Метод контроля целостности антивирус
Программа Kaspersky Security содержит множество различных бинарных модулей в виде динамически подключаемых библиотек, исполняемых файлов, конфигурационных файлов и файлов интерфейса. Злоумышленник может подменить один или несколько модулей или файлов программы модулями или файлами, содержащими вредоносный код. Чтобы избежать подмены модулей и файлов программы, в Kaspersky Security предусмотрена проверка целостности компонентов программы. Программа проверяет модули и файлы на наличие неавторизованных изменений или повреждений. Если модуль или файл программы имеет некорректную контрольную сумму, то он считается поврежденным.
Проверка целостности выполняется для следующих компонентов:
- Плагины управления Kaspersky Security.
- Сервер интеграции.
- Консоль Сервера интеграции.
- SVM.
Проверка целостности компонентов программы выполняется с помощью утилиты проверки целостности integrity_check_tool, расположенной на сертифицированном компакт-диске. Утилита проверяет целостность файлов, перечисленных в специальных списках, которые называются файлы манифеста. Файл манифеста компонента программы содержит файлы, целостность которых важна для корректной работы компонента программы. Целостность самих файлов манифеста также проверяется.
Для запуска утилиты проверки целостности на SVM требуется учетная запись root. Для запуска утилиты проверки целостности остальных компонентов программы требуется учетная запись администратора.
Рекомендуется запускать утилиту проверки целостности с сертифицированного компакт-диска, чтобы гарантировать целостность утилиты. При запуске с компакт-диска требуется указать полный путь к файлу манифеста в папке программы.
Файлы манифеста для компонентов программы расположены по следующим путям:
- для плагинов управления Kaspersky Security – по умолчанию в папках, где расположены исполняемые модули (DLL) плагинов управления:
- для 64-разрядных операционных систем:
- C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\Plugins\KSV5.plg\integrity_check.xml – для основного плагина управления Kaspersky Security;
- C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\Plugins\KSVT5.plg\integrity_check.xml – для плагина управления Kaspersky Security для клиентов;
- C:\Program Files\Kaspersky Lab\Kaspersky Security Center\Plugins\KSV5.plg\integrity_check.xml – для основного плагина управления Kaspersky Security;
- C:\Program Files\Kaspersky Lab\Kaspersky Security Center\Plugins\KSVT5.plg\integrity_check.xml – для плагина управления Kaspersky Security для клиентов;
- C:\Program Files (x86)\Kaspersky Lab\Kaspersky VIIS\integrity_check_manifest.xml – для 64-разрядных операционных систем;
- C:\Program Files\Kaspersky Lab\Kaspersky VIIS\integrity_check_manifest.xml – для 32-разрядных операционных систем;
- C:\Program Files (x86)\Kaspersky Lab\Kaspersky VIIS Console\integrity_check_manifest.xml – для 64-разрядных операционных систем;
- C:\Program Files\Kaspersky Lab\Kaspersky VIIS Console\integrity_check_manifest.xml – для 32-разрядных операционных систем;
- /var/opt/kaspersky/ksv/product/integrity_check.xml – для SVM с установленным компонентом Защита от файловых угроз;
- /var/opt/kaspersky/ksvns/product/integrity_check.xml – для SVM с установленным компонентом Защита от сетевых угроз;
Чтобы проверить целостность компонента программы, выполните следующую команду:
integrity_check_tool --verify --manifest
где – полный путь к файлу манифеста.
Вы можете запускать утилиту с необязательными параметрами, список которых приведен в справке о параметрах утилиты. Чтобы посмотреть справку утилиты, запустите утилиту с параметром --help .
Результат проверки каждого файла манифеста выводится рядом с названием файла манифеста в следующем виде:
Описанная в этом разделе функциональность программы Kaspersky Security доступна, только если вы используете программу по расширенной коммерческой лицензии и программа установлена на виртуальной машине с серверной операционной системой Windows и файловой системой NTFS или FAT32.
Компонент Контроль целостности системы позволяет отслеживать изменения в операционной системе Windows, установленной на защищенной виртуальной машине. Вы можете контролировать следующие объекты:
- Файлы и реестр . Компонент Контроль целостности системы отслеживает изменения в файлах и реестре, включенных в область контроля.
- Внешние устройства . Компонент Контроль целостности системы отслеживает подключение внешних устройств следующих типов:
- Дисководы для жестких дисков.
- Дисководы для оптических дисков (CD/DVD/Blu-ray).
- Устройства USB.
- Камеры и сканеры.
- Внешние сетевые адаптеры.
Компонент Контроль целостности системы может работать в режиме реального времени, а также выполнять проверку целостности системы по расписанию или по требованию.
При работе в режиме реального времени Контроль целостности системы позволяет отслеживать изменения в объектах контроля, которые вы включили в область действия контроля целостности системы.
Проверка целостности системы по расписанию или по требованию выполняется с помощью задачи проверки целостности системы. Проверка осуществляется путем сравнения текущего состояния объектов, включенных в область действия проверки целостности системы, с состоянием этих объектов, которое предварительно зафиксировано в виде снимка состояния системы.
Вы можете выполнять проверку целостности системы в одном из следующих режимов:
- Полная проверка. При проверке изменений в файлах учитываются все атрибуты файлов и их содержимое.
- Быстрая проверка. При проверке изменений в файлах учитываются только атрибуты файлов, их содержимое не проверяется.
Проверка изменений в реестре и проверка подключения внешних устройств выполняется в любом режиме в соответствии с заданной областью действия проверки целостности системы.
Снимок состояния системы формируется на виртуальной машине в результате выполнения задачи обновления снимка состояния системы. В результате создания или обновления снимка состояния системы фиксируется состояние объектов, включенных в область действия проверки целостности системы.
Вы можете обновлять снимок состояния системы в одном из следующих режимов:
- Полное обновление – по всем объектам, входящим в область проверки.
- Инкрементальное обновление – только по изменившимся или новым объектам из области проверки.
Параметры работы компонента Контроль целостности системы задаются в политике для Легкого агента для Windows или в локальном интерфейсе Легкого агента для Windows. Вы можете включать и выключать работу компонента Контроль целостности системы в режиме реального времени, а также настраивать следующие параметры:
- Область действия контроля целостности системы в режиме реального времени:
- Список объектов, которые должен контролировать компонент Контроль целостности системы в режиме реального времени.
- Список правил контроля целостности системы, в соответствии с которыми компонент отслеживает изменения в файлах и реестре. Вы можете создавать правила и использовать предустановленные правила из шаблонов, которые входят в комплект поставки программы.
- Список объектов, состояние которых требуется проверять. Состояние этих объектов фиксируется в снимке состояния системы.
- Список правил контроля целостности системы, в соответствии с которыми компонент проверяет изменения в файлах и реестре. В снимке состояния системы фиксируется состояние файлов и папок, а также ключей реестра, заданных в правилах. Вы можете создавать правила и использовать предустановленные правила из шаблонов, которые входят в комплект поставки программы.
Если область действия проверки целостности системы не задана, для задачи проверки целостности системы и задачи обновления снимка состояния системы используется область действия контроля целостности системы.
Вы можете посмотреть информацию о результатах работы компонента Контроль целостности системы в Kaspersky Security Center и в локальном интерфейсе Легкого агента для Windows.
Описанная в этом разделе функциональность программы Kaspersky Security доступна, только если вы используете программу по расширенной лицензии и программа установлена на виртуальной машине с операционной системой Windows для серверов и файловой системой NTFS или FAT32.
Компонент Контроль целостности системы позволяет отслеживать изменения в операционной системе Windows, установленной на защищенной виртуальной машине. Вы можете контролировать следующие объекты:
- Файлы и реестр . Компонент Контроль целостности системы отслеживает изменения в файлах и реестре, включенных в область контроля.
- Внешние устройства . Компонент Контроль целостности системы отслеживает подключение внешних устройств следующих типов:
- Дисководы для жестких дисков.
- Дисководы для оптических дисков (CD/DVD/Blu-ray).
- Устройства USB.
- Камеры и сканеры.
- Внешние сетевые адаптеры.
Компонент Контроль целостности системы может работать в режиме реального времени, а также выполнять проверку целостности системы по расписанию или по требованию.
При работе в режиме реального времени Контроль целостности системы позволяет отслеживать изменения в объектах контроля, которые вы включили в область действия контроля целостности системы.
Проверка целостности системы по расписанию или по требованию выполняется с помощью задачи проверки целостности системы. Проверка осуществляется путем сравнения текущего состояния объектов, включенных в область действия проверки целостности системы, с состоянием этих объектов, которое предварительно зафиксировано в виде снимка состояния системы.
Вы можете выполнять проверку целостности системы в одном из следующих режимов:
- Полная проверка. При проверке изменений в файлах учитываются все атрибуты файлов и их содержимое.
- Быстрая проверка. При проверке изменений в файлах учитываются только атрибуты файлов, их содержимое не проверяется.
Проверка изменений в реестре и проверка подключения внешних устройств выполняется в любом режиме в соответствии с заданной областью действия проверки целостности системы.
Снимок состояния системы формируется на виртуальной машине в результате выполнения задачи обновления снимка состояния системы. В результате создания или обновления снимка состояния системы фиксируется состояние объектов, включенных в область действия проверки целостности системы.
Вы можете обновлять снимок состояния системы в одном из следующих режимов:
- Полное обновление – по всем объектам, входящим в область проверки.
- Инкрементальное обновление – только по изменившимся или новым объектам из области проверки.
Параметры работы компонента Контроль целостности системы задаются в политике для Легкого агента для Windows или в локальном интерфейсе Легкого агента для Windows. Вы можете включать и выключать работу компонента Контроль целостности системы в режиме реального времени, а также настраивать следующие параметры:
- Область действия контроля целостности системы в режиме реального времени:
- Список объектов, которые должен контролировать компонент Контроль целостности системы в режиме реального времени.
- Список правил контроля целостности системы, в соответствии с которыми компонент отслеживает изменения в файлах и реестре. Вы можете создавать правила и использовать предустановленные правила из шаблонов, которые входят в комплект поставки программы.
- Список объектов, состояние которых требуется проверять. Состояние этих объектов фиксируется в снимке состояния системы.
- Список правил контроля целостности системы, в соответствии с которыми компонент проверяет изменения в файлах и реестре. В снимке состояния системы фиксируется состояние файлов и папок, а также ключей реестра, заданных в правилах. Вы можете создавать правила и использовать предустановленные правила из шаблонов, которые входят в комплект поставки программы.
Если область действия проверки целостности системы не задана, для задачи проверки целостности системы и задачи обновления снимка состояния системы используется область действия контроля целостности системы.
Вы можете посмотреть информацию о результатах работы компонента Контроль целостности системы в Kaspersky Security Center и в локальном интерфейсе Легкого агента для Windows.
Описание и назначение
Средства контроля целостности информационной системы — это программное обеспечение, позволяющее отследить состояние информационной системы, в том числе возможные несанкционированные изменения компонентов системы либо санкционированные изменения пользователями, имеющими на это право.
Под целостностью информационной системы подразумевают:
- Целостность программного обеспечения, используемого в информационной системе.
- Целостность информации, которая хранится и обрабатывается в информационной системе.
- Целостность технических средств информационной системы, которые обеспечивают обработку информации.
Обеспечение целостности информационных систем является критичной задачей для организаций, так как в них обрабатываются большие потоки данных. Для обеспечения целостности информационной системы могут применяться множество методов, начиная от реализации правил разграничения доступа, защиты от вредоносного программного обеспечения, до шифрования и физической защиты технических средств. Целостность информационной системы может выполняться следующими способами:
- Организационно. В данном случае понимается разработка, утверждение и выполнение регламентов информационной безопасности организации, направленных на целостность системы. Для обеспечения целостности необходимо проводить своевременный контроль, включающий в себя контроль целостности программного обеспечения, его компонентов.
- Техническими средствами. Для обеспечения целостности информационных систем применяются специальные средства защиты информации, осуществляющие контроль целостности программных компонентов, баз данных и других ресурсов, функционирующих в системе. При этом должна осуществляться физическая защита технических средств (например, применение систем контроля и управления доступом), а также контроль климатических характеристик, например температурного режима (это особенно актуально в случае серверных помещений).
Чтобы определиться с необходимыми средствами защиты, в первую очередь необходимо определиться с тем, какие ресурсы требуется защищать, а также каким образом может быть нарушена целостность.
Описание и назначение
Контроль целостности компьютерной системы — это механизм, необходимый для отслеживания неизменности файлов, документов, реестра, конфигурации оборудования и других сущностей, которые находятся на компьютере или сервере.
Средства контроля целостности могут быть как программными, так и программно-аппаратными.
Под программно-аппаратными средствами защиты подразумеваются модули (платы) доверенной загрузки. Такие средства устанавливаются в корпус компьютера, ноутбука или сервера. В зависимости от модели материнской платы модули доверенной загрузки могут быть различных форм-факторов (PCI, PCI-e, mini PCI). Такие платы способны заблокировать доступ к USB-портам, чтобы избежать загрузку с несанкционированных носителей информации (флешек и дисков), а также запретить загрузку компьютера в случае возникновения ошибок при прохождении процедуры контроля целостности следующих ресурсов:
- Файлов и секторов жестких дисков.
- Журналов транзакций.
- Элементов реестра.
- PCI-устройств.
- Оперативной памяти.
- ACPI (Advanced Configuration and Power Interface — усовершенствованный интерфейс управления конфигурацией и питанием).
- SMBIOS (System Management BIOS — системное управление BIOS).
Программные средства контроля целостности предназначены для отслеживания неизменности содержимого ресурсов компьютера. Как правило, в качестве алгоритмов, применяемых при контроле целостности, используются:
- Полное копирование ресурсов. Не экономичный способ, так как для проверки используются заранее скопированные данные. Также способ не считается безопасным — копии данных можно подменить или скачать.
- Метод контрольных сумм, или CRC, хэширование. В данном случае применяется специальный криптографический алгоритм, который рассчитывает контрольную сумму, или хэш выбранного ресурса. Все хэши хранятся в защищенном месте на компьютере пользователя.
- Электронно-цифровая подпись. Использование ЭЦП заключается в шифровании хеша, который был вычислен по входным данным.
- Имитовставка, или MAC. Имитовставка — это уникальный набор символов, который генерируется с помощью криптографического алгоритма, а также специального закрытого ключа.
Системы, осуществляющие контроль целостности, позволяют пользователю выбрать оптимальное время для проведения проверок. Наиболее частые значения — во время загрузки или выключения работы компьютера. Такое решение не позволяет сильно загрузить систему вычислениями.
Самым важным свойством данных систем является порядок действий в случае, если тест не пройден. Система может откатить изменения к тем значениям, которые были во время последней проверки, или просто зарегистрировать событие в журнале событий.
Выбор средств защиты
Поиск
Мнение
Подкатегории
Системы контроля и мониторинга состояния и целостности информационных систем
Выбор средств защиты
Мнение
Контроль целостности компьютерной системы (Контроль целостности)
Поиск
Читайте также:
- для 64-разрядных операционных систем: