ksc 14 Проверка целостности модулей сертифицированного KSC14

[altera]

Доброго дня. Переходим на сертифицированную версию KSC14.0(WinServer 2012r2), но такое ощущение, что что-то пропускаю, потому что не могу проверить целостность уже установленных файлов.

Есть физический диск из сертифицированного медиапака, и есть скаченный образ отсюда https://support.kaspersky.ru/common/certificates/11320 Образ диска проходит проверку ЭП утилитой KLSignatureCheck.exe

Далее согласно Руководства об эксплуатации https://support.s.kaspersky-labs.com/cert/11320/[69-08%20KSC14][Win]%20Руководство%20по%20эксплуатации.pdf есть раздел Проверка целостности модулей с помощью утилиты klscmodchk (стр. 817, справка под катом) 

  Reveal hidden contents

Программа Kaspersky Security Center содержит множество различных бинарных модулей в виде динамически подключаемых библиотек, исполняемых файлов, конфигурационных файлов и файлов интерфейса. Злоумышленники могут заменить один или несколько исполняемых модулей или файлов программы другими файлами, содержащими вредоносный код. Чтобы избежать подмены модулей и 818 файлов программы, в программе Kaspersky Security Center предусмотрена проверка целостности компонентов программы с помощью утилиты klscmodchk. Утилита проверяет модули и файлы на наличие неавторизованных изменений или повреждений. Если модуль или файл программы имеет некорректную контрольную сумму, то он считается поврежденным.

Включение проверки целостности модулей

По умолчанию проверка целостности модулей при запуске программы выключена. Для включения проверки используются стандартные ключи реестра операционной системы Windows.

► Чтобы включить проверку целостности модулей при запуске программы, выполните следующие действия:

1. Откройте реестр Windows устройства, на котором установлен Сервер администрирования, и добавьте новый ключ типа DWORD (32-разрядный) с именем KLMODCHK_ENABLE_CHECKING в соответствующую директорию:

• HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1093\1.0.0.0\S erverFlags для 32-разрядных систем;

• HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\KasperskyLab\Components\34\10 93\1.0.0.0\ServerFlags для 64-разрядных систем.

2. Используйте утилиту klscflag, чтобы установить ключ. Для этого в командной строке Windows введите следующую команду:

klscflag.exe -fset -pv klserver -n KLMODCHK_ENABLE_CHECKING -t d -v 1

3. Перезагрузите устройство с Сервером администрирования. При следующем запуске программы Kaspersky Security Center одновременно с Сервером администрирования запустится утилита klscmodchk, которая начнет проверку целостности модулей. Результаты всех автоматических проверок целостности (сообщения об успешной или неуспешной проверке, сообщения об ошибках), выполненных при запуске Сервера администрирования, записываются в журнал событий Kaspersky Event Log и доступны для просмотра в любой момент.

Процедура проверки целостности модулей

Проверка целостности модулей программы Kaspersky Security Center выполняется автоматически при каждом запуске программы, если эта опция была включена. Кроме того, проверку можно запустить в любое время вручную.

Утилита klscmodchk проверяет целостность модулей на основе файла манифеста kl_file_integrity_manifest.hml, который входит в состав сборки Kaspersky Security Center и расположен в папке установки программы. Файл манифеста содержит список проверяемых модулей программы, который формируется при ее установке.

Не рекомендуется вносить изменения в файл манифеста kl_file_integrity_manifest.hml, так как это приведёт к изменению цифровой подписи файла и ошибкам в работе утилиты klscmodchk.

Чтобы проверить целостность файлов и модулей программы Kaspersky Security Center путем ручного запуска утилиты klscmodchk, выполните следующую команду в консоли командной строки:

integrity_checker [опции] [аргумент].

Для использования в команде доступны следующие опции:

• --help – выводит в консоль текст справки с описанием опций утилиты klscmodchk;

• --version – выводит в консоль номер версии утилиты klscmodchk;

• --verbose – выполняет расширенный вывод выполняемых действий и результатов (если эта опция не используется в команде, в консоли отображаются только ошибки, объекты, не прошедшие проверку, и суммарная статистика проверки);

• --trace – выполняет назначение файла для записи результатов проверки (если эта опция не используется в команде, результаты выводятся только в консоль), где — полный путь к файлу на диске.

В качестве аргумента командной строки используется значение path_to_manifest, после которого необходимо указать полный путь к файлу манифеста на диске.

Пробую как в авто режиме, так и в ручном:

integrity_checker --verbose --trace intchklog.txt kl_file_integrity_manifest.xml

и ловлю ошибку пустой xml-структуры

 

AVP TRACE FILE     Tracer version: 30.650.0.90  UTC time: 2023-06-19 12:19:17  Local time: 2023-06-19 16:19:17+04:00  PID: 1512(0x5e8)

12:19:17.249 0x1c8 DBG Application config: {
    "manifest": "C:\/Program Files (x86)\\Kaspersky Lab\\Kaspersky Security Center\\kl_file_integrity_manifest.xml",
    "isVerbose": "true",
    "isNormalizeAction": "false",
    "isVerifyAction": "true",
    "isDisplayVersion": "false",
    "logFile": "intchklog.txt",
    "logLevel": "800"
}

12:19:17.249 0x1c8 DBG Setting environment variable %ManifestPath% => C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml
12:19:17.249 0x1c8 DBG Environment variable is set: %ManifestPath% => C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml
12:19:17.249 0x1c8 DBG Setting environment variable %ProductRoot% => C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center
12:19:17.249 0x1c8 DBG Environment variable is set: %ProductRoot% => C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center
12:19:17.249 0x1c8 DBG Creating Gost2012 instance ...
12:19:17.249 0x1c8 DBG Gost2012 instance created.
12:19:17.249 0x1c8 DBG Processing Manifest C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml ...
12:19:17.249 0x1c8 DBG Verifying Gost2012 signature of file C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml ...
12:19:17.249 0x1c8 DBG Gost2012 signature of file C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml is OK
12:19:17.249 0x1c8 DBG Finding signature position ...
12:19:17.249 0x1c8 DBG Signature position: 5
12:19:17.249 0x1c8 DBG Signature size: 98
12:19:17.249 0x1c8 ERR Can't process XML content : Error document empty.
End of trace file, local time: 2023-06-19 16:19:17

 

что собственно внутри файла kl_file_integrity_manifest.xml так и есть, там только строка подписи самого файла манифеста:

:!28401GWKnFAcdcNE71B4kVI9bQXuFLdQcVh5J81Sj0n1yfR1ZWHOzuCNcJjRmBNqCffEj45SDXS2xtwq/LQpACCXqLq9%%

 

В более старых KSC утилита чуть другая была, содержала команды генерации, нормализации. Может и тут какая-то первоначальная инициализация подсчета контрольных сумм после установки должна была быть? Кто сталкивался или сразу в техподдержку топать?

А еще в приложении к формуляру такие абзацы есть, надо ли понимать, что integrity_checker вообще не надо применять для KSC14 Windows?

Подсчет контрольных сумм неизменяемых компонент программного изделия, установленного на операционной системе семейства Linux, и веб-плагинов удаленного управления осуществляется утилитой integrity_checker из состава программного изделия по алгоритму вычисления хэш-функции ГОСТ Р 34.11-2012. Контрольные суммы представлены в кодировке Base64. Подсчет контрольных сумм неизменяемых компонент программного изделия, установленного на операционной системе семейства Windows, осуществляется программой ФИКС 2.0.2 по алгоритму вычисления хэш-функции ГОСТ Р 34.11.

[altera]

Итого по результатам тикета признали ошибку в сборке дистриба KSC14.0, прислали отдельно архив с файлами kl_file_integrity_manifest.xml. Стала выполнятся проверка  утилитой klscmodchk автоматически и из командной строки integrity_checker. А образ на сайте похоже не меняли, так что кто следующий наступит на эти грабли - пришлют тот же архив через компаниаккаунт.

 

[Demiad]

@altera, буквально только что была получена сертификация ФСТЭК на KSC 14.2, дистрибутив в статье заменили на новый. Большое спасибо за информацию о решении!