Kernel MAC e acesso completo ao disco no console - AMP para endpoints

Opções de download

  • PDF     (369.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (337.2 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (371.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:6 de maio de 2020
ID do documento:215113

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction


    Este documento descreve as etapas para solucionar problemas no AMP (Advanced Malware Protection, Proteção avançada contra malware) para endpoints para trabalhar com duas falhas Mac: FDA (Full Disk Access, acesso total ao disco) e módulo Kernel não autorizados.

    Contribuído por Uriel Torres, Javier Jesus Martinez, engenheiro do TAC da Cisco.

    Prerequisites

    Requirements


    A Cisco recomenda que você tenha conhecimento destes tópicos:


    Conhecimento de ferramentas Mac
    Conta com privilégios de administrador

    Componentes Utilizados


    As informações neste documento são baseadas no Cisco AMP para endpoints para MAC.


    As informações neste documento foram criadas a partir dos dispositivos em um ambiente específico:

    • MacOS High Sierra 10.13
    • MacOS 10.14 (Mojave)

    Limitações


    Este é um bug cosmético em conectores OSX e AMP instalados no OSV-10.4.X e no conector versão 1.11.0. O portal AMP mostra uma mensagem de falha para FDA e o host mostra que o FDA é permitido.
    ID do bug: CSCvq98799

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio


    Quando uma solicitação é feita para carregar um KEXT, mas ainda não foi aprovada, a solicitação de carga é negada. O MacOS High Sierra 10.13 apresenta um novo recurso, o que significa que o usuário precisa de aprovação antes de carregar KEXTs (extensões de kernel de terceiros) recém-instaladas e que apenas as extensões de kernel aprovadas são carregadas em um sistema. O usuário precisa seguir as etapas mencionadas antes para resolver o erro de Kernel.
    Como o macOS 10.14 (Mojave) introduz novos recursos de segurança que afetam o AMP para Endpoints Mac Connectors, você precisa garantir que o Acesso Total ao Disco seja concedido ao daemon de serviço da AMP, sem aprovação, o conector da AMP é incapaz de fornecer proteção ou visibilidade para essas partes do sistema de arquivos que estão sendo protegidas pelo macOS.

    Troubleshoot

    Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

    Erros de console

    Falha de kernel

    O console AMP mostra o erro "módulo Kernel não autorizado" quando uma solicitação é feita para carregar uma extensão Kernel (KEXT) e ela não é aprovada, a solicitação de carga é negada e macOS apresenta um alerta, como mostrado na imagem.

    Após a atualização do Apple macOS, um anúncio oficial foi iniciado sobre a aprovação do kernel, como mostrado na imagem.

    Para permitir a extensão do conector, navegue para Preferências do sistema > Segurança e privacidade > Geral como mostrado na imagem.

    Clique no Bloqueio para aprovar o KEXT (somente as extensões de kernel aprovadas pelo usuário são carregadas em um sistema), como mostrado na imagem.

    Observação: a aprovação do usuário é apresentada no painel de preferências de Segurança e privacidade por 30 minutos após o alerta. Quando o KEXT é aprovado, a carga futura tenta fazer com que a interface de usuário de aprovação reapareça, mas ela não aciona outro alerta de usuário.

    Falha total de acesso ao disco

    O console AMP mostra "Acesso ao disco não concedido", como mostrado na imagem.

    Verifique se o acesso total ao disco não é permitido, navegue para Preferências do sistema > Segurança e privacidade > Privacidade, conforme mostrado na imagem.

    Para aprovar o acesso total ao disco do conector AMP, navegue até Full Disk Access e marque o processo de ampdaemon, como mostrado na imagem.

    Abra um terminal e pare o serviço AMP e execute o próximo comando: sudo /bin/launchctl unload /Library/LaunchDaemons/com.cisco.amp.daemon.plist, marque a caixa de seleção, como mostrado na imagem.

    Para evitar problemas de cache, navegue até /library/logs/cisco e apague os próximos arquivos, como mostrado na imagem.

    • ampdaemon.log
    • ampscansvc.log

    Inicie o serviço com o comando: sudo /bin/launchctl load /Library/LaunchDaemons/com.cisco.amp.daemon.plist.

    Observação: caso você não consiga encontrar o arquivo ampdeamon, arraste e solte-o na lista permitir Acesso Total ao Disco, verifique se a caixa de seleção está marcada, como mostrado na imagem.

    Para conceder acesso total ao disco, conceder aos Kernels permissões e uma reinicialização recomendada dos dispositivos MAC, no próximo intervalo de pulsação a mensagem relatada desaparece do console.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Uriel Torres
    • Javier Jesus Martinez

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos