此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档介绍管理员部署Mac连接器1.14及更高版本的最新更改和步骤。
强烈建议使用授予所需批准权限的MDM配置文件来部署Mac连接器。在安装、升级或删除Mac连接器之前,必须安装MDM配置文件,以确保识别所需的权限。如果无法使用MDM,请参阅本文档后面的“已知问题”部分。
Mac连接器版本1.14引入了一些需要注意的更改:
需要Mac connector 1.14或更高版本才能确保macOS 11及更高版本上的终端保护。较旧的Mac连接器在这些版本的macOS上不起作用。
Mac连接器版本1.16引入了对Intel硬件上Cisco Orbital的支持。Orbital可以在策略中通过优势或高级层启用,并在启用后自动安装,并安装在支持的操作系统版本和支持的硬件上。Mac连接器版本1.20引入了对Apple硅硬件上的Cisco Orbital的支持,计划与Orbital Node 1.21一起发布。 请参阅本文档的Cisco Orbital部分,了解有关如何授予Orbital所需的额外全磁盘访问权限的详细信息。
思科安全终端Mac连接器1.14.0支持macOS版本:
思科安全终端Mac连接器1.14.1支持macOS版本:
安全终端Mac连接器版本1.16.0中引入了对Intel硬件上的Cisco Orbital的支持。 在Secure Endpoint Mac连接器版本1.20.0中引入了对Apple硅硬件上的Cisco Orbital的支持。
有关当前Mac连接器兼容性,请参阅操作系统兼容性表。
Mac连接器1.14在以下三个方面引入了重要更改:
MacOS 12引入了MDM选项,以允许删除连接器的macOS扩展,而无需提示输入用户密码。
Mac连接器使用System Extensions或legacy Kernel Extensions来监控macOS版本所需的系统活动。在macOS 11上,System Extensions将替换macOS 11及更高版本中不受支持的旧版内核扩展。所有macOS版本都需要用户批准,才能允许任一类型的扩展运行。未经批准,某些连接器功能(例如访问时文件扫描和网络访问监控器)不可用。
Mac连接器1.14引入了两个新的macOS系统扩展:
两个传统内核扩展ampfileop.kext
和ampnetworkflow.kext
包含在不支持新macOS系统扩展的旧macOS版本上,以实现向后兼容性。
MacOS 11G及更高版本**需审批:
** Mac连接器版本1.14.0也要求在macOS 10.15上获得这些批准。 对于Mac连接器1.14.1或更高版本,MacOS 10.15不再需要这些批准。
MacOS 10.14和MacOS 10.15所需的批准:
这些批准可在终端的macOS安全和隐私首选项中授予,或通过移动设备管理(MDM)配置文件授予。
可以从macOS安全和隐私首选项窗格手动批准系统和内核扩展。
注意:macOS扩展不能通过MDM进行追溯审批。如果在安装连接器之前未部署MDM配置文件,则不会获得批准,并且需要以下两种形式之一进行额外干预:
1. 在已追溯部署管理配置文件的终端上手动批准macOS扩展。
2.将Mac连接器升级到比当前部署的连接器更新的版本。已回溯部署管理配置文件的终端在升级后识别管理配置文件,并在升级完成后获得批准。
安全终端扩展可以通过具有以下有效负载和属性的管理配置文件进行审批:
有效载荷 | 属性 | 价值 |
SystemExtensions | AllowedSystemExtensions | com.cisco.endpoint.svc.securityextension, com.cisco.endpoint.svc.networkextension |
AllowedSystemExtensionType | EndpointSecurityExtension、NetworkExtension | |
AllowedTeamIdentifiers | DE8Y96K9QP | |
SystemPolicyKernelExtensions | AllowedKernelExtensions | com.cisco.amp.fileop、com.cisco.amp.nke |
AllowedTeamIdentifiers | TDNYQP7VRK | |
WebContentFilter | AutoFilterEnabled | 假 |
FilterDataProviderBundleIdentifier | com.cisco.endpoint.svc.networkextension | |
FilterDataProviderDesignatedRequirement | 锚apple通用和标识符“com.cisco.endpoint.svc.networkextension”和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = DE96Y9QP) | |
FilterGrade | 防火墙 | |
过滤器浏览器 | 假 | |
FilterPackets | 假 | |
FilterSockets | true | |
插件捆绑包ID | com.cisco.endpoint.svc | |
UserDefinedName | 思科安全终端过滤器(如果连接器版本早于1.18.0,则为AMP网络扩展) |
MacOS 12及更高版本允许使用RemovableSystemExtensions属性将macOS扩展标记为可移除,如下所述。
注意:当允许macOS Extension可移除权限时,任何具有root权限的用户或进程都能够在没有提示输入用户密码的情况下删除扩展。因此,仅当管理员要自动卸载连接器时,才必须使用RemovableSystemExtensions属性。
注意:无法通过MDM回溯删除MacOS扩展。如果在卸载连接器之前未部署MDM配置文件,则不会授予macOS扩展删除批准,用户需要在连接器卸载过程中手动在终端上输入密码以删除macOS扩展。
在安装具有添加到SystemExtensions负载的RemovableSystemExtensions属性的管理配置文件时,可以在连接器卸载过程中删除安全终端扩展。RemovableSystemExtensions属性必须包含两个安全终端扩展的捆绑标识符:
有效载荷 | 属性 | 价值 |
SystemExtensions | RemovableSystemExtensions | com.cisco.endpoint.svc.securityextension, com.cisco.endpoint.svc.networkextension |
MacOS 10.14及更高版本需要经过批准,应用程序才能访问包含个人用户数据的部分文件系统(例如,联系人、照片、日历和其他应用程序)。某些连接器功能(例如访问时文件扫描)未经批准无法扫描这些文件的威胁。
以前的Mac连接器版本要求用户授予对ampdaemon
程序的全磁盘访问权限。Mac连接器1.14需要完全磁盘访问:
Mac连接器1.16.0及更高版本需要额外的全磁盘访问:
Mac连接器1.18及更高版本要求完全磁盘访问:
ampdaemon
程序不再需要使用Mac连接器1.14版及更高版本进行全磁盘访问。
可以在终端的macOS安全和隐私首选项中或通过移动设备管理(MDM)配置文件授予全磁盘访问批准。
可以从macOS安全和隐私首选项窗格手动批准全磁盘访问。
可以从macOS安全和隐私首选项窗格手动批准全磁盘访问。
可以从macOS安全和隐私首选项窗格手动批准全磁盘访问。
注意:macOS扩展不能通过MDM进行追溯审批。如果在安装连接器之前未部署MDM配置文件,则不会获得批准,并且需要以下两种形式之一进行额外干预:
1. 在已追溯部署管理配置文件的终端上手动批准macOS扩展。
2.将Mac连接器升级到比当前部署的连接器更新的版本。已追溯部署管理配置文件的终端在升级后识别管理配置文件,并在升级完成后获得批准。
全磁盘访问可由管理配置文件隐私首选项策略控制负载批准,该负载具有SystemPolicyAllFiles属性,该属性包含两个条目,一个用于安全终端服务(面向终端的AMP服务用于早于1.18.0的连接器版本)
,另一个用于安全终端系统监控(面向早于1.18.0的连接器版本的AMP安全扩展)
:
描述 | 属性 | 价值 |
安全终端服务(面向终端的AMP服务) | 允许 | true |
CodeRequirement | 锚apple通用和标识符“com.cisco.endpoint.svc”和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP) | |
标识符 | com.cisco.endpoint.svc | |
IdentifierType | 捆绑包ID | |
安全终端系统监控(AMP安全扩展) | 允许 | true |
CodeRequirement | 锚apple通用和标识符“com.cisco.endpoint.svc.securityextension”和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = DE96Y9QP) | |
标识符 | com.cisco.endpoint.svc.securityextension | |
IdentifierType | 捆绑包ID |
如果您的部署包括已安装连接器版本1.12.7或更早版本的计算机,则仍需要以下附加条目来授予这些计算机对ampdaemon
的完全磁盘访问权限:
描述 | 属性 | 价值 |
ampdaemon | 允许 | true |
CodeRequirement | 标识符ampdaemon和anchor apple generic和certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = TDNYQP7VRK | |
标识符 | /opt/cisco/amp/ampdaemon | |
IdentifierType | 路径 |
如果您的部署包括使用Cisco安全终端Mac连接器版本1.16.0或更高版本的计算机,在macOS 10.15或更高版本的计算机上,并且策略中启用了Orbital,则仍需要以下附加条目来授予这些计算机对Orbital的完全磁盘访问权限:
描述 | 属性 | 价值 |
Cisco Orbital | 允许 | true |
CodeRequirement | 锚apple通用和标识符“com.cisco.endpoint.orbital.app”和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP) | |
标识符 | com.cisco.endpoint.orbal.app | |
IdentifierType | 捆绑包ID |
此示例MDM配置配置文件可用作参考。
http://www.apple.com/DTDs/PropertyList-1.0.dtd">
Mac连接器1.14对目录结构进行了两项更改:
Cisco AMP
重命名为Cisco AMP for Endpoints
。ampcli
已从/opt/cisco/amp
移至/Applications/Cisco AMP for Endpoints/AMP for Endpoints Connector.app/Contents/MacOS
。目录/opt/cisco/amp
包含指向新位置的
ampcli程序的符号链接。Mac连接器版本1.14.0到1.16.2的完整目录结构如下:
├── Applications │ └── Cisco AMP for Endpoints │ └── AMP for Endpoints Connector.app │ │ └── Contents │ │ └──MacOS │ │ │ └── AMP for Endpoints Service.app │ │ └── Contents │ │ └──MacOS │ │ └── ampcli │ │ └── ampdaemon
│ │ └── amscansvc
│ │ └── ampcreport
│ │ └── ampupdater
│ │ └── SupportTool │ │
│ └── Support Tool.app
├── Library │ ├── Application Support │ │ └── Cisco │ │ └── AMP for Endpoints Connector │ │ └── SupportTool │ └── Logs │ └── Cisco ├── Users │ └── * │ └── Library │ └── Logs │ └── Cisco └── opt └── cisco └── amp └── ampcli
Mac连接器1.18引入了应用程序目录结构的更改:
思科AMP重命
名为思科安全终端
。Mac连接器版本1.18.0及更高版本的完整目录结构如下:
├── Applications
| └── Cisco Secure Endpoint
| └──Secure Endpoint Connector.app
| | └── Contents
| | └── MacOS
| |
| └── Secure Endpoint Service.app
| | └── Contents
| | └── MacOS
| | └── ampcli
| | └── ampdaemon
| | └── ampscansvc
| | └── ampcreport
| | └── ampupdater
| | └── SupportTool
| |
| └── Support Tool.app
systemextensionsctl
命令可用于确定需要批准哪些系统扩展。带有状态的系统扩展 [已激活等待用户]
此输出中的“Placeholder Developer”将显示在前面显示的macOS首选项页面中。如果首选项页面中显示两个以上的“占位符开发人员”条目,请卸载所有使用系统扩展名的软件(包括Mac连接器),以便不需要批准任何系统扩展,然后重新安装Mac连接器。com.cisco.endpoint.svc.networkextension
。com.cisco.endpoint.svc.securityextension
。 https://github.com/microsoft/shell-intune-samples/tree/master/macOS/Apps/Cisco%20AMP
注意:对于低于1.18.0的连接器版本,现有MDM配置无需干预即可升级到连接器版本1.18.0及更高版本。有关详细信息,请参阅安全终端Mac重新换品牌。
2020年12月1日
2020年11月9日
2020年11月3日
2021年6月3日
2021年10月13日
2022年2月25日
版本 | 发布日期 | 备注 |
---|---|---|
5.0 |
03-Oct-2022 |
已更正MDM配置配置文件示例中的标记。 |
4.0 |
01-Sep-2022 |
— 添加到咨询部分,指出Mac 1.20连接器引入了对Apple硅硬件的轨道支持 — 编辑以符合CCW |
3.0 |
28-Feb-2022 |
连接器重新品牌 |
2.0 |
13-Oct-2021 |
已添加有关可移动系统扩展的信息 |
1.0 |
12-Aug-2021 |
初始版本 |