简介
本文档介绍管理员部署Mac连接器1.14及更高版本的最新更改和步骤。
MDM配置文件
强烈建议使用授予所需批准权限的MDM配置文件来部署Mac连接器。在安装、升级或删除Mac连接器之前,必须安装MDM配置文件,以确保识别所需的权限。如果无法使用MDM,请参阅本文档后面的“已知问题”部分。
建议
Mac连接器版本1.14引入了一些需要注意的更改:
需要Mac connector 1.14或更高版本才能确保macOS 11及更高版本上的终端保护。较旧的Mac连接器在这些版本的macOS上不起作用。
Mac连接器版本1.16引入了对Intel硬件上Cisco Orbital的支持。Orbital可以在策略中通过优势或高级层启用,并在启用后自动安装,并安装在支持的操作系统版本和支持的硬件上。Mac连接器版本1.20引入了对Apple硅硬件上的Cisco Orbital的支持,计划与Orbital Node 1.21一起发布。 请参阅本文档的Cisco Orbital部分,了解有关如何授予Orbital所需的额外全磁盘访问权限的详细信息。
最低操作系统要求
思科安全终端Mac连接器1.14.0支持macOS版本:
- macOS 11,带macOS系统扩展。
- macOS 10.15.5及更高版本,带macOS系统扩展。
- macOS 10.15.0至macOS 10.15.4,带macOS内核扩展。
- macOS 10.14,带macOS内核扩展。
思科安全终端Mac连接器1.14.1支持macOS版本:
- macOS 11,带macOS系统扩展。
- 带macOS内核扩展的macOS 10.15。
- macOS 10.14,带macOS内核扩展。
安全终端Mac连接器版本1.16.0中引入了对Intel硬件上的Cisco Orbital的支持。 在Secure Endpoint Mac连接器版本1.20.0中引入了对Apple硅硬件上的Cisco Orbital的支持。
有关当前Mac连接器兼容性,请参阅操作系统兼容性表。
重要更改
Mac连接器1.14在以下三个方面引入了重要更改:
- 批准连接器使用的macOS扩展
- 全磁盘访问
- 新建目录结构
MacOS 12引入了MDM选项,以允许删除连接器的macOS扩展,而无需提示输入用户密码。
Mac连接器macOS扩展的批准
Mac连接器使用System Extensions或legacy Kernel Extensions来监控macOS版本所需的系统活动。在macOS 11上,System Extensions将替换macOS 11及更高版本中不受支持的旧版内核扩展。所有macOS版本都需要用户批准,才能允许任一类型的扩展运行。未经批准,某些连接器功能(例如访问时文件扫描和网络访问监控器)不可用。
Mac连接器1.14引入了两个新的macOS系统扩展:
- 名为Secure Endpoint File Monitor(以前称为AMP Security Extension)的Endpoint Security扩展名,用于监控系统事件
- 名为Cisco Secure Endpoint Filter(以前称为AMP Network Extension)的网络内容过滤器扩展,用于监控网络访问
两个传统内核扩展ampfileop.kext
和ampnetworkflow.kext
包含在不支持新macOS系统扩展的旧macOS版本上,以实现向后兼容性。
MacOS 11G及更高版本**需审批:
- 批准加载安全终端文件监视器
- 批准加载思科安全终端过滤器
- 允许思科安全终端过滤器过滤网络内容
** Mac连接器版本1.14.0也要求在macOS 10.15上获得这些批准。 对于Mac连接器1.14.1或更高版本,MacOS 10.15不再需要这些批准。
MacOS 10.14和MacOS 10.15所需的批准:
这些批准可在终端的macOS安全和隐私首选项中授予,或通过移动设备管理(MDM)配置文件授予。
在终端上批准Mac Connector macOS扩展
可以从macOS安全和隐私首选项窗格手动批准系统和内核扩展。
使用MDM批准Mac连接器macOS扩展
注意:macOS扩展不能通过MDM进行追溯审批。如果在安装连接器之前未部署MDM配置文件,则不会获得批准,并且需要以下两种形式之一进行额外干预:
1. 在已追溯部署管理配置文件的终端上手动批准macOS扩展。
2.将Mac连接器升级到比当前部署的连接器更新的版本。已回溯部署管理配置文件的终端在升级后识别管理配置文件,并在升级完成后获得批准。
安全终端扩展可以通过具有以下有效负载和属性的管理配置文件进行审批:
有效载荷 |
属性 |
价值 |
SystemExtensions |
AllowedSystemExtensions |
com.cisco.endpoint.svc.securityextension, com.cisco.endpoint.svc.networkextension |
AllowedSystemExtensionType |
EndpointSecurityExtension、NetworkExtension |
AllowedTeamIdentifiers |
DE8Y96K9QP |
SystemPolicyKernelExtensions |
AllowedKernelExtensions |
com.cisco.amp.fileop、com.cisco.amp.nke |
AllowedTeamIdentifiers |
TDNYQP7VRK |
WebContentFilter |
AutoFilterEnabled |
假 |
FilterDataProviderBundleIdentifier |
com.cisco.endpoint.svc.networkextension |
FilterDataProviderDesignatedRequirement |
锚apple通用和标识符“com.cisco.endpoint.svc.networkextension”和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = DE96Y9QP) |
FilterGrade |
防火墙 |
过滤器浏览器 |
假 |
FilterPackets |
假 |
FilterSockets |
true |
插件捆绑包ID |
com.cisco.endpoint.svc |
UserDefinedName |
思科安全终端过滤器(如果连接器版本早于1.18.0,则为AMP网络扩展) |
使用MDM删除Mac连接器macOS扩展
MacOS 12及更高版本允许使用RemovableSystemExtensions属性将macOS扩展标记为可移除,如下所述。
注意:当允许macOS Extension可移除权限时,任何具有root权限的用户或进程都能够在没有提示输入用户密码的情况下删除扩展。因此,仅当管理员要自动卸载连接器时,才必须使用RemovableSystemExtensions属性。
注意:无法通过MDM回溯删除MacOS扩展。如果在卸载连接器之前未部署MDM配置文件,则不会授予macOS扩展删除批准,用户需要在连接器卸载过程中手动在终端上输入密码以删除macOS扩展。
在安装具有添加到SystemExtensions负载的RemovableSystemExtensions属性的管理配置文件时,可以在连接器卸载过程中删除安全终端扩展。RemovableSystemExtensions属性必须包含两个安全终端扩展的捆绑标识符:
有效载荷 |
属性 |
价值 |
SystemExtensions |
RemovableSystemExtensions |
com.cisco.endpoint.svc.securityextension, com.cisco.endpoint.svc.networkextension |
全磁盘访问
MacOS 10.14及更高版本需要经过批准,应用程序才能访问包含个人用户数据的部分文件系统(例如,联系人、照片、日历和其他应用程序)。某些连接器功能(例如访问时文件扫描)未经批准无法扫描这些文件的威胁。
以前的Mac连接器版本要求用户授予对ampdaemon
程序的全磁盘访问权限。Mac连接器1.14需要完全磁盘访问:
Mac连接器1.16.0及更高版本需要额外的全磁盘访问:
- “Cisco Orbital”(在策略中启用),提供优势和Premier访问
Mac连接器1.18及更高版本要求完全磁盘访问:
- "安全终端服务"
- "安全终端系统监控"
- 在策略中启用Orbital时“Cisco Orbital”(可与Advantage和Premier层一起提供)
ampdaemon
程序不再需要使用Mac连接器1.14版及更高版本进行全磁盘访问。
可以在终端的macOS安全和隐私首选项中或通过移动设备管理(MDM)配置文件授予全磁盘访问批准。
在终端上批准对早于1.18.0的连接器版本进行全磁盘访问
可以从macOS安全和隐私首选项窗格手动批准全磁盘访问。
批准终端的Cisco Orbital全磁盘访问
可以从macOS安全和隐私首选项窗格手动批准全磁盘访问。
在终端上批准思科安全终端连接器1.18.0及更高版本的全磁盘访问
可以从macOS安全和隐私首选项窗格手动批准全磁盘访问。
批准使用MDM对连接器进行全磁盘访问
注意:macOS扩展不能通过MDM进行追溯审批。如果在安装连接器之前未部署MDM配置文件,则不会获得批准,并且需要以下两种形式之一进行额外干预:
1. 在已追溯部署管理配置文件的终端上手动批准macOS扩展。
2.将Mac连接器升级到比当前部署的连接器更新的版本。已追溯部署管理配置文件的终端在升级后识别管理配置文件,并在升级完成后获得批准。
全磁盘访问可由管理配置文件隐私首选项策略控制负载批准,该负载具有SystemPolicyAllFiles属性,该属性包含两个条目,一个用于安全终端服务(面向终端的AMP服务用于早于1.18.0的连接器版本)
,另一个用于安全终端系统监控(面向早于1.18.0的连接器版本的AMP安全扩展)
:
描述 |
属性 |
价值 |
安全终端服务(面向终端的AMP服务) |
允许 |
true |
CodeRequirement |
锚apple通用和标识符“com.cisco.endpoint.svc”和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP) |
标识符 |
com.cisco.endpoint.svc |
IdentifierType |
捆绑包ID |
安全终端系统监控(AMP安全扩展) |
允许 |
true |
CodeRequirement |
锚apple通用和标识符“com.cisco.endpoint.svc.securityextension”和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = DE96Y9QP) |
标识符 |
com.cisco.endpoint.svc.securityextension |
IdentifierType |
捆绑包ID |
如果您的部署包括已安装连接器版本1.12.7或更早版本的计算机,则仍需要以下附加条目来授予这些计算机对ampdaemon
的完全磁盘访问权限:
描述 |
属性 |
价值 |
ampdaemon |
允许 |
true |
CodeRequirement |
标识符ampdaemon和anchor apple generic和certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = TDNYQP7VRK |
标识符 |
/opt/cisco/amp/ampdaemon |
IdentifierType |
路径 |
批准使用MDM的Cisco Orbital的完全磁盘访问
如果您的部署包括使用Cisco安全终端Mac连接器版本1.16.0或更高版本的计算机,在macOS 10.15或更高版本的计算机上,并且策略中启用了Orbital,则仍需要以下附加条目来授予这些计算机对Orbital的完全磁盘访问权限:
描述 |
属性 |
价值 |
Cisco Orbital |
允许 |
true |
CodeRequirement |
锚apple通用和标识符“com.cisco.endpoint.orbital.app”和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP) |
标识符 |
com.cisco.endpoint.orbal.app |
IdentifierType |
捆绑包ID |
MDM配置配置文件示例
此示例MDM配置配置文件可用作参考。
- 批准安全终端Mac连接器的系统扩展。
- 授予安全终端Mac连接器和轨道设备的全磁盘访问权限。
- 在卸载连接器时允许无提示卸载系统扩展。
注意:当允许RemovableSystemExtensions权限时,任何具有root权限的用户或进程都能够在没有提示输入用户密码的情况下删除系统扩展。因此,仅当管理员要自动卸载连接器时,才必须使用RemovableSystemExtensions属性。
http://www.apple.com/DTDs/PropertyList-1.0.dtd">
PayloadContent
AllowUserOverrides
AllowedSystemExtensions
DE8Y96K9QP
com.cisco.endpoint.svc.securityextension
com.cisco.endpoint.svc.networkextension
PayloadDescription
PayloadDisplayName
System Extensions
PayloadEnabled
PayloadIdentifier
92624553-06C3-4BE0-9000-91D8A260CC65
PayloadOrganization
Cisco Systems, Inc.
PayloadType
com.apple.system-extension-policy
PayloadUUID
92624553-06C3-4BE0-9000-91D8A260CC65
PayloadVersion
1
RemovableSystemExtensions
DE8Y96K9QP
com.cisco.endpoint.svc.securityextension
com.cisco.endpoint.svc.networkextension
PayloadDescription
PayloadDisplayName
Privacy Preferences Policy Control
PayloadEnabled
PayloadIdentifier
290AAF9E-D9F1-4470-B802-2468AC836142
PayloadOrganization
Cisco Systems, Inc.
PayloadType
com.apple.TCC.configuration-profile-policy
PayloadUUID
290AAF9E-D9F1-4470-B802-2468AC836142
PayloadVersion
1
Services
SystemPolicyAllFiles
Allowed
1
CodeRequirement
anchor apple generic and identifier "com.cisco.endpoint.svc" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP)
Identifier
com.cisco.endpoint.svc
IdentifierType
bundleID
StaticCode
0
Allowed
1
CodeRequirement
identifier ampdaemon and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = TDNYQP7VRK
Identifier
/opt/cisco/amp/ampdaemon
IdentifierType
path
StaticCode
0
Allowed
1
CodeRequirement
anchor apple generic and identifier "com.cisco.endpoint.orbital.app" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP)
Identifier
com.cisco.endpoint.orbital.app
IdentifierType
bundleID
StaticCode
0
FilterDataProviderBundleIdentifier
com.cisco.endpoint.svc.networkextension
FilterDataProviderDesignatedRequirement
anchor apple generic and identifier "com.cisco.endpoint.svc.networkextension" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP)
FilterGrade
firewall
FilterPackets
FilterSockets
FilterType
Plugin
PayloadDisplayName
Web Content Filter Payload
PayloadIdentifier
F630E2F3-F917-47F5-93E9-343C4C787C28
PayloadOrganization
Cisco Systems, Inc.
PayloadType
com.apple.webcontent-filter
PayloadUUID
F630E2F3-F917-47F5-93E9-343C4C787C28
PayloadVersion
1
PluginBundleID
com.cisco.endpoint.svc
UserDefinedName
AMP Network Extension
VendorConfig
PayloadDescription
PayloadDisplayName
Cisco Secure Endpoint Settings [DEMO]
PayloadEnabled
PayloadIdentifier
36DAAE4E-5BA2-497B-8381-D58FCB62FA1B
PayloadOrganization
Cisco Systems, Inc.
PayloadRemovalDisallowed
PayloadScope
System
PayloadType
Configuration
PayloadUUID
36DAAE4E-5BA2-497B-8381-D58FCB62FA1B
PayloadVersion
1
MacOS 10.15或更早版本的MDM配置示例
- 批准内核扩展并授予连接器全磁盘访问权限。
- 注意:M1和较新的Apple产品不能使用包含此配置的配置文件
AllowNonAdminUserApprovals
AllowUserOverrides
AllowedKernelExtensions
TDNYQP7VRK
com.cisco.amp.nke
com.cisco.amp.fileop
PayloadDescription
PayloadDisplayName
Approved Kernel Extensions
PayloadEnabled
PayloadIdentifier
A872B6D5-D67C-41FE-BE64-3DD674C43C4F
PayloadOrganization
Cisco Systems, Inc.
PayloadType
com.apple.syspolicy.kernel-extension-policy
PayloadUUID
A872B6D5-D67C-41FE-BE64-3DD674C43C4F
PayloadVersion
1
新建目录结构
版本1.14.0到1.16.2
Mac连接器1.14对目录结构进行了两项更改:
- 应用目录已从
Cisco AMP
重命名为Cisco AMP for Endpoints
。
- 命令行实用程序
ampcli
已从/opt/cisco/amp
移至/Applications/Cisco AMP for Endpoints/AMP for Endpoints Connector.app/Contents/MacOS
。目录/opt/cisco/amp
包含指向新位置的
ampcli程序的符号链接。
Mac连接器版本1.14.0到1.16.2的完整目录结构如下:
├── Applications
│ └── Cisco AMP for Endpoints
│ └── AMP for Endpoints Connector.app
│ │ └── Contents
│ │ └──MacOS
│ │
│ └── AMP for Endpoints Service.app
│ │ └── Contents
│ │ └──MacOS
│ │ └── ampcli
│ │ └── ampdaemon
│ │ └── amscansvc
│ │ └── ampcreport
│ │ └── ampupdater
│ │ └── SupportTool
│ │
│ └── Support Tool.app
├── Library
│ ├── Application Support
│ │ └── Cisco
│ │ └── AMP for Endpoints Connector
│ │ └── SupportTool
│ └── Logs
│ └── Cisco
├── Users
│ └── *
│ └── Library
│ └── Logs
│ └── Cisco
└── opt
└── cisco
└── amp
└── ampcli
版本1.18.0及更高版本
Mac连接器1.18引入了应用程序目录结构的更改:
- 应用目录已从面向终端的
思科AMP重命
名为思科安全终端
。
Mac连接器版本1.18.0及更高版本的完整目录结构如下:
├── Applications
| └── Cisco Secure Endpoint
| └──Secure Endpoint Connector.app
| | └── Contents
| | └── MacOS
| |
| └── Secure Endpoint Service.app
| | └── Contents
| | └── MacOS
| | └── ampcli
| | └── ampdaemon
| | └── ampscansvc
| | └── ampcreport
| | └── ampupdater
| | └── SupportTool
| |
| └── Support Tool.app
MacOS 11.0和Mac Connector 1.14.1的已知问题。
- 如果计算机上安装了四个或更多网络内容过滤器,则故障10“加载内核模块或系统扩展需要重新启动”的指导可能不正确。 有关详细信息,请参阅Cisco安全终端Mac连接器故障文章。
MacOS 10.15/11.0和Mac Connector 1.14.0的已知问题。
- Mac连接器引发的一些故障可能会意外发生。有关详细信息,请参阅Cisco安全终端Mac连接器故障文章。
- 故障13(网络内容过滤器系统扩展过多)可能会在升级后出现。重新启动计算机可解决此情况下的故障。
- 故障15(系统扩展需要全磁盘访问)在重新启动后可能会因macOS 11.0.0中的错误而引发。 此问题在macOS 11.0.1中已修复。 可以通过在macOS系统首选项的“安全和隐私”窗格中重新授予全磁盘访问权限来解决故障。
- 在安装期间,当macOS请求允许运行Mac连接器系统扩展时,“安全和隐私”(Security & Privacy)窗格可以显示“占位符开发者”(Placeholder Developer)作为应用程序名称。 这是由macOS 10.15中的漏洞引起的。 选中“Placeholder Developer”旁边的复选框,以允许Mac连接器保护计算机。
systemextensionsctl
命令可用于确定需要批准哪些系统扩展。带有状态的系统扩展 [已激活等待用户]
此输出中的“Placeholder Developer”将显示在前面显示的macOS首选项页面中。如果首选项页面中显示两个以上的“占位符开发人员”条目,请卸载所有使用系统扩展名的软件(包括Mac连接器),以便不需要批准任何系统扩展,然后重新安装Mac连接器。
Mac连接器系统扩展标识如下:
- 网络扩展显示为
com.cisco.endpoint.svc.networkextension
。
- 所示的终端安全扩展具有
com.cisco.endpoint.svc.securityextension
。
- 在安装期间,允许内容过滤器监控网络流量的提示可以显示“(null)”作为应用名称。 这是由macOS 10.15中的漏洞引起的。 用户需要选择“允许”以确保计算机受到保护。
- 如果由于选择“不允许”而取消提示,则从“座席”图标的下拉菜单中选择“允许网络过滤器” 以再次打开提示。
- 启用后,Secure Endpoint Network Extension过滤器会列在Network Preferences页面上。
- 在macOS 11上,当执行从Mac连接器1.12到Mac连接器1.14的升级时,当连接器从内核扩展转换为新的系统扩展时,可以临时引发故障4(系统扩展加载失败)。
卸载系统扩展时的已知问题
- 在macOS 12之前,或者未使用MDM时,当执行Mac连接器的卸载时,系统会提示用户输入其密码两次,以便可以卸载系统扩展。这是macOS的一个限制,通过添加本文档中描述的RemovableSystemExtensions MDM配置文件密钥,在macOS 12中进行了一些改进。
Intune部署安装脚本
- 此处托管了可帮助在Microsoft维护的macOS上安装安全终端连接器的脚本:
https://github.com/microsoft/shell-intune-samples/tree/master/macOS/Apps/Cisco%20AMP
重新命名的Mac连接器(版本1.18.0及更高版本)
注意:对于低于1.18.0的连接器版本,现有MDM配置无需干预即可升级到连接器版本1.18.0及更高版本。有关详细信息,请参阅安全终端Mac重新换品牌。
修订历史纪录
2020年12月1日
- Mac连接器1.14.1不再使用macOS 10.15上的系统扩展。
- 有关终端检查哪些系统扩展需要Mac连接器1.14.0审批的附加指南。
2020年11月9日
- 已更正全磁盘访问代码要求MDM负载中的捆绑包ID。
2020年11月3日
- 1.14.0 Mac连接器的发布日期为2020年11月。
- 1.14.0 Mac连接器使用System Extensions with macOS 10.15.5及更高版本。以前是10.15.6。
- 添加了已知问题部分。
- 更新的目录结构大纲。
2021年6月3日
- 添加了向Cisco Orbital授予全磁盘访问权限的说明。
2021年10月13日
- 添加删除带有MDM的Mac连接器macOS扩展部分。
- 为“卸载系统扩展”部分添加了“已知问题”。
2022年2月25日