Support

Support für Unternehmensanwendungen

Kaspersky Embedded Systems Security 3.x

Kontrolle des Programmstarts

Über die Kontrolle für Installationspakete

Kaspersky Embedded Systems Security 3.x
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Herunterladen Forum Support kontaktieren Tools zur Wiederherstellung

Über die Kontrolle für Installationspakete

2. November 2023

ID 166296

Als PDF speichern

Das Erzeugen von Regeln für die Kontrolle des Programmstarts kann kompliziert sein, wenn Sie auch Installationspakete auf einem geschützten Gerät überwachen müssen, beispielsweise auf geschützten Geräten, auf denen installierte Software regelmäßig automatisch aktualisiert wird. In diesem Fall muss die Liste der Erlaubnisregeln nach jedem Software-Update aktualisiert werden, damit neu erstellte Dateien in den Einstellungen der Aufgabe zur Kontrolle des Programmstarts berücksichtigt werden. Um die Startkontrolle bei Installationspakete-Szenarien zu vereinfachen, können Sie das Untersystem "Kontrolle für Installationspakete" verwenden.

Ein Installationspaket (im Weiteren "Paket") stellt eine Software-Anwendung dar, die auf einem geschützten Gerät installiert werden soll. Jedes Paket enthält mindestens eine Anwendung und kann darüber hinaus einzelne Dateien, Updates oder auch einen bestimmten Befehl enthalten, vor allem, wenn Sie eine Software-Anwendung oder ein Update installieren.

Das Untersystem "Kontrolle für Installationspakete" wird als zusätzliche Liste von Ausnahmen implementiert. Wenn ein Installationspaket zur Liste hinzugefügt wird, wird es vertrauenswürdig. Das Entpacken ist für vertrauenswürdige Pakete erlaubt, und der automatische Start ist für Programme erlaubt, die aus vertrauenswürdigen Paketen installiert oder aktualisiert wurden. Die extrahierten Dateien können das Merkmal für die Vertrauenswürdigkeit von einem Hauptprogrammpaket erben. Ein Hauptprogrammpaket ist ein Paket, das vom Benutzer zur Liste der Ausnahmen von der Kontrolle der Installationspakete hinzugefügt wurde und nun als vertrauenswürdiges Paket gilt.

Kaspersky Embedded Systems Security für Windows kontrolliert nur vollständige Zyklen von Installationspaketen. Das Programm kann den Start von Dateien, die von einem vertrauenswürdigen Paket modifiziert wurden, nicht korrekt verarbeiten, wenn das Paket das erste Mal ausgeführt wird, wenn die Kontrolle für Installationspakete deaktiviert ist oder wenn die Komponente "Kontrolle des Programmstarts" nicht installiert ist.

Die Kontrolle für Installationspakete ist nicht verfügbar, wenn das Kontrollkästchen Regeln für ausführbare Dateien verwenden in den Einstellungen der Aufgabe zur Kontrolle des Programmstarts deaktiviert ist.

Cache für Softwareverteilung

Kaspersky Embedded Systems Security für Windows verwendet einen dynamisch erzeugten Cache für Softwareverteilung (Installations-Cache), um die Beziehung zwischen vertrauenswürdigen Paketen und Dateien herzustellen, die während der Softwareverteilung erstellt wurden. Wenn ein Paket erstmals gestartet wird, erkennt Kaspersky Embedded Systems Security für Windows alle Dateien, die von dem Paket während des Softwareverteilungsprozesses erstellt werden, und speichert die Prüfsummen und Pfade der Dateien im Installations-Cache. Anschließend dürfen alle Dateien im Installations-Cache standardmäßig gestartet werden.

Sie können den Installations-Cache nicht über die Benutzeroberfläche überprüfen, löschen oder modifizieren. Der Cache wird von Kaspersky Embedded Systems Security für Windows mit Daten gefüllt und kontrolliert.

Sie können den Installations-Cache in eine Konfigurationsdatei exportieren (xml-Format) und den Cache außerdem mithilfe von Befehlszeilenoptionen löschen.

Um den Installations-Cache in eine Konfigurationsdatei zu exportieren, führen Sie den folgenden Befehl aus:

kavshell appcontrol /config /savetofile:<full path> /sdc

Um den Installations-Cache zu löschen, führen Sie den folgenden Befehl aus:

kavshell appcontrol /config /clearsdc

Kaspersky Embedded Systems Security für Windows aktualisiert den Installations-Cache alle 24 Stunden. Wenn die Prüfsumme einer zuvor erlaubten Datei geändert wird, löscht das Programm den Datensatz für diese Datei aus dem Installations-Cache. Wenn die Aufgabe zur Kontrolle des Programmstarts im aktiven Modus gestartet wurde, werden weitere Ausführungsversuche dieser Datei unterbunden. Wenn der vollständige Pfad einer zuvor erlaubten Datei geändert wird, werden weitere Ausführungsversuche dieser Datei unterbunden, da die Prüfsumme im Installations-Cache gespeichert ist.

Verarbeiten der extrahierten Dateien

Alle aus einem vertrauenswürdigen Paket extrahierten Dateien erben beim ersten Start des Pakets das Merkmal für die Vertrauenswürdigkeit. Wenn Sie das Kontrollkästchen nach dem ersten Start deaktivieren, behalten alle aus dem Paket extrahierten Dateien das geerbte Attribut. Um das geerbte Attribut für alle extrahierten Dateien zurückzusetzen, müssen Sie den Installations-Cache löschen und das Kontrollkästchen Weitere Verteilung von aus diesem Installationspaket erstellten Programmen erlauben deaktivieren, bevor Sie das vertrauenswürdige Installationspaket erneut starten.

Extrahierte Dateien und Pakete, die von einem primären vertrauenswürdigen Verteilungspaket erstellt wurden, erben das Attribut vertrauenswürdig, wenn ihre Prüfsummen dem Verteilungscache hinzugefügt werden, wenn das Softwareverteilungspaket in der Ausschlussliste zum ersten Mal geöffnet wird. Als Folge gelten sowohl das Installationspaket selbst als auch alle extrahierten Dateien des Pakets als vertrauenswürdig. Standardmäßig ist die Anzahl der Ebenen von Vererbung des Merkmals für die Vertrauenswürdigkeit unbegrenzt.

Extrahierte Dateien behalten das Merkmal für die Vertrauenswürdigkeit nachdem das Betriebssystem neu gestartet wurde.

Die Verarbeitung von Dateien wird in den Einstellungen der Kontrolle für Installationspakete angepasst. Aktivieren oder deaktivieren Sie dazu das Kontrollkästchen Weitere Verteilung von aus diesem Installationspaket erstellten Programmen erlauben.

Wenn beispielsweise test.msi, ein Paket, das mehrere Pakete und Programme enthält, zur Ausnahmeliste hinzugefügt wird und das Kontrollkästchen aktiviert ist, können alle im Paket test.msi enthaltenen Pakete und Programme entpackt und gestartet werden, auch wenn sie andere verschachtelte Dateien enthalten. Dieses Szenario gilt für extrahierte Dateien auf allen Verschachtelungsebenen.

Wenn Sie das Paket test.msi zur Ausnahmeliste hinzufügen und das Kontrollkästchen Weitere Verteilung von aus diesem Installationspaket erstellten Programmen erlauben deaktivieren, weist das Programm das Merkmal für die Vertrauenswürdigkeit nur solchen Paketen und ausführbaren Dateien zu, die direkt aus dem primären vertrauenswürdigen Paket extrahiert werden (auf der ersten Verschachtelungsebene). Die Prüfsummen dieser Dateien werden im Installations-Cache gespeichert. Alle Dateien, die sich auf der zweiten Verschachtelungsebene und tiefer befinden, werden nach dem Prinzip des standardmäßigen Verbots (Default Deny) blockiert.

Arbeiten mit der Regelliste für die Kontrolle des Programmstarts

Die Liste vertrauenswürdiger Pakete des Untersystems "Kontrolle für Installationspakete" ist eine Liste bestehend aus Ausnahmen. Diese Liste erweitert die allgemeine Liste mit Regeln für die Kontrolle des Programmstarts, ersetzt sie jedoch nicht.

Verbotsregeln der Kontrolle des Programmstarts haben die höchste Priorität: Das Dekomprimieren vertrauenswürdiger Pakete und das Ausführen neuer oder modifizierter Dateien wird blockiert, wenn diese Pakete und Dateien von den Verbotsregeln zur Kontrolle des Programmstarts betroffen sind.

Ausnahmen für die Kontrolle für Installationspakete werden sowohl auf vertrauenswürdige Pakete als auch auf Dateien angewendet, die von diesen Paketen erstellt oder modifiziert wurden, wenn keine Verbotsregeln in der Liste der Kontrolle des Programmstarts auf diese Pakete und Dateien angewendet werden.

Verwendung der KSN-Einstufungen

KSN-Schlussfolgerungen, dass eine Datei nicht vertrauenswürdig ist, haben eine höhere Priorität als die Ausnahmen der Softwareverteilungskontrolle. Das Entpacken von vertrauenswürdigen Paketen und das Starten von Dateien, die von vertrauenswürdigen Paketen erstellt oder geändert wurden, werden blockiert, wenn die KSN-Schlussfolgerung darauf hinweist, dass diese Dateien nicht vertrauenswürdig sind.

Danach und nach dem Entpacken eines vertrauenswürdigen Pakets dürfen alle untergeordneten Dateien ausgeführt werden, unabhängig von der Verwendung von KSN innerhalb des Bereichs "Kontrolle des Programmstarts". Die Status der Kontrollkästchen Start von Programmen, die laut KSN nicht vertrauenswürdig sind, verbieten und Start von Programmen, die laut KSN vertrauenswürdig sind, erlauben haben daher keine Auswirkung auf das Kontrollkästchen Weitere Verteilung von aus diesem Installationspaket erstellten Programmen erlauben.

Kaspersky Professional Services
Assessment, Bereitstellung, Wartung und Optimierungn. Kontaktieren Sie uns, um mehr zu erfahren.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.