Núcleo MAC e acesso a disco completo no console - AMP para valores-limite

Opções de download

PDF (369.6 KB)
Ver no Adobe Reader em vários dispositivos
ePub (337.7 KB)
Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle) (371.9 KB)
Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos

Atualizado:6 de Maio de 2020

ID do documento:215113

Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Índice

Introdução

Pré-requisitos

Requisitos

Componentes Utilizados

Limitações

Informações de Apoio

Troubleshooting

Erros de console

Falha do núcleo

Falha completa do acesso a disco

Introdução

Este original descreve as etapas para pesquisar defeitos na proteção avançada do malware (AMP) para que os valores-limite trabalhem duas falhas do Mac: Acesso a disco completo (FDA) e módulo de núcleo não autorizado.

Contribuído por Uriel Torres, Javier Jesus Marti'nez, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• O Mac utiliza ferramentas o conhecimento
• Conta com privilégios do administrado

Componentes Utilizados

A informação neste documento é baseada em Cisco AMP para valores-limite para o MAC.

A informação neste documento foi criada dos dispositivos em um ambiente específico:

Serra alta 10.13 MacOS
MacOS 10.14 (Mojave)

Limitações

Este é um erro cosmético nos conectores OSX e AMP instalados em OSV-10.4.X e em versão 1.11.0 do conector. O portal AMP mostra que uma mensagem de falha para FDA e as mostras FDA do host está permitida.
BugID: CSCvq98799

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Quando um pedido é feito para carregar um KEXT, mas não ainda aprovado, o pedido da carga está negado. A serra alta 10.13 MacOS introduz uns novos recursos, que signifiquem que o usuário exige a aprovação antes que Ramais da terceira novo-instalados de carregamento do núcleo (KEXTs) e somente os Ramais do núcleo aprovados são carregados em um sistema. O usuário precisa de seguir as etapas mencionadas antes para resolver o erro do núcleo.
Desde que o macOS 10.14 (Mojave) introduz os recursos de segurança novos que afetam o AMP para conectores do Mac dos valores-limite, você exige para assegurar-se de que o acesso a disco completo esteja concedido ao demônio do serviço AMP, sem aprovação, o conector AMP seja incapaz de fornecer a proteção ou a visibilidade a estas peças do sistema de arquivos que está sendo protegido pelo macOS.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Erros de console

Falha do núcleo

O console AMP mostra o erro “módulo de núcleo não autorizado” quando um pedido é feito para carregar uma extensão do núcleo (KEXT) e não é aprovado, o pedido da carga é negado e o macOS apresenta um alerta, segundo as indicações da imagem.

Depois que a elevação macOS de Apple, um anúncio oficial foi lançada sobre a aprovação do núcleo, segundo as indicações da imagem.

A fim permitir a extensão do conector, navegue ao > segurança & à privacidade > ao general das preferências do sistema segundo as indicações da imagem.

Clique sobre o fechamento para aprovar o KEXT (somente os Ramais do núcleo aprovados pelo usuário são carregados em um sistema), segundo as indicações da imagem.

Nota: A aprovação do usuário é apresentada placa nas preferências da Segurança & da privacidade por 30 minutos após o alerta. Quando o KEXT é tentativas futuras aprovadas da carga faz com que a interface do utilizador da aprovação reapareça mas não provoca um outro alerta do usuário.

Falha completa do acesso a disco

O console AMP mostra o “acesso a disco não concedido” segundo as indicações da imagem.

Verifique que o acesso a disco completo não está permitido, navega ao > segurança das preferências do sistema & ao > Privacidade da privacidade, segundo as indicações da imagem.

A fim aprovar o acesso a disco de Ful do conector AMP, navegue ao acesso a disco completo e ao sinal o processo do ampdaemon, segundo as indicações da imagem.

Abra um terminal e pare o serviço AMP e execute o comando seguinte: o sudo /bin/launchctl descarrega /Library/LaunchDaemons/com.cisco.amp.daemon.plist, marca a caixa de seleção, segundo as indicações da imagem.

A fim evitar edições do esconderijo, navegue a /library/logs/cisco e apague os arquivos seguintes, segundo as indicações da imagem.

ampdaemon.log
ampscansvc.log

Comece o serviço com o comando: carga /Library/LaunchDaemons/com.cisco.amp.daemon.plist de /bin/launchctl do sudo.

Nota: Caso que você não pode encontrar o arquivo do ampdeamon, arrasto & o deixar cair na lista de acesso a disco completa reservar, assegure-se de que a caixa de seleção esteja marcada, segundo as indicações da imagem.

A fim conceder o acesso a disco completo, dê aos núcleos permissões e uma repartição recomendada dos dispositivos MAC, no intervalo de batimento cardíaco seguinte a mensagem relatada desaparece do console.

Colaborado por engenheiros da Cisco

Uriel Torres
Javier Jesus Martinez

Este documento lhe foi útil?

Feedback

Contate a Cisco

Abrir um caso de suporte
(É necessário um Contrato de Serviço da Cisco)

Discussões relacionadas com comunidade da Cisco

Este documento se refere a estes produtos

AMP for Endpoints