbare Module oder Programmdateien durch andere Dateien ersetzen, die bösartigen Code enthalten. Um einen solchen Austausch von Modulen und Dateien zu verhindern, bietet Kaspersky Endpoint Security die Funktion zur Integritätsprüfung der Programmkomponenten. Das Programm überprüft Module und Dateien auf nicht autorisierte Änderungen und Schäden. Ein Modul oder eine Programmdatei mit einer nicht korrekten Prüfsumme gilt als beschädigt.

Die Integritätsprüfung wird für die folgenden Programmkomponenten ausgeführt:

• das Programmpaket
• das Paket der grafischen Benutzeroberfläche
• das Paket des Kaspersky Security Center Administrationsagenten
• das Verwaltungs-Plug-in für Kaspersky Endpoint Security

Das Programm überprüft die Integrität der Dateien, die in gesonderten Listen aufgeführt sind und Manifestdateien genannt werden. Jede Programmkomponente verfügt über ihre eigene Manifestdatei "integrity_check_manifest.xml", die eine Liste von Programmdateien enthält, deren Integrität für den korrekten Betrieb dieser Programmkomponente wichtig ist. Der Name der Manifestdatei ist für jede Komponente gleich, der Inhalt der Manifestdateien ist jedoch unterschiedlich. Die Manifestdateien werden digital signiert. Auch ihre Integrität wird überprüft.

Die Integritätsprüfung der Programmkomponenten erfolgt mit dem Tool zur Integritätsprüfung "integrity_check_tool".

Die Integritätsprüfung muss unter einem Konto mit Root-Rechten ausgeführt werden.

Zur Integritätsprüfung können Sie sowohl das mit dem Programm installierte Tool nutzen als auch ein Tool, das sich auf einer zertifizierten CD befindet.

Es wird empfohlen, das Dienstprogramm zur Integritätsprüfung von einer zertifizierten CD zu starten, um die Integrität des Tools sicherzustellen. Wenn Sie das Tool von der CD ausführen, müssen Sie den vollständigen Pfad zur Manifestdatei angeben.

Das mit dem Programm installierte Tool zur Integritätsprüfung befindet sich unter den folgenden Pfaden:

• zur Überprüfung des Programmpakets, des Pakets der grafischen Benutzeroberfläche und des Administrationsagenten: /opt/kaspersky/kesl/bin/integrity_check_tool
• zur Überprüfung des Verwaltungs-Plug-ins für Kaspersky Endpoint Security: im Verzeichnis mit den ausführbaren Modulen (DLLs) des Verwaltungs-Plug-ins:
  • C:\Program Files\Kaspersky Lab\Kaspersky Security Center\Plugins\<Version des Plug-ins>.linux.plg\integrity_check_tool.exe – für 32-Bit-Betriebssysteme
  • C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\Plugins\<Version des Plug-ins>.linux.plg\integrity_check_tool.exe – für 64-Bit-Betriebssysteme

Die Manifestdateien finden Sie unter den folgenden Pfaden:

• /opt/kaspersky/kesl/bin/integrity_check.xml – zur Integritätsprüfung des Programmpakets
• /opt/kaspersky/kesl/bin/gui_integrity_check.xml – zur Integritätsprüfung des Pakets der grafischen Benutzeroberfläche
• /opt/kaspersky/klnagent/bin/integrity_check.xml – zur Überprüfung des Administrationsagenten für 32-Bit-Betriebssysteme
• /opt/kaspersky/klnagent64/bin/integrity_check.xml – zur Überprüfung des Administrationsagenten für 64-Bit-Betriebssysteme

Führen Sie den folgenden Befehl aus, um die Integrität von Programmkomponenten zu überprüfen:

integrity_check_tool -v[|--verify] -m[|--manifest] <Pfad zur Manifestdatei>

Standardmäßig wird der Pfad zur Datei integrity_check.xml verwendet, die sich in dem Verzeichnis befindet, in dem das Tool zur Integritätsprüfung ausgeführt wird.

Das Tool kann mit den folgenden optionalen Einstellungen ausgeführt werden:

• -V, --verbose – ausführliche Ausgabe der durchgeführten Aktionen und Ergebnisse. Wenn Sie diese Einstellung nicht angeben, werden nur Fehler, Objekte, welche die Prüfung nicht bestanden haben, und die Gesamtstatistik der Untersuchung angezeigt.
• -L, --log-file <Datei>, wobei <Datei> der Name der Datei ist, in der die während der Überprüfung aufgetretenen Ereignisse gespeichert werden sollen. Standardmäßig werden Ereignisse in die Standardausgabe stdout ausgegeben.
• -l, --log-level <0-1000>, wobei <0-1000> der Detailgrad der Ereignisausgabe ist. Die Standard-Genauigkeitsstufe ist 0.

Eine Beschreibung aller verfügbaren Einstellungen des Tools zur Integritätsprüfung finden Sie in der Hilfe zu den Einstellungen des Tools, die Sie mithilfe des Befehls integrity_check_tool -h [--help] aufrufen.

Das Ergebnis der Überprüfung der Manifestdatei wird wie folgt angezeigt:

• SUCCEEDED – die Integrität der Dateien wurde bestätigt (Rückgabecode 0).
• FAILED – die Integrität der Dateien konnte nicht bestätigt werden (Rückgabecode ist nicht 0).

Wenn bei Programmstart ermittelt wird, dass die Integrität des Programms, der grafischen Benutzeroberfläche oder des Administrationsagenten verletzt ist, registriert Kaspersky Endpoint Security das Ereignis IntegrityCheckFailed im Ereignisprotokoll und in Kaspersky Security Center.