アプリケーションコンポーネントの変更チェック
本製品には、様々なバイナリモジュールが多数含まれています。モジュールの形式は、ダイナミックリンクライブラリ、実行ファイル、設定情報ファイル、インターフェイスファイルです。侵入者により、1 個以上のアプリケーションの実行モジュールまたはファイルが、悪意のあるコードを含む別のファイルに置換される可能性があります。モジュールやファイルの置換を防止するために、本製品はアプリケーションコンポーネントの変更をチェックできます。モジュールとファイルに不正な変更または破損がないかをチェックします。モジュールまたはファイルチェックサムが正しくない場合、破損していると認識されます。
デバイスに以下のアプリケーションコンポーネントがインストールされている場合は、それに対する完全性チェックを実行します:
- 製品パッケージ
- グラフィカルユーザーインターフェイスパッケージ
- Kaspersky Security Center ネットワークエージェントパッケージ
- Kaspersky Endpoint Security 管理プラグイン
マニフェストファイルと呼ばれる特別なリスト内のファイルの変更をチェックします。製品コンポーネントが正しく動作するためには、アプリケーションファイルの整合性が重要であり、各製品コンポーネントにはそのアプリケーションファイルのリストを含む独自のマニフェストファイルがあります。マニフェストファイルの名前は各コンポーネントで同じですが、マニフェストファイルの内容は異なります。マニフェストファイルはデジタル署名されており、その変更もチェックされます。
製品コンポーネントの変更は、整合性チェックユーティリティを使用してチェックされます。
変更チェックユーティリティは、root 権限を持つアカウントで実行する必要があります。
変更を確認するには、本製品とともにインストールされたユーティリティ、または認定済みの CD で配布されたユーティリティを使用できます。
認定済みの CD から変更チェックユーティリティを実行し、ユーティリティの整合性を確認することを推奨します。CD からユーティリティを実行する場合は、マニフェストファイルへの絶対パスを指定します。
製品と一緒にインストールされる変更チェックユーティリティは、以下のパスにあります:
- 製品パッケージ、グラフィカルユーザーインターフェイスパッケージ、ネットワークエージェントをチェック:/opt/kaspersky/kesl/bin/integrity_checker
- Kaspersky Endpoint Security 管理プラグインをチェック - 管理プラグインの実行モジュール(DLL)があるディレクトリ:
- %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\Plugins\kesl_<プラグインのバージョン>.plg\integrity_checker.exe - 32 ビットオペレーティングシステムの場合
- %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security Center\Plugins\kesl_<プラグインのバージョン>.plg\integrity_checker.exe - 64 ビットオペレーティングシステムの場合
マニフェストファイルは、以下のパスにあります:
- /opt/kaspersky/kesl/bin/integrity_check.xml - 製品パッケージの変更をチェック。
- /opt/kaspersky/kesl/bin/gui_integrity_check.xml - グラフィカルユーザーインターフェイスの変更をチェック。
- /opt/kaspersky/klnagent/bin/kl_file_integrity_manifest.xml - 32 ビットオペレーティングシステムのネットワークエージェントをチェック。
- /opt/kaspersky/klnagent64/bin/kl_file_integrity_manifest.xml - 64 ビットオペレーティングシステムのネットワークエージェントをチェック。
製品コンポーネントの変更をチェックするには、次のコマンドを実行します:
- 製品 パッケージとグラフィカル ユーザー インターフェイス パッケージを確認するには:
integrity_checker [<
manifest ファイルへのパス
>] --signature-type kds-with-filename
- Kaspersky Endpoint Security 管理プラグインとネットワーク エージェントを確認するには:
integrity_checker [<
manifest ファイルへのパス
>]
既定のパスは、システム変更チェックユーティリティと同じディレクトリに配置された manifest ファイルへのパスです。
ユーティリティは、以下のオプション設定を使用して実行できます:
--crl <
ディレクトリ
>
- 証明書失効リストを含むディレクトリへのパス。--version
- ユーティリティのバージョンを表示します。--verbose
- 実行動作と結果に関する詳細な情報を表示します。この設定を指定しない場合、エラー、チェックをパスしなかったオブジェクト、スキャン統計のサマリーのみが表示されます。--trace <
ファイル名
>
-<
ファイル名
>
は、スキャン中に間に発生したイベントが DEBUG 詳細レベルでログに記録されるファイル名です。--signature-type kds-with-filename
– チェックする署名のタイプ(この設定は、アプリケーションのパッケージ、グラフィカルユーザーインターフェイスのパッケージ、ネットワークエージェントのチェックに必要です)。--single-file <
ファイル
>
- マニフェスト内の 1 つのファイルだけをスキャンし、他のオブジェクトを無視します。
integrity_checker --help
コマンドを実行すると、ユーティリティオプションのヘルプで使用可能なすべての変更チェックユーティリティ設定の説明を表示できます。
マニフェストファイルのチェック結果は、次のように表示されます:
SUCCEEDED
- ファイルの整合性が確認されました(リターンコード 0)。FAILED
- ファイルの整合性が確認されませんでした(リターンコードが 0 以外)。
製品の起動時にアプリケーションまたはネットワークエージェントの整合性違反が検出された場合、Kaspersky Endpoint Security はイベントログと Kaspersky Security Center で IntegrityCheckFailed イベントを生成します。