Noyau MAC et accès au disque complet dans la console - AMP for Endpoints

Options de téléchargement

  • PDF     (368.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (337.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (372.0 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:6 mai 2020
ID du document:215113

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction


    Ce document décrit les étapes à suivre pour dépanner dans Advanced Malware Protection (AMP) for Endpoints afin que les points de terminaison fonctionnent avec deux failles Mac : Accès au disque complet (FDA) et module noyau non autorisé.

    Contribué par Uriel Torres, Javier Jesus Martinez, Ingénieurs TAC Cisco.

    Conditions préalables

    Conditions requises


    Cisco vous recommande de prendre connaissance des rubriques suivantes :


    Connaissances en matière d'outils · Mac
    Compte · avec privilèges d'administrateur

    Components Used


    Les informations de ce document sont basées sur Cisco AMP for Endpoints for MAC.


    Les informations de ce document ont été créées à partir des périphériques d'un environnement spécifique :

    • MacOS High Sierra 10.13
    • MacOS 10.14 (Mojave)

    Limites


    Il s'agit d'un bogue cosmétique sur les connecteurs OSX et AMP installés sur OSV-10.4.X et le connecteur version 1.11.0. Le portail AMP affiche un message de défaillance pour la FDA et l'hôte indique que la FDA est autorisée.
    ID de bogue : CSCvq98799

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales


    Lorsqu'une demande de chargement d'un fichier KEXT, mais non encore approuvée, la demande de chargement est refusée. MacOS High Sierra 10.13 introduit une nouvelle fonctionnalité, ce qui signifie que l'utilisateur a besoin d'approbation avant de charger les extensions de noyau tierce (KEXT) récemment installées et que seules les extensions de noyau approuvées sont chargées sur un système. L'utilisateur doit suivre les étapes mentionnées précédemment pour résoudre l'erreur de noyau.
    Puisque macOS 10.14 (Mojave) introduit de nouvelles fonctionnalités de sécurité qui affectent les connecteurs Mac AMP for Endpoints, vous devez vous assurer que l'accès au disque complet est accordé au démon de service AMP, sans approbation, le connecteur AMP ne peut pas fournir de protection ou de visibilité à ces parties du système de fichiers protégées par macOS.

    Dépannage

    Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

    Erreurs de console

    Défaillance du noyau

    AMP Console affiche l'erreur “ le module de noyau non autorisé ” lorsqu'une demande est faite pour charger une extension de noyau (KEXT) et qu'elle n'est pas approuvée, que la demande de chargement est refusée et que macOS présente une alerte, comme l'illustre l'image.

    Après la mise à niveau d'Apple macOS, une annonce officielle a été lancée sur l'approbation du noyau, comme le montre l'image.

    Afin d'autoriser l'extension Connector, accédez à Préférences système > Sécurité et confidentialité > Général comme indiqué dans l'image.

    Cliquez sur le bouton Verrouiller pour approuver le KEXT (seules les extensions de noyau approuvées par l'utilisateur sont chargées sur un système), comme le montre l'image.

    Remarque : l'approbation de l'utilisateur est présentée dans le volet des préférences de sécurité et de confidentialité pendant 30 minutes après l'alerte. Lorsque le KEXT est approuvé, de futures tentatives de chargement provoquent la réapparition de l'interface utilisateur d'approbation, mais elle ne déclenche aucune autre alerte utilisateur.

    Défaillance de l'accès au disque complet

    La console AMP affiche “'accès au disque non accordé ” comme l'illustre l'image.

    Vérifiez que l'accès au disque complet n'est pas autorisé, accédez à Préférences système > Sécurité et confidentialité > Confidentialité, comme indiqué dans l'image.

    Afin d'approuver l'accès complet au disque du connecteur AMP, accédez à Accès complet au disque et cochez la case du processus d'ampdaemon, comme illustré dans l'image.

    Ouvrez un terminal et arrêtez le service AMP et exécutez la commande suivante : sudo /bin/Launchctl unload /Library/LaunchDaemons/com.cisco.amp.daemon.plist, cochez la case, comme indiqué dans l'image.

    Afin d'éviter les problèmes de cache, accédez à /library/logs/cisco et effacez les fichiers suivants, comme illustré dans l'image.

    • ampdaemon.log
    • ampscansvc.log

    Démarrez le service avec la commande sudo /bin/Launchctl load /Library/LaunchDaemons/com.cisco.amp.daemon.plist.

    Remarque : si vous ne trouvez pas le fichier ampdeamon, faites-le glisser et déposez-le dans la liste Autoriser l'accès au disque complet, assurez-vous que la case est cochée, comme l'indique l'image.

    Afin d'accorder l'accès au disque complet, donnez les autorisations Kernels et un redémarrage recommandé des périphériques MAC, au cours de l'intervalle de pulsation suivant, le message signalé disparaît de la console.

    TAC Authored

    Contribution d’experts de Cisco

    • Uriel Torres
    • Javier Jesus Martinez

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits