Das CIFS-Integrity-Monitoring steht nicht für den FL MGUARD RS2000, TC MGUARD RS2000 3G, TC MGUARD RS2000 4G und FL MGUARD RS2005 zur Verfügung.

Es darf nicht auf dem FL MGUARD BLADE Controller verwendet werden.

Im Netzwerk-Modus Stealth ist ohne Management-IP keine CIFS-Integritätsprüfung mög­lich.

Die Funktion CIFS-Anti-Virus-Scan-Connector wird ab mGuard-Firmwareversion 8.5 nicht mehr unterstützt.

Damit diese Netzlaufwerke tatsächlich geprüft werden können, müssen Sie zusätzlich bei der CIFS-Integritätsprüfung auf diese Netzlaufwerke verweisen.

Importierbare Netzlauf­werke

Name

Name des Netzlaufwerkes, das geprüft werden soll. (Interner Name, der in der Konfiguration verwendet wird.)

Adresse des Servers

IP-Adresse oder DNS-Hostname des freigebenden Servers.

Name des importier­ten Netzlaufwerks

Freigabename für das Netzlaufwerk, das geprüft werden soll.

Klicken Sie auf das Icon Zeile bearbeiten, um Einstellun­gen vorzunehmen.

Identifikation zur Referen­zierung

Name

Name des Netzlaufwerkes, das geprüft werden soll. (Interner Name, der in der Konfiguration verwendet wird.)

Ort des importierbaren Netzlaufwerks

Adresse des Servers

IP-Adresse oder DNS-Hostname des freigebenden Servers.

Name des importier­ten Netzwerkes

Freigabename für das Netzlaufwerk, das geprüft werden soll.

Authentifizierung zum Anbinden des Netzlauf­werks

Domäne/Arbeits­gruppe

Name der Arbeitsgruppe, zu der das Netzlaufwerk gehört.

NetBIOS Name (nur für Windows 95/98)

Name für das NetBIOS bei Windows 95/98-Rechner

Login

Login (Benutzerkennung) für den Server

Passwort

Passwort für den Login

Nach einer gewollten Manipulation der relevanten Dateien des Netzlaufwerks muss die Integritätsdatenbank neu erstellt werden. Solange keine (gültige) Integritätsdatenbank besteht, kann eine unerlaubte Manipulation der relevanten Dateien nicht entdeckt wer­den.

Allgemein

Integritätszertifikat (Maschinenzertifikat zum Signieren von Integritätsdatenban­ken)

Dient zum Signieren und Prüfen der Integritätsdatenbank, damit diese nicht unbemerkt durch einen Angreifer ausge­tauscht oder manipuliert werden kann.

Informationen zu Zertifikaten finden Sie unter „Maschinenzer­tifikate“ auf Seite 265.

Sende Benachrichti­gung per E-Mail

Nach jeder Prüfung: An die unten angegebene Adresse wird nach jeder Prüfung eine E-Mail verschickt.

Nein: An die unten angegebene Adresse wird keine E-Mail verschickt.

Nur bei Fehlern und Abweichungen: An die unten angege­bene Adresse wird eine E-Mail verschickt, wenn bei der CIFS-Integritätsprüfung eine Abweichung entdeckt worden ist, oder wenn die Prüfung auf Grund eines Zugriffsfehlers nicht statt­findet.

E-Mail Adresse für Benachrichtigungen

An diese Adresse wird eine E-Mail verschickt, entweder nach jeder Prüfung oder nur, wenn bei der CIFS-Integritätsprüfung eine Abweichung entdeckt worden ist, oder die Prüfung auf Grund eines Zugriffsfehlers nicht stattfinden konnte.

Anfang des Betreffs für E-Mail-Benachrich­tigungen

Text für die Betreffzeile der E-Mail-Nachricht.

Prüfung von Netzlaufwer­ken

(Wenn Netzlaufwerke definiert sind)

Zustand

Zustand des Netzlaufwerks:

–Das Netzlaufwerk wurde noch nie überprüft. Eine Integri­tätsdatenbank liegt wahrscheinlich nicht vor.

–Die letzte Prüfung war erfolgreich.

–Der Vorgang wurde aufgrund eines nicht erwarteten Er­eignisses abgebrochen. Bitte prüfen Sie die Log-Dateien.

–Die letzte Prüfung wurde nach Ablauf eines Timeouts ab­gebrochen.

–Die Integritätsdatenbank ist nicht vorhanden oder unvoll­ständig.

–Die Signatur der Integritätsdatenbank ist ungültig.

–Die Integritätsdatenbank wurde mit einem anderen Prüf­summen-Algorithmus erstellt.

–Die Integritätsdatenbank liegt in der falschen Version vor.

–Das zu prüfende Netzlaufwerk ist nicht verfügbar.

–Das als Prüfsummenspeicher verwendete Netzlaufwerk ist nicht verfügbar.

–Eine Datei konnte aufgrund eines I/O-Fehlers nicht gele­sen werden (siehe Prüfbericht).

–Der Verzeichnisbaum konnte aufgrund eines I/O-Fehlers nicht vollständig durchlaufen werden (siehe Prüfbericht).

–Auf alle Dateien im Netzlaufwerk kann erfolgreich zuge­griffen werden. Eine Integritätsprüfung kann erfolgen.

Aktiv

Ja: Die Prüfung für dieses Netzlaufwerk wird regelmäßig aus­gelöst.

Nein: Es wird keine Prüfung für dieses Netzlaufwerk ausge­löst. Der mGuard hat dieses Laufwerk nicht verbunden. Ein Status kann nicht eingesehen werden.

Ausgesetzt: Die Prüfung wird bis auf Weiteres ausgesetzt. Ein Status kann eingesehen werden.

Überprüftes CIFS-Netzlaufwerk

Name des zu prüfenden Netzlaufwerkes (wird unter CIFS-In­tegrity-Monitoring >> Netzlaufwerke >> Editieren angelegt).

Prüfsummenspeicher

Um die Prüfung durchführen zu können, muss der mGuard ein Netzlaufwerk zum Auslagern der Dateien zur Verfügung ge­stellt bekommen.

Der Prüfsummenspeicher darf über die externe Netzwerk­schnittstelle erreichbar sein.

Aktion

Klicken Sie auf das Icon Zeile bearbeiten, um für die Prüfung der Netzlaufwerke weitere Einstellungen vorzunehmen.

Einstellungen

Aktiv

Ja: Die Prüfung für dieses Netzlaufwerk wird regelmäßig aus­gelöst.

Nein: Es wird keine Prüfung für dieses Netzlaufwerk ausge­löst. Der mGuard hat dieses Laufwerk nicht verbunden. Ein Status kann nicht eingesehen werden.

Ausgesetzt: Die Prüfung wird bis auf Weiteres ausgesetzt. Ein Status kann eingesehen werden.

Überprüftes CIFS-Netzlaufwerk

Name des zu prüfenden Netzlaufwerkes (wird unter CIFS-In­tegrity-Monitoring >> Netzlaufwerke >> Editieren angelegt).

Status der Einbin­dung des Netzlauf­werks

Zeigt den Status der Einbindung des Netzlaufwerks an.

Versuche

Anzahl der erfolglosen Einbindungsversuche seit der letzten Umkonfiguration des Netzlaufwerks oder nach Neustart des mGuards.

Muster für Datei­namen

Es werden bestimmte Datei-Typen geprüft (z. B. nur ausführ­bare Dateien wie *.exe, *.dll).

Sie können die Regeln dafür unter CIFS-Integrity-Monitoring >> CIFS-Integritätsprüfung >> Muster für Dateinamen >> Edit einstellen.

Zeitgesteuert

Sonntags, Montags, Dienstags, ... , Täglich, Mehrmals täglich, Ständig

Sie können täglich, mehrmals täglich oder an einem be­stimmte Wochentag die Prüfung starten.

Sie können die Prüfung auch manuell starten (siehe CIFS-In­tegrity-Monitoring >> CIFS-Integritätsprüfung >> Einstellun­gen >> Editieren >> Verwaltung, Aktionen).

Start um (Stunde)

Uhrzeit, zu der die Prüfung startet (Stunde).

Bei Auswahl von „Mehrmals täglich“ alle: 1 h, 2 h, 3 h, 4 h, 6 h, 8 h, 12 h

Start um (Minute)

Uhrzeit, zu der die Prüfung startet (Minute).

Bei Auswahl von „Mehrmals täglich“ alle: 1 h, 2 h, 3 h, 4 h, 6 h, 8 h, 12 h

Maximale Dauer eines Prüflaufes

Maximale Dauer des Prüfablaufes in Minuten.

So können Sie sicherstellen, dass die Prüfung rechtzeitig (z. B. vor Beginn des Schichtbetriebes) abgeschlossen sein wird.

Prüfsummenspeicher

Prüfsummen­algorithmus/Hash

MD5, SHA-1, SHA-256 (Default)

Prüfsummenalgorithmen wie MD5, SHA-1 oder SHA-256 hel­fen zu überprüfen, ob eine Datei verändert wurde.

SHA-256 gilt als sicherer als SHA-1, benötigt aber länger in der Verarbeitung.

Die Verwendung von MD5 und SHA-1 wird aus Sicherheits­gründen nicht mehr empfohlen (Siehe „Verwendung sicherer Verschlüsselungs- und Hash-Algorithmen“ auf Seite 19).

Abzulegen auf dem Netzlaufwerk

Um die Prüfung durchführen zu können, muss der mGuard ein Netzlaufwerk zum Auslagern der Dateien zur Verfügung ge­stellt bekommen.

Der Prüfsummenspeicher darf über die externe Netzwerk­schnittstelle erreichbar sein.

Dasselbe Netzlaufwerk kann für verschiedene zu prüfende Netzlaufwerke als Prüfsummenspeicher verwendet werden. Der Namensstamm für die Prüfsummendateien muss dann al­lerdings eindeutig gewählt werden.

Der mGuard merkt sich, welchen Versionstand die Prüfsum­mendateien auf dem Netzlaufwerk haben müssen.

Wenn es zum Beispiel notwendig ist, nach einem Defekt des Netzlaufwerkes dessen Inhalt von einem Backup wieder her­zustellen, dann werden zu alte Prüfsummendateien bereitge­stellt werden, und der mGuard würde Abweichungen erken­nen. In diesem Fall muss die Integritätsdatenbank neu erstellt werden (siehe CIFS-Integrity-Monitoring >> CIFS-Integritäts­prüfung >> Einstellungen >> Editieren >> Verwaltung, Aktio­nen).

Status der Einbin­dung des Netzlauf­werks

Zeigt den Status der Einbindung des Netzlaufwerks an.

Einbindungsversuche

Anzahl der Einbindungsversuche seit der letzten Umkonfigu­ration des Netzlaufwerks oder nach Neustart des mGuards.

Namensstamm der Prüfsummendateien (kann ein Verzeichnis vorangestellt haben)

Die Prüfsummendateien werden auf dem oben genannten Netzlaufwerk abgelegt. Sie können Sie auch in einem eigenen Verzeichnis ablegen. Der Verzeichnisname darf nicht mit einem Backslash (\) beginnen.

Beispiel: Prüfsummenverzeichnis\integrity-checksum

Es gibt ein Verzeichnis „Prüfsummenverzeichnis“ in dem Da­teien liegen, die mit „integrity-checksum“ beginnen.

Letzte Prüfung

(Ergebnisse werden nur angezeigt, wenn eine Prüfung stattgefunden hat.)

Festgestellte Unter­schiede während der letzten Prüfung

Anzahl der gefundenen Unterschiede auf dem Netzlaufwerk.

Ergebnis der letzten Prüfung

Das Ergebnis der letzten Prüfung (siehe „Zustand“ auf Seite 320)

Startzeitpunkt der letz­ten Prüfung

Wochentag, Monat, Tag, HH:MM:SS koordinierte Weltzeit (UTC, Coordinated Universal Time).

Die Landeszeit kann von dieser Zeit abweichen.

Beispiel: Die Standardzeit in Deutschland ist die mitteleuro­päische Zeit (MEZ), die gleich der UTC plus einer Stunde ist. Während der Sommerzeit gilt die mitteleuropäische Sommer­zeit, die der UTC plus zwei Stunden entspricht.

Dauer der letzten Prü­fung (Sekunden)

Dauer der Prüfung in Sekunden.

Aktuelle Prüfung

(Ergebnisse werden nur angezeigt, wenn eine Prüfung stattgefunden hat.)

Laufender Vorgang

Aktueller Betriebszustand während der Prüfung:

–Derzeit wird keine Prüfung durchgeführt.

–Die Prüfung dieses Netzlaufwerks ist ausgesetzt.

–Gerade läuft eine Prüfung des Laufwerkes.

–Eine Integritätsdatenbank wird erstellt.

–Zugriffsberechtigungen werden geprüft.

Startzeitpunkt der lau­fenden Prüfung

Startzeitpunkt, an dem die laufenden Integritätsprüfung ge­startet wurde.

Aktuell geprüfte Dateien

Anzahl der Dateien, die während der laufenden Prüfung ge­prüft wurden.

Anzahl zu prüfender Dateien

Gesamtzahl der Dateien, die geprüft werden sollen.

Festgestellte Unter­schiede während der laufenden Prüfung

Anzahl der gefundenen Unterschiede auf dem Netzlaufwerk.

Endzeitpunkt der lau­fenden Prüfung

Voraussichtlicher Zeitpunkt, zu dem die Prüfung abgeschlos­sen ist.

Prüfbericht

Herunterladen

Hier finden Sie den Prüfbericht. Er kann über die Schaltfläche „Bericht herunterladen“ heruntergeladen werden.

Der Bericht wird als Log-Datei mit dem Dateinamen „integrity-check-log.txt“ auf dem überprüften Netzlaufwerk abgelegt. Bei jeder neue Prüfung wird die Log-Datei um die Ergebnisse der neuen Prüfung erweitert. Erreicht die Datei eine Datei-größe von 32 MB, wird sie umbenannt in „integrity-check-log.txt.1“ (Backup-Datei). Eine neue Log-Datei „integrity-check-log.txt“ mit den Ergebnissen der aktuellen Prüfung wird angelegt. Erreicht diese Datei eine Dateigröße von 32 MB wird sie ebenfalls in „integrity-check-log.txt.1“ umbenannt, und die existierende Datei „integrity-check-log.txt.1“ wird un­widerruflich überschrieben. Die Integrität der Log-Dateien wird über die Erstellung von Prüfsummen sichergestellt.

Durch einen Klick auf die Schaltfläche „Bericht validieren“ wird geprüft, ob der Bericht in der vom mGuard erstellten Form unverändert vorliegt (Prüfung mit Hilfe von Signatur und Zertifikat).

Gültigkeit des Scan-Log-Reports

Ergebnis der Signaturprüfung:

–Die Signatur wurde noch nicht verifiziert.

–Die Signatur ist gültig.

–FEHLER: Der Bericht fehlt.

–FEHLER: Der Prüfbericht gehört nicht zu diesem Gerät oder er ist nicht aktuell.

–FEHLER: Der Prüfbericht wurde mit einem anderen Prüf­summen-Algorithmus erstellt.

–FEHLER: Der Prüfbericht wurde verfälscht.

–FEHLER: Der Prüfbericht ist nicht verfügbar. Prüfen Sie, ob das Netzlaufwerk eingebunden (mounted) ist.

Prüfsumme und Algo­rithmus des Reports

Prüfsumme und Algorithmus

Bericht validieren

Die Signatur des Prüfberichts wird überprüft.

Aktionen

Starte eine Integritäts­prüfung

Durch einen Klick auf die Schaltfläche Integritätsprüfung starten, wird mit der Integritätsprüfung begonnen.

Das Ergebnis der Prüfung kann durch einen Klick auf die Schaltfläche Bericht herunterladen im Prüfbericht eingese­hen werden.

Zugriffsüberprüfung starten (nur, wenn eine Integritätsdaten­bank noch NICHT erstellt wurde)

Durch einen Klick auf die Schaltfläche Zugriffsüberprüfung starten wird geprüft, ob auf dem importierten Netzlaufwerk Dateien vorhanden sind, auf die der mGuard nicht zugreifen kann.

Damit wird im Vorfeld verhindert, dass eine umfangreichere Erstellung der Integritätsdatenbank aufgrund fehlender Berechtigungen abgebrochen wird.

Das Ergebnis der Prüfung kann durch einen Klick auf die Schaltfläche Bericht herunterladen im Prüfbericht eingese­hen werden.

Erstelle die Integritäts­datenbank (neu)

Der mGuard legt eine Datenbank mit Prüfsummen an, um festzustellen ob sich Dateien verändert haben. Eine Verände­rung von ausführbaren Dateien deutet auf einen Virenbefall hin.

Wenn jedoch diese Dateien absichtlich verändert worden sind, muss durch einen Klick auf die Schaltfläche Initialisie­ren eine neue Datenbank erzeugt werden, um Fehlalarme zu verhindern.

Das Erzeugen einer Integritätsdatenbank ist auch sinnvoll, wenn Netzlaufwerke neu eingerichtet worden sind. Ansonsten wird statt der Prüfung beim ersten Prüftermin eine Integritäts­datenbank eingerichtet (wenn zuvor keine Zugriffsüberprü­fung durchgeführt wurde).

Breche den aktuelle Vorgang ab

Durch einen Klick auf die Schaltfläche Abbrechen, wird die Integritätsprüfung gestoppt.

Lösche Berichte und die Integritätsdaten­bank

Durch einen Klick auf die Schaltfläche Löschen werden die vorhandenen Berichte/Datenbanken gelöscht.

Für eine weitere Integritätsprüfung muss eine neue Integritäts­datenbank angelegt werden. Sie können dies über die Schalt­fläche Initialisieren anstoßen. Ansonsten wird eine neue In­tegritätsdatenbank zum nächsten Prüftermin automatisch angelegt (wenn zuvor keine Zugriffsüberprüfung durchge­führt wurde). Dieser Vorgang ist nicht sichtbar.

Mengen von Mustern für Dateinamen

Name

Frei definierbarer Name für einen Satz von Regeln für die zu prüfenden Dateien.

Dieser Name muss unter CIFS-Integrity-Monitoring >>CIFS-Integritätsprüfung >> Einstellungen >> Prüfung von Netzlaufwerken >> Editieren ausgewählt sein, damit das Muster aktiv wird.

Klicken Sie auf das Icon Zeile bearbeiten, um einen Satz von Regeln für die zu prüfenden Dateien festzulegen und unter dem definierten Namen zu speichern.

Regeln für zu prüfende Dateien

Muster des Dateina­mens

Dabei gibt es folgende Regeln:

**\*.exe bedeutet, dass Dateien einbezogen (oder ausgenom­men) werden, die in einem beliebigen Verzeichnis liegen und die Dateiendung *.exe haben.

Nur ein Platzhalter (*) ist pro Verzeichnis oder Dateiname er­laubt.

Platzhalter stehen für beliebige Zeichen, z. B. findet win*\*.exe Dateien mit der Endung .exe, die in einem Ver­zeichnis liegen, dass mit win... beginnt.

** am Anfang bedeutet, dass in einem beliebigen Verzeichnis gesucht wird, auch in der obersten Ebene, wenn diese leer ist. Es kann nicht mit Zeichen kombiniert werden (z. B. c** ist nicht erlaubt).

Beispiel: Name\**\*.exe bezieht alle Dateien mit der Endung .exe ein, die in dem Verzeichnis „Name“ und beliebigen Unter­verzeichnissen liegen.

Beim Prüfen einbezie­hen

Funktion aktivieren (= einbeziehen): Die Dateien werden in die Prüfung einbezogen.

(Jeder Dateiname wird mit den Mustern der Reihe nach vergli­chen. Der erste Treffer entscheidet, ob die Datei in die Integri­tätsprüfung einbezogen wird. Ohne einen Treffer wird die Datei nicht einbezogen.)

Funktion deaktivieren (= ausnehmen): Die Dateien werden aus der Prüfung ausgenommen.