نواة MAC والوصول الكامل إلى القرص في وحدة التحكم - AMP لنقاط النهاية

المقدمة

يصف هذا المستند خطوات أستكشاف الأخطاء وإصلاحها في "الحماية المتقدمة من البرامج الضارة" (AMP) لنقاط النهاية للعمل على أخطاء MAC إثنين: الوصول الكامل إلى القرص (FDA) ووحدة kernel غير المعتمدة.

ساهم في هذا العمل أوريل توريس، خافيير جيسوس مارتينيز، مهندسو Cisco TAC.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

· معرفة أدوات Mac
· حساب بامتيازات المسؤول

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى Cisco AMP لنقاط النهاية ل MAC.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معينة:

• MacOS High Sierra 10.13
• MacOS 10.14 (Mojave)

القيود

هذا خطأ تجميلي في موصلات OSX و AMP المثبتة على OSV-10.4.X وإصدار الموصل 1.11.0. تظهر بوابة AMP رسالة خطأ ل FDA، ويبدي المضيف FDA مسموح به.
بق id: CSCvq98799

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

عند تقديم طلب لتحميل KEXT، ولكن لم تتم الموافقة عليه بعد، يتم رفض طلب الحمل. يقدم MacOS High Sierra 10.13 ميزة جديدة، مما يعني أن المستخدم يتطلب الموافقة قبل تحميل امتدادات نواة الطرف الثالث المثبتة حديثا (KEXTs) ويتم تحميل امتدادات kernel المعتمدة فقط على النظام. يجب على المستخدم اتباع الخطوات المذكورة سابقا لحل خطأ kernel.
بما أن نظام التشغيل MacOS 10.14 (Mojave) يقدم ميزات أمان جديدة تؤثر على AMP لنقاط النهاية لموصلات Mac، فأنت بحاجة إلى التأكد من أن الوصول الكامل إلى القرص ممنوح للخوارزمية خدمة AMP، دون موافقة، لأن موصل AMP غير قادر على توفير الحماية أو الرؤية لهذه الأجزاء من نظام الملفات التي يتم حمايتها بواسطة MacOS.

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

أخطاء وحدة التحكم

خطأ النواة

تظهر "وحدة تحكم AMP" الخطأ "وحدة Kernel النمطية غير المصرح بها" عند إجراء طلب لتحميل ملحق Kernel (KEXT) ولم تتم الموافقة عليه، ويتم رفض طلب التحميل ويقدم نظام التشغيل MacOS تنبيها، كما هو موضح في الصورة.

بعد ترقية Apple macOS، تم إطلاق إعلان رسمي حول موافقة kernel، كما هو موضح في الصورة.

للسماح بامتداد الموصل، انتقل إلى تفضيلات النظام > الأمان والخصوصية > عامة كما هو موضح في الصورة.

انقر فوق القفل للموافقة على KEXT (يتم تحميل ملحقات kernel التي يوافق عليها المستخدم على النظام فقط) كما هو موضح في الصورة.

ملاحظة: يتم تقديم موافقة المستخدم في جزء تفضيلات الأمان والخصوصية لمدة 30 دقيقة بعد التنبيه. عندما يتم اعتماد KEXT، تتسبب محاولات التحميل المستقبلية في ظهور واجهة مستخدم الاعتماد مرة أخرى، ولكنها لا تقوم بتشغيل تنبيه مستخدم آخر.

خطأ في الوصول الكامل للقرص

تظهر وحدة التحكم AMP "عدم منح الوصول إلى القرص" كما هو موضح في الصورة.

تحقق من عدم السماح بالوصول الكامل إلى القرص، انتقل إلى تفضيلات النظام > الأمان والخصوصية > الخصوصية، كما هو موضح في الصورة.

للموافقة على الوصول الكامل إلى القرص الخاص بموصل AMP، انتقل إلى "الوصول الكامل إلى القرص" ووضع علامة إختيار للعملية المتقدمة، كما هو موضح في الصورة.

افتح وحدة طرفية وأوقف خدمة AMP وقم بتشغيل الأمر التالي: sudo /bin/launchctl unload /Library/LaunchDaemons/com.cisco.amp.daemon.plist، ضع علامة على خانة الاختيار، كما هو موضح في الصورة.

لتجنب حدوث مشاكل في التخزين المؤقت، انتقل إلى /المكتبة/log/cisco وامسح الملفات التالية، كما هو موضح في الصورة.

• أمبادمون لوغ
• amscanSVC.log

ابدأ الخدمة باستخدام الأمر: sudo /bin/launchctl load /Library/LaunchDaemons/com.cisco.amp.daemon.plist.

ملاحظة: في حالة عدم العثور على ملف الذاكرة المؤقتة، قم بسحبه وإسقاطه في قائمة السماح بالوصول الكامل إلى القرص، تأكد من وضع علامة على خانة الاختيار، كما هو موضح في الصورة.