Ansichten:
Bevor Sie den Agenten installieren, überprüfen Sie die digitale Signatur der Software-ZIP-Pakete und Installationsdateien. Eine korrekte digitale Signatur zeigt an, dass die Software authentisch von Trend Micro stammt und nicht beschädigt oder manipuliert wurde.
Sie können auch die Prüfsummen und digitalen Signaturen der Software für die Sicherheitsupdates und Agentenmodule validieren. Siehe Wie Server- und Workload Protection die Integrität von Updates validiert.
Zugehörige Informationen

Überprüfen Sie die Signatur von Software-.zip-Paketen

Trend Micro stellt den Deep Security Agent und die Online-Hilfe in .zip-Paketen bereit. Diese Pakete sind digital signiert. Sie können die digitale Signatur der .zip-Datei auf folgende Weise überprüfen:

Exportieren Sie die .zip-Datei aus dem Manager

Prozedur

  • Exportieren Sie eine .zip-Datei gemäß den Anweisungen in Agent-Installer exportieren.
    Beim Export überprüft Server- und Workload Protection die digitale Signatur der .zip-Datei.
    • Wenn die Signatur gut ist, erlaubt Server- und Workload Protection den Export fortzufahren.
    • Wenn die Signatur ungültig ist oder nicht existiert, Server- und Workload Protection verweigert die Aktion, löscht die Datei und protokolliert ein Ereignis.

Eigenschaften der .zip-Datei anzeigen

Prozedur

  1. Melden Sie sich bei Server- und Workload Protection an.
  2. Klicken Sie oben auf Administration.
  3. Wählen Sie UpdatesSoftwareLocal aus.
  4. Suchen Sie das .zip-Paket, dessen digitale Signatur Sie überprüfen möchten, und doppelklicken Sie darauf.
    Die Eigenschaften für die .zip-Datei öffnet sich und der Manager überprüft die digitale Signatur.
    Wenn die Signatur gut ist, sehen Sie ein grünes Häkchen in Signatur.
    Wenn die Signatur ungültig ist oder nicht existiert, löscht der Manager die .zip-Datei und protokolliert ein Ereignis.

Verwenden Sie jarsigner

Verwenden Sie das Java-Dienstprogramm jarsigner, um eine Signatur auf einer .zip-Datei zu überprüfen, wenn Sie sie nicht über den Manager überprüfen können. Zum Beispiel, wenn Sie ein Agent-.zip-Paket manuell von der Deep Security Software-Seite installieren möchten. In diesem Szenario würden Sie das jarsigner-Dienstprogramm verwenden, da der Manager nicht beteiligt ist.

Prozedur

  1. Installieren Sie das neueste Java Development Kit (JDK).
  2. Verwenden Sie das jarsigner-Dienstprogramm im JDK, um die Signatur zu überprüfen. Der Befehl lautet:
    jarsigner -verify -verbose -certs -strict <.zip_file>
    jarsigner -verify -verbose -certs -strict Agent-RedHat_EL7-11.2.0-124.x86_64.zip
  3. Überprüfen Sie alle Fehler sowie den Inhalt des Zertifikats, um zu entscheiden, ob Sie der Signatur vertrauen.

Überprüfen Sie die Signatur auf Installationsdateien (.exe, .msi, .rpm oder .deb)

Trend Micro verwendet das Rivest–Shamir–Adleman (RSA) Public-Key-Kryptosystem, um die Installer für den Deep Security Agent und den Deep Security Notifier digital zu signieren. Der Installer ist eine .exe- oder .msi-Datei auf Windows, eine .rpm-Datei auf Linux-Betriebssystemen (Amazon, CloudLinux, Oracle, Red Hat und SUSE) oder eine .deb-Datei auf Debian und Ubuntu.
Die folgenden Verfahren beschreiben, wie eine digitale Signatur auf einer Installationsdatei manuell überprüft wird. Um diese Überprüfung zu automatisieren, fügen Sie sie in Ihre Agent-Bereitstellungsskripts ein.
Befolgen Sie die Anweisungen, die dem Typ der Installationsdatei entsprechen, die Sie überprüfen möchten.

Überprüfen Sie die Signatur einer .exe- oder .msi-Datei

Prozedur

  1. Klicken Sie mit der rechten Maustaste auf die .exe- oder .msi-Datei und wählen Sie Eigenschaften.
  2. Klicken Sie auf Digital Signatures, um die Signatur zu überprüfen.

Überprüfen Sie die Signatur einer .rpm-Datei

Anstatt die Signatur der .rpm-Datei manuell zu überprüfen, sollten Sie ein Bereitstellungsskript verwenden. Andernfalls fahren Sie mit den unten stehenden Schritten fort.

Prozedur

  1. Installieren Sie GnuPG (GPG) auf dem Agent-Computer, auf dem Sie die Signatur überprüfen möchten. Dieses Dienstprogramm enthält das GPG-Befehlszeilentool zum Importieren des Signaturschlüssels und Überprüfen der digitalen Signatur. GPG ist standardmäßig auf den meisten Linux-Distributionen installiert.
  2. Suchen Sie die Datei 3trend_public.asc im Stammverzeichnis der .zip-Datei. Die .asc-Datei enthält einen GPG-öffentlichen Signaturschlüssel zur Überprüfung der digitalen Signatur.
  3. Überprüfen Sie den SHA-256-Hashwert der .asc-Datei mit einem Hash-Dienstprogramm.
    • Der Hash für Agent-Versionen 20.0.0-2971 oder höher lautet:
      bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae
    • Der Hash für Agentenversionen 20.0.0-2593 oder früher lautet:
      c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7
  4. Importieren Sie die .asc-Datei:
    gpg --import 3trend_public.asc
    Eine ähnliche Nachricht wird angezeigt:
    gpg: directory '/home/build/.gnupg' created
gpg: new configuration file '/home/build/.gnupg/gpg.conf' created
gpg: WARNING: options in '/home/build/.gnupg/gpg.conf' are not yet active during this run
gpg: keyring '/home/build/.gnupg/secring.gpg' created
gpg: keyring '/home/build/.gnupg/pubring.gpg' created
gpg: /home/build/.gnupg/trustdb.gpg: trustdb created
gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
  5. Exportieren Sie den GPG-öffentlichen Signaturschlüssel aus der ASC-Datei:
    gpg --export -a 'Trend Micro' > .rpm-GPG-KEY-CodeSign
  6. Importieren Sie den GPG-öffentlichen Signaturschlüssel in die .rpm-Datenbank:
    sudo rpm --import .rpm-GPG-KEY-CodeSign
  7. Überprüfen Sie den Import des GPG-öffentlichen Signaturschlüssels:
    rpm -qa gpg-pubkey*
    Die Fingerabdrücke der importierten GPG-öffentlichen Schlüssel erscheinen. Sie haben den Signierschlüssel importiert und können ihn verwenden, um die digitale Signatur der Agenten-.rpm-Datei zu überprüfen.
    • Der Trend Micro-Schlüssel für Agenten-Versionen 20.0.0-3180 oder später ist gpg-pubkey-e1051cbd-659d0a3e.
    • Der Trend Micro-Schlüssel für Agentenversionen 20.0.0-2593 oder früher ist gpg-pubkey-e1051cbd-5b59ac99.
  8. Führen Sie diesen Befehl auf Agent-**PGP**Core-<...>.rpm aus.
    rpm -K Agent-PGPCore-<OS-Agent-Version>.rpm
    rpm -K Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm
    Wenn Agent-PGPCore-<...>.rpm nicht in der Agent-.zip-Datei enthalten ist, besorgen Sie sich eine dieser .zip-Dateien:
    • Deep Security Agent 11.0 Update 15 oder später
    • Deep Security Agent 12 Update 2 oder später
    • Deep Security Agent 20 (oder höher)
    Eine erfolgreiche Signaturüberprüfung zeigt die folgende Nachricht an:
    Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

Überprüfen Sie die Signatur einer DEB-Datei

Anstatt die Signatur der .deb-Datei manuell zu überprüfen, sollten Sie ein Bereitstellungsskript verwenden.

Prozedur

  1. Installieren Sie das GnuPG-Befehlszeilenwerkzeug auf dem Agenten-Computer, auf dem Sie die Signatur überprüfen möchten, falls es noch nicht installiert ist. Dies ist erforderlich, um den Signaturschlüssel zu importieren und die digitale Signatur zu überprüfen.
    Beachten Sie, dass das Dienstprogramm dpkg-sig nicht mehr verfügbar ist.
  2. Suchen Sie 3trend_public.asc im Stammverzeichnis der .zip-Datei. Die .asc-Datei enthält einen GPG-öffentlichen Signaturschlüssel zur Überprüfung der digitalen Signatur.
  3. Überprüfen Sie den SHA-256-Hashwert der .asc-Datei mit einem Hash-Dienstprogramm.
    • Der Hash für die Agentenversion 20.0.0-2593 oder früher lautet:
      c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7
    • Der Hash für die Agentenversion 20.0.0-2971 oder später lautet:
      bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae
  4. Importieren Sie die .asc-Datei in den GPG-Schlüsselbund:
    gpg --import 3trend_public.asc
    Eine ähnliche Nachricht wird angezeigt:
    gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
  5. Trend Micro-Schlüsselinformationen anzeigen:
    gpg --list-keys
    Eine ähnliche Nachricht wird angezeigt:
    /home/user01/.gnupg/pubring.gpg
-------------------------------
pub 2048R/E1051CBD 2018-07-26 [expires: 2021-07-25]
uid Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>
sub 2048R/202C302E 2018-07-26 [expires: 2021-07-25]
  6. Überprüfen Sie die Signatur der .deb-Datei:
    gpg --verify <agent_deb_file>
    wobei <agent_deb_file> der Name und Pfad der Agent-.deb-Datei ist. Zum Beispiel:
    gpg --verify Agent-Core-Ubuntu_24.04-20.0.2-1390.x86_64.deb
    Wenn die Signatur überprüft wird, erscheint die folgende Meldung:
    gpg: Signature made Thu Jan  2 08:55:50 2025 UTC
gpg: using RSA key CF5EBBC17D8178A7776C1D365B09AD42E1051CBD
gpg: Good signature from "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" [unknown]
Primary key fingerprint: CF5E BBC1 7D81 78A7 776C  1D36 5B09 AD42 E105 1CBD