Integritätsprüfung der App-Komponenten

Kaspersky Endpoint Security enthält eine Vielzahl verschiedener binärer Module in Form von dynamisch verbundenen Bibliotheken, ausführbaren Dateien, Konfigurationsdateien und Dateien der Oberfläche. Angreifer können ein oder mehrere ausführbare Module oder Dateien der App durch andere Dateien ersetzen, die bösartigen Code enthalten. Um einen solchen Austausch von Modulen und Dateien zu verhindern, bietet Kaspersky Endpoint Security die Funktion zur Integritätsprüfung der App-Komponenten. Die App überprüft Module und Dateien auf nicht autorisierte Änderungen und Schäden. Ein Modul oder eine Datei von der App mit einer nicht korrekten Prüfsumme gilt als beschädigt.

Eine Integritätsprüfung wird für die folgenden App-Komponenten durchgeführt, sofern diese auf dem Gerät installiert sind:

• das App-Paket
• das Paket der grafischen Benutzeroberfläche
• das Paket des Kaspersky Security Center Administrationsagenten
• das Verwaltungs-Plug-in für Kaspersky Endpoint Security

Die App überprüft die Integrität der Dateien, die in gesonderten Listen aufgeführt sind und Manifestdateien genannt werden. Jede App-Komponente verfügt über ihre eigene Manifestdatei, die eine Liste von App-Dateien enthält, deren Integrität für den korrekten Betrieb dieser App-Komponente wichtig ist. Der Name der Manifestdatei ist für jede Komponente gleich, der Inhalt der Manifestdateien ist jedoch unterschiedlich. Die Manifestdateien werden digital signiert. Auch ihre Integrität wird überprüft.

Die Integritätsprüfung der App-Komponenten erfolgt mit dem Tool zur Integritätsprüfung "integrity_checker".

Die Integritätsprüfung muss unter einem Konto mit Root-Rechten ausgeführt werden.

Zur Integritätsprüfung können Sie sowohl das mit der App installierte Tool nutzen als auch ein Tool, das sich auf einer zertifizierten CD befindet.

Es wird empfohlen, das Tool zur Integritätsprüfung von einer zertifizierten CD zu starten, um die Integrität des Tools sicherzustellen. Wenn Sie das Tool von der CD ausführen, müssen Sie den vollständigen Pfad zur Manifestdatei angeben.

Das mit der App installierte Tool zur Integritätsprüfung befindet sich unter den folgenden Pfaden:

• zur Überprüfung des App-Pakets, des Pakets der grafischen Benutzeroberfläche und des Administrationsagenten: /opt/kaspersky/kesl/bin/integrity_checker
• zur Überprüfung des Verwaltungs-Plug-ins für Kaspersky Endpoint Security: im Verzeichnis mit den ausführbaren Modulen (DLLs) des Verwaltungs-Plug-ins:
  • C:\Program Files\Kaspersky Lab\Kaspersky Security Center\Plugins\<Version des Plug-ins>.linux.plg\integrity_checker.exe – für 32-Bit-Betriebssysteme
  • C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\Plugins\<Version des Plug-ins>.linux.plg\integrity_checker.exe – für 64-Bit-Betriebssysteme

Die Manifestdateien finden Sie unter den folgenden Pfaden:

• /opt/kaspersky/kesl/bin/integrity_check.xml – zur Integritätsprüfung des App-Pakets
• /opt/kaspersky/kesl/bin/gui_integrity_check.xml – zur Integritätsprüfung des Pakets der grafischen Benutzeroberfläche
• /opt/kaspersky/klnagent/bin/kl_file_integrity_manifest.xml – zur Überprüfung des Administrationsagenten für 32-Bit-Betriebssysteme
• /opt/kaspersky/klnagent64/bin/kl_file_integrity_manifest.xml – zur Überprüfung des Administrationsagenten für 64-Bit-Betriebssysteme

Führen Sie den folgenden Befehl aus, um die Integrität von App-Komponenten zu überprüfen:

• So überprüfen Sie das App-Paket und das Paket für die grafische Benutzeroberfläche:

  integrity_checker [<Pfad zur Manifestdatei>] --signature-type kds-with-filename

• So überprüfen Sie das Verwaltungs-Plug-in von Kaspersky Endpoint Security und den Administrationsagenten:

  integrity_checker [<Pfad zur Manifestdatei>]

Standardmäßig wird der Pfad zum Manifest verwendet, die sich in dem Verzeichnis befindet, in dem das Tool zur Integritätsprüfung ausgeführt wird.

Das Tool kann mit den folgenden optionalen Einstellungen ausgeführt werden:

• --crl <Verzeichnis> – Pfad des Verzeichnisses mit der Liste der widerrufenen Zertifikate (Zertifikatssperrliste).
• --version – Zeigt die Version des Tools an.
• --verbose – Ausführliche Ausgabe der durchgeführten Aktionen und Ergebnisse. Wenn Sie diese Einstellung nicht angeben, werden nur Fehler, Objekte, welche die Prüfung nicht bestanden haben, und die Gesamtstatistik der Untersuchung angezeigt.
• --trace <Dateiname>, wobei <Dateiname> der Name der Datei ist, in der Ereignisse mit der Informationstiefe DEBUG aufgezeichnet werden, die während der Untersuchung aufgetreten sind.
• --signature-type kds-with-filename – Typ der zu prüfenden Signatur (dieser Parameter ist obligatorisch für die Überprüfung des App-Pakets, des Pakets für die grafische Benutzeroberfläche und des Administrationsagenten).
• --single-file <Datei> – Überprüft nur eine im Manifest enthaltene Datei – die restlichen Manifest-Objekte werden ignoriert.

Eine Beschreibung aller verfügbaren Einstellungen des Tools zur Integritätsprüfung finden Sie in der Hilfe zu den Einstellungen des Tools, die Sie mithilfe des Befehls integrity_checker --help aufrufen.

Das Ergebnis der Überprüfung der Manifestdatei wird wie folgt angezeigt:

• SUCCEEDED – Die Integrität der Dateien wurde bestätigt (Rückgabecode 0).
• FAILED – Die Integrität der Dateien konnte nicht bestätigt werden (Rückgabecode ist nicht 0).

Wenn bei Starten der App ermittelt wird, dass die Integrität der App oder des Administrationsagenten verletzt ist, erstellt Kaspersky Endpoint Security das Ereignis IntegrityCheckFailed im Ereignisprotokoll und in Kaspersky Security Center.