Deweloperzy z Microsoftu mechanizm sprawdzania integralności (Egzekwowanie zasad integralności) wdrożone jako moduł LSM (Linux Moduł bezpieczeństwa) dla jądra LinuxModuł pozwala zdefiniować ogólną politykę integralności dla całego systemu, określając, które operacje są dozwolone i jak weryfikować autentyczność komponentów. Za pomocą IPE można określić, które pliki wykonywalne mogą być uruchamiane i upewnić się, że są one identyczne z wersją dostarczoną przez zaufane źródło. Kod na licencji MIT.
Celem IPE jest stworzenie w pełni weryfikowalnych systemów, których integralność jest weryfikowana od początkowego bootloadera i jądra, aż po finalne pliki wykonywalne, konfiguracyjne i pliki rozruchowe. W przypadku modyfikacji lub podmiany pliku, IPE może zablokować operację lub zarejestrować fakt naruszenia integralności. Proponowany mechanizm może być wykorzystany w oprogramowaniu układowym urządzeń wbudowanych, w których całe oprogramowanie i ustawienia są specjalnie gromadzone i dostarczane przez właściciela. Na przykład w centrach danych Microsoft IPE jest wykorzystywane w sprzęcie typu firewall.
Z innych systemów kontroli integralności, takich jak: IPE jest niezależne od metadanych w systemie plików – wszystkie właściwości określające dopuszczalność operacji są przechowywane bezpośrednio w jądrze. Do weryfikacji integralności zawartości pliku za pomocą skrótów kryptograficznych wykorzystywane są istniejące mechanizmy jądra.
lub .
Analogicznie do SELinux Obsługiwane są dwa tryby działania: „permisywny” i „egzekwowany”. Pierwszy tryb rejestruje tylko problemy napotkane podczas kontroli, co może być wykorzystane na przykład do wstępnego testowania środowiska.
Źródło: opennet.ru
