為MDM安全終端Mac聯結器和軌道配置許可權：全磁碟訪問、系統擴展

簡介

本文檔介紹管理員部署Mac connector 1.14及更高版本的最新更改和步驟。

MDM配置檔案

強烈建議使用授予所需批准許可權的MDM配置檔案來部署Mac聯結器。在安裝、升級或刪除Mac聯結器之前，必須安裝MDM配置檔案，以確保識別所需的許可權。如果無法使用MDM，請參閱本文檔稍後的「已知問題」部分。

諮詢

Mac聯結器1.14版引入了需要注意的更改：

• 全磁碟訪問批准
• 系統擴展批准

需要Mac connector 1.14或更高版本才能確保MacOS 11及更高版本上的端點保護。舊版Mac聯結器在這些版本的macOS上無法正常工作。

Mac聯結器1.16版引入了對Intel硬件上Cisco Orbital的支援。Orbital可以通過Advantage或Premier Tier在策略中啟用，並在啟用後自動安裝，並安裝在受支援的作業系統版本和受支援的硬體上。Mac connector版本1.20引入了對Cisco Orbital on Apple silicon hardware的支援就緒性，計畫與Orbital Node 1.21一起發佈。 請參閱本文檔的Cisco Orbital部分，瞭解有關如何授予Orbital所需的其他全磁碟訪問許可權的詳細資訊。

最低作業系統要求

思科安全終端Mac聯結器1.14.0支援macOS版本：

• macOS 11，帶macOS系統擴展。
• macOS 10.15.5及更高版本，帶macOS系統擴展。
• macOS 10.15.0到macOS 10.15.4，帶macOS核心擴展。
• macOS 10.14，帶macOS核心擴展。

思科安全終端Mac聯結器1.14.1支援macOS版本：

• macOS 11，帶macOS系統擴展。
• 帶有macOS核心擴展的macOS 10.15。
• macOS 10.14，帶macOS核心擴展。

對Cisco Orbital on Intel硬體的支援是在Secure Endpoint Mac聯結器1.16.0版中引入的。 對Cisco Orbital on Apple silicon硬體的支援是在Secure Endpoint Mac聯結器1.20.0版中引入的。

有關當前Mac聯結器的相容性，請參閱OS相容性表。

重要更改

Mac connector 1.14在三個方面引入了重要更改：

1. 批准聯結器使用的macOS擴展
2. 全磁碟訪問
3. 新建目錄結構

MacOS 12引入了MDM選項，允許刪除聯結器的macOS擴展而不提示輸入使用者密碼。

Mac Connector macOS擴展的批准

Mac聯結器使用System Extensions或legacy Kernel Extensions來監控macOS版本所需的系統活動。在macOS 11上，System Extensions將替換macOS 11及更高版本不支援的舊版核心擴展。所有macOS版本都需要使用者批准，才能運行任何型別的擴展。未經批准，某些聯結器功能（如按訪問檔案掃描和網路訪問監控器）不可用。

Mac connector 1.14引入了兩個新的macOS系統擴展：

1. 一個名為Secure Endpoint File Monitor（以前稱為AMP Security Extension）的Endpoint Security擴展，用於監控系統事件
2. 名為Cisco Secure Endpoint Filter（前身為AMP網路擴展）的網路內容過濾器擴展，用於監控網路訪問

兩個舊版核心擴展ampfileop.kext和ampnetworkflow.kext包含在不支援新macOS系統擴展的舊版macOS版本上向後相容。

MacOS 11及更高版本**需批准：

• 批准載入安全終結點檔案監視器
• 批准載入思科安全終結點篩選器
• 允許思科安全終端過濾器過濾網路內容

** Mac connector版本1.14.0也要求在macOS 10.15上獲得這些批准。 在MacOS 10.15上，Mac connector 1.14.1或更高版本不再需要這些批准。

macOS 10.14和macOS 10.15所需的批准：

• 批准載入聯結器核心擴展

這些批准可以在終端上的macOS安全和隱私首選項中授予，也可以通過移動設備管理(MDM)配置文件授予。

在端點批准Mac Connector macOS擴展

可以從macOS安全和隱私首選項窗格中手動批准系統和核心擴展。

使用MDM批准Mac Connector macOS擴展

注意：macOS擴展不能通過MDM追溯批准。如果在安裝聯結器之前未部署MDM配置檔案，則不會獲得批准，並且需要以下兩種形式中的一種進行其他干預:

1. 在已追溯部署管理配置檔案的終端上手動批准macOS擴展。
2.將Mac聯結器升級到比當前部署的聯結器更新的版本。已追溯部署管理配置檔案的終端會在升級後識別該管理配置檔案，並在升級完成後獲得批准。

可以使用具有以下有效負載和屬性的管理配置檔案來批准安全終端擴展：

有效載荷	屬性	價值
系統擴展	AllowedSystemExtensions	com.cisco.endpoint.svc.securityextension， com.cisco.endpoint.svc.networkextension
	AllowedSystemExtensionType	EndpointSecurityExtension、NetworkExtension
	AllowedTeamIdentials	DE8Y96K9QP
SystemPolicyKernelExtensions	AllowedKernelExtensions	com.cisco.amp.fileop、com.cisco.amp.nke
	AllowedTeamIdentials	TDNYQP7VRK
WebContentFilter	AutoFilterEnabled	假
	FilterDataProviderBundleIdentifier	com.cisco.endpoint.svc.networkextension
	FilterDataProviderDesignatedRequirement	anchor apple generic and identifier "com.cisco.endpoint.svc.networkextension"和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP)
	篩選等級	防火牆
	過濾器瀏覽器	假
	過濾資料包	假
	FilterSockets	true
	外掛捆綁包ID	com.cisco.endpoint.svc
	UserDefinedName	思科安全終端過濾器（AMP網路擴展，如果聯結器版本早於1.18.0）

使用MDM刪除Mac聯結器macOS擴展

MacOS 12及更高版本允許使用RemovableSystemExtensions屬性將macOS擴展標籤為可移動（如下所述）。
注意：當允許macOS擴展刪除可移除許可權時，任何具有root許可權的使用者或進程都可以在不提示輸入使用者密碼的情況下刪除擴展。因此，只有當管理員要自動解除安裝聯結器時，才必須使用RemovableSystemExtensions屬性。
注意：無法通過MDM回溯刪除MacOS擴展。如果在解除安裝聯結器之前未部署MDM配置檔案，則不會授予macOS擴展刪除批准，使用者需要在聯結器解除安裝過程中手動在端點上輸入密碼以刪除macOS擴展。

在安裝具有新增到SystemExtensions負載的RemovableSystemExtensions屬性的管理配置檔案時，可以將安全終結點擴展作為聯結器解除安裝的一部分刪除。RemovableSystemExtensions屬性必須包含兩個安全終結點擴展的捆綁識別符號：

有效載荷	屬性	價值
系統擴展	RemovableSystemExtensions	com.cisco.endpoint.svc.securityextension， com.cisco.endpoint.svc.networkextension

全磁碟訪問

MacOS 10.14及更高版本需要經過批准，應用程式才能訪問檔案系統中包含個人使用者資料的部分（例如，聯絡人、照片、日曆和其他應用程式）。某些聯結器功能（如按訪問檔案掃描）未經批准無法掃描這些檔案是否存在威脅。

以前的Mac聯結器版本要求使用者授予對ampdaemon程式的完全磁碟訪問許可權。Mac聯結器1.14需要以下裝置的全磁碟訪問：

• "面向終端的AMP服務"
• "AMP安全擴展" 

Mac聯結器1.16.0及更新版本需要額外的全磁碟訪問：

• 「思科軌道」（在策略中啟用），提供優勢和高級訪問

Mac聯結器1.18及更新版本需要以下裝置的全磁碟訪問：

• "安全端點服務"
• "安全端點系統監控器"
• 在策略中啟用Orbital時「思科軌道」(提供優勢和高級級別)

ampdaemon程式不再需要使用Mac聯結器版本1.14及更新版本進行全磁碟訪問。

可以在終端的macOS安全和隱私首選項中或通過流動裝置管理(MDM)配置檔案授予全磁碟訪問批准。

在終端上批准對低於1.18.0的聯結器版本進行全磁碟訪問

可以從macOS安全和隱私首選項窗格手動批准全磁碟訪問。

批准終端的Cisco Orbital全磁碟訪問

可以從macOS安全和隱私首選項窗格手動批准全磁碟訪問。

在終端上批准思科安全終端聯結器1.18.0及更新版本的完全磁碟訪問

可以從macOS安全和隱私首選項窗格手動批准全磁碟訪問。

批准使用MDM的聯結器的全磁碟訪問

注意：macOS擴展不能通過MDM追溯批准。如果在安裝聯結器之前未部署MDM配置檔案，則不會獲得批准，並且需要以下兩種形式中的一種進行其他干預:

1. 在已追溯部署管理配置檔案的終端上手動批准macOS擴展。
2.將Mac聯結器升級到比當前部署的聯結器更新的版本。升級後，已追溯部署管理配置檔案的終端會識別該管理配置檔案，並在升級完成後獲得批准。

完全磁碟訪問可由管理配置檔案隱私首選項策略控制負載批准，該負載具有SystemPolicyAllFiles屬性，該屬性包含兩個條目，一個用於安全終端服務（適用於低於1.18.0的聯結器版本的AMP終端服務），另一個用於安全終端系統監視（適用於低於1.18.0的聯結器版本的AMP安全擴展）:

說明	屬性	價值
安全終端服務（適用於終端的AMP服務）	已允許	true
	CodeRequirement	anchor apple generic and identifier "com.cisco.endpoint.svc"和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.10.6.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP)
	識別碼	com.cisco.endpoint.svc
	IdentifierType	捆綁包ID
安全終端系統監控器（AMP安全擴展）	已允許	true
	CodeRequirement	anchor apple generic and identifier "com.cisco.endpoint.svc.securityextension"和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP)
	識別碼	com.cisco.endpoint.svc.securityextension
	IdentifierType	捆綁包ID

如果您的部署包括安裝了聯結器版本1.12.7或更早版本的電腦，則仍需要此附加條目來授予這些電腦對ampdaemon的完全磁碟訪問許可權：

說明	屬性	價值
ampdaemon	已允許	true
	CodeRequirement	識別符號ampdaemon和錨點apple generic和certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = TDNYQP7VRK
	識別碼	/opt/cisco/amp/ampdaemon
	IdentifierType	路徑

通過MDM批准對Cisco Orbital進行全磁碟訪問

如果您的部署包括使用Cisco Secure Endpoint Mac connector版本1.16.0或更高版本的電腦，在macOS 10.15或更高版本的電腦上，並且策略中啟用了Orbital，則仍需要此附加條目來授予這些電腦對Orbital的完整磁碟訪問許可權：

說明	屬性	價值
Cisco Orbital	已允許	true
	CodeRequirement	anchor apple generic and identifier "com.cisco.endpoint.orbital.app"和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.10.6.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP)
	識別碼	com.cisco.endpoint.orbital.app
	IdentifierType	捆綁包ID

MDM配置配置檔案示例

此示例MDM配置配置檔案可用作參考。

• 批准安全終結點Mac聯結器的系統擴展。
• 授予安全終端Mac聯結器和Orbital的完整磁碟訪問許可權。
• 在解除安裝聯結器時允許無提示解除安裝系統擴展。
  注意：如果允許RemovableSystemExtensions許可權，則具有root許可權的任何使用者或進程都可以在不提示輸入使用者密碼的情況下刪除系統擴展。因此，只有當管理員要自動解除安裝聯結器時，才必須使用RemovableSystemExtensions屬性。

http://www.apple.com/DTDs/PropertyList-1.0.dtd"> PayloadContent AllowUserOverrides AllowedSystemExtensions DE8Y96K9QP com.cisco.endpoint.svc.securityextension com.cisco.endpoint.svc.networkextension PayloadDescription PayloadDisplayName System Extensions PayloadEnabled PayloadIdentifier 92624553-06C3-4BE0-9000-91D8A260CC65 PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.system-extension-policy PayloadUUID 92624553-06C3-4BE0-9000-91D8A260CC65 PayloadVersion 1 RemovableSystemExtensions DE8Y96K9QP com.cisco.endpoint.svc.securityextension com.cisco.endpoint.svc.networkextension PayloadDescription PayloadDisplayName Privacy Preferences Policy Control PayloadEnabled PayloadIdentifier 290AAF9E-D9F1-4470-B802-2468AC836142 PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.TCC.configuration-profile-policy PayloadUUID 290AAF9E-D9F1-4470-B802-2468AC836142 PayloadVersion 1 Services SystemPolicyAllFiles Allowed 1 CodeRequirement anchor apple generic and identifier "com.cisco.endpoint.svc" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP) Identifier com.cisco.endpoint.svc IdentifierType bundleID StaticCode 0 Allowed 1 CodeRequirement identifier ampdaemon and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = TDNYQP7VRK Identifier /opt/cisco/amp/ampdaemon IdentifierType path StaticCode 0 Allowed 1 CodeRequirement anchor apple generic and identifier "com.cisco.endpoint.orbital.app" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP) Identifier com.cisco.endpoint.orbital.app IdentifierType bundleID StaticCode 0 FilterDataProviderBundleIdentifier com.cisco.endpoint.svc.networkextension FilterDataProviderDesignatedRequirement anchor apple generic and identifier "com.cisco.endpoint.svc.networkextension" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP) FilterGrade firewall FilterPackets FilterSockets FilterType Plugin PayloadDisplayName Web Content Filter Payload PayloadIdentifier F630E2F3-F917-47F5-93E9-343C4C787C28 PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.webcontent-filter PayloadUUID F630E2F3-F917-47F5-93E9-343C4C787C28 PayloadVersion 1 PluginBundleID com.cisco.endpoint.svc UserDefinedName AMP Network Extension VendorConfig PayloadDescription PayloadDisplayName Cisco Secure Endpoint Settings [DEMO] PayloadEnabled PayloadIdentifier 36DAAE4E-5BA2-497B-8381-D58FCB62FA1B PayloadOrganization Cisco Systems, Inc. PayloadRemovalDisallowed PayloadScope System PayloadType Configuration PayloadUUID 36DAAE4E-5BA2-497B-8381-D58FCB62FA1B PayloadVersion 1

MacOS 10.15或更早版本的MDM配置示例

• 批准核心擴展並授予聯結器完全磁碟訪問許可權。
  
  • 注意：M1和更新的Apple產品無法使用包含此配置的配置檔案

AllowNonAdminUserApprovals AllowUserOverrides AllowedKernelExtensions TDNYQP7VRK com.cisco.amp.nke com.cisco.amp.fileop PayloadDescription PayloadDisplayName Approved Kernel Extensions PayloadEnabled PayloadIdentifier A872B6D5-D67C-41FE-BE64-3DD674C43C4F PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.syspolicy.kernel-extension-policy PayloadUUID A872B6D5-D67C-41FE-BE64-3DD674C43C4F PayloadVersion 1

新建目錄結構

版本1.14.0到1.16.2

Mac connector 1.14對目錄結構引入了兩種更改：

1. Applications目錄已從Cisco AMP重新命名為Cisco AMP for Endpoints。
2. 命令列實用程式ampcli已從/opt/cisco/amp移動到/Applications/Cisco AMP for Endpoints/AMP for Endpoints Connector.app/Contents/MacOS。目錄/opt/cisco/amp包含指向ampcli程式的新位置的符號連結。

Mac聯結器1.14.0到1.16.2版的完整目錄結構如下：

├── Applications
│   └── Cisco AMP for Endpoints
│       └── AMP for Endpoints Connector.app
│       │   └── Contents
│       │       └──MacOS
│       │
│       └── AMP for Endpoints Service.app
│       │   └── Contents
│       │       └──MacOS
│       │           └── ampcli
│       │           └── ampdaemon
│       │           └── amscansvc
│       │           └── ampcreport 
│       │           └── ampupdater 
│       │           └── SupportTool
│       │
│       └── Support Tool.app
├── Library
│   ├── Application Support
│   │   └── Cisco
│   │       └── AMP for Endpoints Connector
│   │           └── SupportTool
│   └── Logs
│       └── Cisco
├── Users
│   └── *
│       └── Library
│           └── Logs
│               └── Cisco
└── opt
    └── cisco
        └── amp
            └── ampcli

1.18.0及更新版本

Mac connector 1.18引入了對應用程式目錄結構的更改：

1. 應用目錄已從面向終端的思科AMP重新命名為思科安全終端。

Mac connector 1.18.0版和更新版本的完整目錄結構如下：

├── Applications
|   └── Cisco Secure Endpoint
|       └──Secure Endpoint Connector.app
|       |    └── Contents
|       |        └── MacOS
|       |
|       └── Secure Endpoint Service.app
|       |   └── Contents
|       |       └── MacOS
|       |           └── ampcli
|       |           └── ampdaemon
|       |           └── ampscansvc
|       |           └── ampcreport
|       |           └── ampupdater
|       |           └── SupportTool
|       |
|       └── Support Tool.app

MacOS 11.0和Mac Connector 1.14.1的已知問題。

• 如果電腦上安裝了四個或更多網路內容過濾器，則故障10「載入核心模組或系統擴展時需要重新啟動」的指導可能不正確。 有關詳細資訊，請參閱思科安全終端Mac聯結器故障文章。

MacOS 10.15/11.0和Mac Connector 1.14.0的已知問題。

• Mac聯結器引發的一些故障可能會意外引發。有關詳細資訊，請參閱思科安全終端Mac聯結器故障文章。
  • 升級後可能會引發故障13(網路內容過濾器系統擴展過多)。重新啟動電腦可解決此情況中的故障。
  • 故障15（系統擴展需要完整磁碟訪問），在重新啟動後由於macOS 11.0.0中的錯誤而引發。 此問題已在macOS 11.0.1中修正。 可通過在macOS系統首選項的「安全和隱私」窗格中重新授予全磁碟訪問許可權來解決故障。
    
    
• 在安裝期間，當macOS請求允許運行Mac聯結器系統擴展時，「安全和隱私」窗格可以顯示「佔位符開發者」作為應用程式名稱。 這是由MacOS 10.15中的錯誤所導致。 選中「Placeholder Developer」旁邊的覈取方塊，以允許Mac聯結器保護電腦。
  
  
  • systemextensionsctl命令可用於確定需要審批的系統擴展。具有狀態的系統擴展 [已啟用等待使用者]在此輸出中，在前面顯示的macOS首選項頁中顯示為「Placeholder Developer」。如果在首選項頁面中顯示兩個以上的「佔位符開發人員」條目，請解除安裝所有使用系統擴展外掛（包括Mac聯結器）的軟體，以便沒有需要批准的系統擴展外掛，然後重新安裝Mac聯結器。
    Mac聯結器系統擴展標識如下：
    
    • 網路擴展顯示為com.cisco.endpoint.svc.networkextension。
    • 所示的終端安全擴展具有 com.cisco.endpoint.svc.securityextension。 
      
      
• 在安裝期間，允許內容過濾器監控網路流量的提示可以顯示「(null)」作為應用程式名稱。 這是由macOS 10.15中的錯誤引起的。 使用者需要選擇「允許」以確保電腦受到保護。
  
• 如果由於選擇「不允許」而取消提示，則從「代理」圖示的下拉選單中選擇「允許網路過濾器」  以再次開啟提示。
  
  
• 啟用後，安全端點網路擴展過濾器會列在「網路首選項」頁面上。
  
  
• 在macOS 11上，當執行從Mac connector 1.12到Mac connector 1.14的升級時，當聯結器從核心擴展轉換為新的系統擴展時，可以臨時引發故障4（系統擴展無法載入）。

解除安裝系統擴展期間的已知問題

• 在macOS 12之前，或者未使用MDM時，當執行Mac聯結器的解除安裝時，系統會提示使用者輸入其密碼兩次，以便可以解除安裝系統擴展。這是macOS的一個限制，通過新增本文檔中所述的RemovableSystemExtensions MDM配置檔案金鑰，在macOS 12中進行了一些改進。

Intune部署安裝指令碼

• 此處承載了可幫助在Microsoft維護的macOS上安裝安全終結點聯結器的指令碼：

https://github.com/microsoft/shell-intune-samples/tree/master/macOS/Apps/Cisco%20AMP

重新品牌化的Mac聯結器（版本1.18.0及更新版本）

註：對於低於1.18.0的聯結器版本，現有的MDM配置無需干預即可升級到聯結器版本1.18.0及更高版本。有關詳細資訊，請參閱安全終結點Mac重新標籤。

修訂記錄

2020年12月1日

• Mac connector 1.14.1不再在macOS 10.15上使用系統擴展。
• 有關終端檢查哪些系統擴展「佔位符開發者」需要通過Mac聯結器1.14.0進行審批的附加指南。

2020年11月9日

• 已更正完整磁碟訪問代碼要求MDM負載中的捆綁包ID。

2020年11月3日

• 1.14.0 Mac聯結器的發行日期為2020年11月。
• 1.14.0 Mac聯結器使用帶有macOS 10.15.5及更高版本的系統擴展。以前是10.15.6。
• 新增已知問題部分。
• 已更新目錄結構大綱。

2021年6月3日

• 新增了向Cisco Orbital授予全磁碟訪問許可權的說明。

2021年10月13日

• 新增刪除帶有MDM的Mac Connector macOS Extensions部分。
• 已新增「解除安裝系統擴展」部分的已知問題。

2022年2月25日

• 重新命名