Das CVD-Datei-Compliance-Tool überwacht Dateiänderungen auf Endpunkten zur Ermittlung ungewöhnlicher Dateiaktivitäten, um die Abbildübereinstimmung sicherzustellen.

Mit diesem Tool können Sie ungewöhnliche Aktivitäten und Änderungen auf Computern ermitteln, die normalerweise statisch sind, Sicherheitsverstöße nachverfolgen und Datenverluste oder ein unvorhergesehenes Verhalten verhindern.

Das Tool verfügt über zwei Modi:
  • Modus „Referenzmanifest erstellen“: Das Tool kopiert das letzte Manifest, das in einen speziellen Pfad im Speicher geladen wurde. In diesem Modus wird keine Richtliniendatei verwendet und alle Manifesteinträge werden einbezogen.
  • Modus „Compliance überprüfen“: Sie geben eine Richtliniendatei an, die die Dateierweiterungen festlegt, die nachverfolgt werden sollen, und die Ordner, die nicht nachverfolgt werden sollen. Das Tool wendet die Richtliniendatei sowohl auf das Referenzmanifest wie auf das aktuelle Manifest an, überprüft diese auf eventuelle Änderungen und meldet diese.

Jede Datei im Endpunkt verfügt über eine Signatur (Datenprüfsumme), die im Manifest gespeichert ist. Dieses enthält eine Liste aller Dateien, die im Speicher gesichert werden. Mit dem Pfad und den Prüfsummendaten im Manifest können Sie feststellen, ob eine Datei von ihrem ursprünglichen Speicherort verschoben oder geändert wurde. Mirage speichert das aktuelle Manifest in einer bestimmten Datei im Speicher.

Erstellen des Referenzmanifestes

Vor der Ausführung des Tools müssen Sie sicherstellen, dass für den Endpunkt ein Hochladevorgang auf den Server abgeschlossen ist.

Das Häufigkeit des Hochladens ist von der Mirage-Konfiguration abhängig. Wenn das Manifest noch nicht vorhanden ist, erstellt das Tool ein Referenzmanifest in einem bestimmten Pfad. Wenn es vorhanden ist, vergleicht das Tool das Manifest mit dem aktuellen Manifest im Speicher und meldet eine eventuelle Änderung. Beachten Sie, dass eine Fehlermeldung angezeigt wird, wenn Sie das Flag -CreateReferenceFileList nicht verwenden und das Referenzmanifest nicht vorhanden ist.

Um das Referenzmanifest zum ersten Mal zu erstellen, führen Sie folgenden Befehl aus: FileComplianceScan -CreateReferenceFileList -MgmServerAddress localhost -CvdID 10008.

Die einzelnen Parameter haben folgende Bedeutung:
  • -CreateReferenceFileList erstellt die erste Datei für das Referenzmanifest.
  • -MgmServerAddress ist der Name oder die IP-Adresse des Mirage-Management-Servers.
  • -CvdID <id> ist der Computer-/CVD-Bezeichner.

Das Tool listet die Anzahl der ermittelten Dateien auf. Dazu gehören alle Dateien in der CVD-Richtlinie.

Überprüfen der Compliance

Um die Dateien zu prüfen, die Sie nachverfolgen möchten, führen Sie folgenden Befehl aus: FileComplianceScan -MgmServerAddress localhost -FilesPolicy "C:\PolicyFile.xml" -OutputDir "c:\DetectManifestOutput" -LogTraceLevel -CvdID 10008.

Die einzelnen Parameter haben folgende Bedeutung:
  • -MgmServerAddress ist der Name oder die IP-Adresse des Mirage-Management-Servers.
  • -FilesPolicy <xmlFilePath> ist der Pfad zur XML-Datei mit den Dateierweiterungen, die berücksichtigt, und mit den Ordnern, die ausgeschlossen werden sollen. Wenn die Datei nicht vorhanden ist, wird dies vom Tool gemeldet. Es erstellt dann eine Vorlagendatei. Diese müssen Sie zur Festlegung der Dateien bearbeiten, die das Tool nachverfolgen soll, wenn der Befehl erneut ausgeführt wird.
  • -OutputDir <CsvResultDirPath> ist der Pfad zu einem Verzeichnis, in dem das Tool die CSV-Datei erstellt, die die gefundenen Dateien auflistet. Dieser Parameter ist im CreateReferenceFileList-Modus nicht gültig.
  • -LogTraceLevel ist ein Parameter für die Übermittlung detaillierter Daten in das Ausgabeprotokoll für die Fehlerbehebung.
  • -CvdID <id> ist der Computer-/CVD-Bezeichner.

Richtliniendatei

Die Richtliniendatei ist eine XML-Datei, in der die Toolregeln definiert werden. Bearbeiten Sie die Datei und geben Sie für das Tool die Pfade der ausgeschlossenen Verzeichnisse sowie die Dateierweiterungen ein, die vom Tool nachverfolgt werden sollen. Dateibeispiel:

<?xml version="1.0" encoding="utf-8"?>
<DetectManifestFilterOptions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <PathFilterArray>
    <Directory ExcludePath="C:\\Folder1\\Folder2" Recursive="true" />
    <Directory ExcludePath=" C:\\Folder1\\FileName.exe" Recursive="false" />
  </PathFilterArray>
  <TrackExtArray>
    <Track Extention="exe" />
    <Track Extention="dll" />
  </TrackExtArray>
</DetectManifestFilterOptions>
Sie können diese Datei ändern und neue Dateierweiterungen auf der Basis der Ausgabedaten hinzufügen und dann den Befehl erneut ausführen.

Ausgabe

Die Ausgabe des Tools erfolgt in eine CSV-Datei mit folgenden Formaten: Modification Type (Änderungstyp), File Data Signature (Dateidatensignatur), File Path in Ref. Manifest (Dateipfad in Referenzmanifest), Latest File Path (Aktueller Dateipfad)

Tabelle 1. Ausgabeformate
Ausgabe Beschreibung
Modification Type FileAdded: Im ursprünglichen Manifest ist keine Signatur vorhanden, im neuen Manifest dagegen schon.

FileRemoved: Im ursprünglichen Manifest ist eine Signatur vorhanden, im neuen Manifest allerdings nicht.

FilePathChanged: Wenn in beiden Manifesten eine Signatur vorhanden ist, der Pfadname oder die Anzahl der Instanzen dieser Datei sich aber geändert haben.

File Data Signature Hexadezimalwert 32 der Dateisignatur. Die Datei kann nur über einen Signaturwert verfügen.
File Path in Ref. Manifest Liste der kompletten Pfade im Referenzmanifest aller Dateien mit dieser Signatur.
Latest File Path Liste der kompletten Pfade aller Dateien mit dieser Signatur im aktuellen Manifest.

Die Übersicht an der Befehlszeile stellt die Anzahl der Zeilen in der Ausgabedatei und die Anzahl der Zeilen jedes Änderungstyps dar. Ermittelt das Tool keine Probleme, ist die Ausgabe-CSV-Datei leer.

Besteht für den Computer keine Übereinstimmung von 100 %, überprüfen Sie die Ausgabedatei und entscheiden Sie, ob Sie durch Mirage-Vorgänge den Computer auf den ursprünglichen Status zurückzusetzen.

Fallbeispiele

Wenn im Bankgewerbe ein Niederlassungs-ATM-Gerät einen Virus aufweist, hat ein IT-Administrator die Möglichkeit, das Endpunktabbild von einer zentralen Konsole aus zu korrigieren. Dazu führt er das Tool zur Virusermittlung aus und setzt den Computer auf den ursprünglichen Status zurück. Durch diesen Vorgang werden kritische Ausfallzeiten von Endpunkten und Kosten für einen Techniker zur Behebung des Problems vor Ort vermieden.

Im Handel lassen sich mit diesem Tool beschädigte Computer, deren Dateien nicht zu 100 % übereinstimmen, ermitteln und auf ihren ursprünglichen Status zurücksetzen.

Bedingungen für das Tool

Für das Tool gelten folgende Bedingungen:

  • Sie können das Tool auf jeweils einem CVD ausführen. Das Ausführung dauert ca. eine Minute pro CVD.
  • Sie können das Tool nicht auf einem archivierten CVD ausführen.
  • Sie können das Tool nicht auf einem CVD mit LMO (Layer Management Only, Nur Layer-Management) ausführen.
  • Wenn das Tool aufgrund von Fehlern die Prüfung nicht abschließen kann, wird eine entsprechende Fehlermeldung angezeigt.
  • Das Tool kann auf jedem Computer ausgeführt werden, auf dem die Mirage-Servertools ausgeführt werden. Die Ausführung ist aus Skalierungsgründen nicht auf den Mirage-Management-Server beschränkt.
Beispiel für eine Fehlermeldung:
CVD 10001 is an archived CVD. This tool does not support archive CVD. Please type valid CVD ID 
Could not find volume path for CVD 10001  
Error: Invalid program parameter(s): Missing server address