使用MDM配置安全终端Mac连接器和轨道的权限：全磁盘访问、系统扩展

简介

本文档介绍管理员部署Mac连接器1.14和更新版本的最新更改和步骤。

MDM配置文件

强烈建议使用授予所需批准权限的MDM配置文件部署Mac连接器。在安装、升级或删除Mac连接器之前，必须安装MDM配置文件，以确保识别所需的权限。如果无法使用MDM，请参阅本文档后面的“已知问题”部分。

建议

Mac连接器版本1.14引入了一些需要注意的更改：

• 全磁盘访问批准
• 系统延期审批

需要Mac连接器1.14或更高版本才能确保macOS 11及更高版本上的终端保护。旧版Mac连接器在这些版本的MacOS上不起作用。

Mac连接器1.16版引入了对Intel硬件上的Cisco Orbal支持。Orbal可在策略中通过优势或高级层启用，并在支持的操作系统版本和支持的硬件上启用和安装时自动安装。Mac连接器1.20版引入了对Apple硅硬件上的Cisco Orbal的支持就绪性，计划与Orbal Node 1.21一起发布。 请参阅本文档的Cisco Orbal部分，以了解有关如何授予Orbal所需的其他全磁盘访问权限的详细信息。

最低操作系统要求

思科安全终端Mac连接器1.14.0支持macOS版本：

• macOS 11，带macOS系统扩展。
• macOS 10.15.5及更高版本，带macOS系统扩展。
• macOS 10.15.0到macOS 10.15.4，带macOS内核扩展。
• macOS 10.14，带macOS内核扩展。

思科安全终端Mac连接器1.14.1支持macOS版本：

• macOS 11，带macOS系统扩展。
• 带macOS内核扩展的macOS 10.15。
• macOS 10.14，带macOS内核扩展。

Intel硬件上的Cisco Orbal支持是在Secure Endpoint Mac连接器1.16.0版中引入的。 Cisco Orbal on Apple Silicon Hardware支持在Secure Endpoint Mac连接器1.20.0版中引入。

有关当前Mac连接器的兼容性，请参阅OS兼容性表。

重要更改

Mac连接器1.14在以下三个方面引入重要更改：

1. 批准连接器使用的macOS扩展
2. 全磁盘访问
3. 新建目录结构

MacOS 12引入了MDM选项，以允许删除连接器的macOS扩展而不提示输入用户密码。

Mac连接器macOS扩展认证

Mac连接器根据macOS版本的需要，使用系统扩展或旧版内核扩展来监控系统活动。在macOS 11上，系统扩展将替换macOS 11及更高版本中不支持的内核扩展。所有版本的macOS都需要用户批准，才能允许运行任何类型的扩展。未经批准，某些连接器功能（如按访问文件扫描和网络访问监控）将不可用。

Mac连接器1.14引入了两种新的macOS系统扩展：

1. 用于监控系统事件的终端安全扩展，称为安全终端文件监控（以前称为AMP安全扩展）
2. 用于监控网络访问的网络内容过滤器扩展，称为思科安全终端过滤器（以前称为AMP网络扩展）

两个旧版内核扩展(ampfileop.kext和ampnetworkflow.kext)包含在不支持新MacOS系统扩展的早期MacOS版本中的向后兼容性。

MacOS 11**及更高版本所需的批准：

• 批准加载安全终端文件监视器
• 批准加载思科安全终端过滤器
• 允许Cisco Secure Endpoint Filter过滤网络内容

** Mac连接器1.14.0版在macOS 10.15上也要求这些批准。 对于Mac连接器1.14.1或更高版本，MacOS 10.15不再需要这些批准。

MacOS 10.14和MacOS 10.15所需的批准：

• 批准加载连接器内核扩展

这些批准可在终端的macOS安全和隐私首选项中授予，或者通过移动设备管理(MDM)配置文件授予。

在终端上批准Mac连接器macOS扩展

可以从macOS安全和隐私首选项窗格中手动批准系统和内核扩展。

使用MDM批准Mac连接器MacOS扩展

注意：无法通过MDM追溯批准MacOS扩展。如果在安装连接器之前未部署MDM配置文件，则不会获得批准，并且需要以下两种形式之一进行额外干预：

1. 在已回溯部署管理配置文件的终端上手动批准macOS扩展。
2. 将Mac连接器升级到比当前部署的连接器更新的版本。已追溯部署管理配置文件的终端在升级后识别管理配置文件，并在升级完成后获得批准。

安全终端扩展可以通过具有以下负载和属性的管理配置文件进行批准：

负载	属性	价值
SystemExtensions	AllowedSystemExtensions	com.cisco.endpoint.svc.securityextension， com.cisco.endpoint.svc.networkextension
	AllowedSystemExtensionType	EndpointSecurityExtension、网络扩展
	AllowedTeamIdentifiers	DE8Y96K9QP
SystemPolicyKernelExtensions	AllowedKernelExtensions	com.cisco.amp.fileop、com.cisco.amp.nke
	AllowedTeamIdentifiers	TDNYQP7VRK
WebContentFilter	AutoFilterEnabled	假
	FilterDataProviderBundleIdentifier	com.cisco.endpoint.svc.networkextension
	FilterDataProviderDesignatedRequirement	锚apple通用和标识符“com.cisco.endpoint.svc.networkextension”和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP)
	FilterGrade	防火墙
	过滤器浏览器	假
	过滤数据包	假
	FilterSockets	真
	PluginBundleID	com.cisco.endpoint.svc
	UserDefinedName	思科安全终端过滤器（如果连接器版本早于1.18.0，则为AMP网络扩展）

使用MDM删除Mac Connector macOS Extensions

MacOS 12及更高版本允许使用RemovableSystemExtensions属性将MacOS扩展标记为可移除，如下所述。
注意：如果允许macOS Extension removable权限，则具有root权限的任何用户或进程都可以删除该扩展，而不会提示输入用户密码。因此，只能在管理员要自动卸载连接器时使用RemovableSystemExtensions属性。
注意：无法通过MDM回溯删除MacOS扩展。如果在卸载连接器之前未部署MDM配置文件，则不会授予macOS扩展删除批准，并且用户需要在连接器卸载过程中手动在终端上输入密码以删除macOS扩展。

在安装具有RemovableSystemExtensions属性添加到SystemExtensions负载的管理配置文件时，可以将安全终端扩展作为连接器卸载的一部分删除。RemovableSystemExtensions属性必须包含两个Secure Endpoint扩展的捆绑标识符：

负载	属性	价值
SystemExtensions	RemovableSystemExtensions	com.cisco.endpoint.svc.securityextension， com.cisco.endpoint.svc.networkextension

使用MDM阻止系统扩展禁用

MacOS 15及更高版本允许macOS扩展：

• 不能通过NonRemovableSystemExtensions属性删除。
• 使用NonRemovableFromUISystemExtensions属性无法在“系统设置”中禁用

注意：不可移除的密钥只能应用于macOS Sequoia 15设备。当从旧版本的macOS更新到macOS Sequoia 15时，将不会应用此管理设置。
注意：NonRemovableSystemExtensions键不能与RemovableSystemExtensions键一起使用；配置文件安装将失败。

注意：NonRemovableFromUISystemExtensions键可以与RemovableSystemExtensions键一起使用。

不可移除的属性必须包含两个安全终端扩展的捆绑标识符：

负载	属性	价值
SystemExtensions	NonRemovableFromUISystemExtensions	com.cisco.endpoint.svc.securityextension， com.cisco.endpoint.svc.networkextension
	NonRemovableSystemExtensions	com.cisco.endpoint.svc.securityextension， com.cisco.endpoint.svc.networkextension

全磁盘访问

MacOS 10.14及更高版本要求应用程序在访问文件系统中包含个人用户数据的部分（例如，联系人、照片、日历和其他应用程序）之前经过批准。未经批准，某些连接器功能（如按访问扫描文件）无法扫描这些文件的威胁。

以前的Mac连接器版本要求用户授予对ampdaemon程序的完全磁盘访问权限。Mac连接器1.14需要完全磁盘访问：

• “面向终端的AMP服务”
• "AMP安全扩展" 

Mac连接器1.16.0和更新版本需要额外的全磁盘访问：

• “思科轨道”（在策略中启用），可通过优势和高级访问获得

Mac连接器1.18及更高版本要求完全磁盘访问：

• "安全终端服务"
• "安全终端系统监控"
• 在策略中启用Orbal时“Cisco Orbal”(提供优势和高级级别)

ampdaemon程序不再需要使用Mac连接器1.14版和更新版本进行全磁盘访问。

可以在终端的macOS安全和隐私首选项中或通过移动设备管理(MDM)配置文件授予完全磁盘访问批准。

在终端批准对早于1.18.0的连接器版本进行全磁盘访问

可以从macOS安全和隐私首选项窗格中手动批准全磁盘访问。

批准终端的Cisco Orbal全磁盘访问

可以从macOS安全和隐私首选项窗格中手动批准全磁盘访问。

批准在终端对Cisco Secure Endpoint Connector 1.18.0和更新版本进行全磁盘访问

可以从macOS安全和隐私首选项窗格中手动批准全磁盘访问。

使用MDM批准连接器的全磁盘访问

注意：无法通过MDM追溯批准MacOS扩展。如果在安装连接器之前未部署MDM配置文件，则不会获得批准，并且需要以下两种形式之一进行额外干预：

1. 在已回溯部署管理配置文件的终端上手动批准macOS扩展。
2. 将Mac连接器升级到比当前部署的连接器更新的版本。已追溯部署管理配置文件的终端在升级后识别管理配置文件，并在升级完成后获得批准。

通过具有SystemPolicyAllFiles属性且包含两个条目的管理配置文件隐私首选项策略控制有效负载(一个用于安全终端服务（面向终端的AMP服务用于1.18.0之前的连接器版本），另一个用于安全终端系统监视器（面向早于1.18.0的连接器版本的AMP安全扩展），可以批准完全磁盘访问：

描述	属性	价值
安全终端服务（面向终端的AMP服务）	允许	真
	代码要求	锚apple通用和标识符“com.cisco.endpoint.svc”和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP)
	标识符	com.cisco.endpoint.svc
	IdentifierType	捆绑包ID
安全终端系统监控（AMP安全扩展）	允许	真
	代码要求	锚apple通用和标识符“com.cisco.endpoint.svc.securityextension”和(证书枝叶[field.1.2.840.113635.100.6.1.9] /*存在*/或证书1[field.1.2.840.113635.100.6.2.6] /*存在*/和证书枝叶[field.1.2.840.113635.100.6.1.13] /*存在*/和证书枝叶[subject.OU] = DE8Y96K9QP)
	标识符	com.cisco.endpoint.svc.securityextension
	IdentifierType	捆绑包ID

如果您的部署包括安装了连接器版本1.12.7或更早版本的计算机，则仍需要此附加条目以向这些计算机授予ampdaemon的完全磁盘访问权限：

描述	属性	价值
ampdaemon	允许	真
	代码要求	标识符ampdaemon和锚点apple generic和certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = TDNYQP7VRK
	标识符	/opt/cisco/amp/ampdaemon
	IdentifierType	路径

批准使用MDM对Cisco Orbal进行全磁盘访问

如果您的部署包括使用Cisco Secure Endpoint Mac connector版本1.16.0或更高版本的计算机（使用macOS 10.15或更高版本的计算机），并且在策略中启用了Orbal，则仍需要此附加条目来授予这些计算机对Orbal的完全磁盘访问权限：

描述	属性	价值
Cisco Orbital	允许	真
	代码要求	锚apple通用和标识符“com.cisco.endpoint.orbital.app”和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP)
	标识符	com.cisco.endpoint.orbal.app
	IdentifierType	捆绑包ID

MDM配置配置文件示例

此示例MDM配置配置文件可用作参考。

• 批准安全终端Mac连接器的系统扩展。
• 为安全终端Mac连接器和轨道授予全磁盘访问权限。
• 在卸载连接器时允许静默卸载系统扩展。
  注意：如果允许RemovableSystemExtensions权限，则具有root权限的任何用户或进程都可以在不提示输入用户密码的情况下删除系统扩展。因此，只能在管理员要自动卸载连接器时使用RemovableSystemExtensions属性。

http://www.apple.com/DTDs/PropertyList-1.0.dtd"> PayloadContent AllowUserOverrides AllowedSystemExtensions DE8Y96K9QP com.cisco.endpoint.svc.securityextension com.cisco.endpoint.svc.networkextension PayloadDescription PayloadDisplayName System Extensions PayloadEnabled PayloadIdentifier 92624553-06C3-4BE0-9000-91D8A260CC65 PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.system-extension-policy PayloadUUID 92624553-06C3-4BE0-9000-91D8A260CC65 PayloadVersion 1 RemovableSystemExtensions DE8Y96K9QP com.cisco.endpoint.svc.securityextension com.cisco.endpoint.svc.networkextension PayloadDescription PayloadDisplayName Privacy Preferences Policy Control PayloadEnabled PayloadIdentifier 290AAF9E-D9F1-4470-B802-2468AC836142 PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.TCC.configuration-profile-policy PayloadUUID 290AAF9E-D9F1-4470-B802-2468AC836142 PayloadVersion 1 Services SystemPolicyAllFiles Allowed 1 CodeRequirement anchor apple generic and identifier "com.cisco.endpoint.svc" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP) Identifier com.cisco.endpoint.svc IdentifierType bundleID StaticCode 0 Allowed 1 CodeRequirement identifier ampdaemon and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = TDNYQP7VRK Identifier /opt/cisco/amp/ampdaemon IdentifierType path StaticCode 0 Allowed 1 CodeRequirement anchor apple generic and identifier "com.cisco.endpoint.orbital.app" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP) Identifier com.cisco.endpoint.orbital.app IdentifierType bundleID StaticCode 0 FilterDataProviderBundleIdentifier com.cisco.endpoint.svc.networkextension FilterDataProviderDesignatedRequirement anchor apple generic and identifier "com.cisco.endpoint.svc.networkextension" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP) FilterGrade firewall FilterPackets FilterSockets FilterType Plugin PayloadDisplayName Web Content Filter Payload PayloadIdentifier F630E2F3-F917-47F5-93E9-343C4C787C28 PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.webcontent-filter PayloadUUID F630E2F3-F917-47F5-93E9-343C4C787C28 PayloadVersion 1 PluginBundleID com.cisco.endpoint.svc UserDefinedName AMP Network Extension VendorConfig PayloadDescription PayloadDisplayName Cisco Secure Endpoint Settings [DEMO] PayloadEnabled PayloadIdentifier 36DAAE4E-5BA2-497B-8381-D58FCB62FA1B PayloadOrganization Cisco Systems, Inc. PayloadRemovalDisallowed PayloadScope System PayloadType Configuration PayloadUUID 36DAAE4E-5BA2-497B-8381-D58FCB62FA1B PayloadVersion 1

MacOS 10.15或更早版本的MDM配置示例

• 批准内核扩展并授予连接器的完全磁盘访问权限。
  
  • 注意：M1和更高版本的Apple产品不能使用包含此配置的配置文件

AllowNonAdminUserApprovals AllowUserOverrides AllowedKernelExtensions TDNYQP7VRK com.cisco.amp.nke com.cisco.amp.fileop PayloadDescription PayloadDisplayName Approved Kernel Extensions PayloadEnabled PayloadIdentifier A872B6D5-D67C-41FE-BE64-3DD674C43C4F PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.syspolicy.kernel-extension-policy PayloadUUID A872B6D5-D67C-41FE-BE64-3DD674C43C4F PayloadVersion 1

新建目录结构

版本1.14.0到1.16.2

Mac连接器1.14对目录结构引入了两项更改：

1. 应用目录已从思科AMP重命名为面向终端的思科AMP。
2. 命令行实用程序ampcli已从/opt/cisco/amp移至/Applications/Cisco AMP for Endpoints/AMP for Endpoints Connector.app/Contents/MacOS。目录/opt/cisco/amp包含指向ampcli程序在新位置的符号链接。

Mac连接器版本1.14.0到1.16.2的完整目录结构如下：

├── Applications
│   └── Cisco AMP for Endpoints
│       └── AMP for Endpoints Connector.app
│       │   └── Contents
│       │       └──MacOS
│       │
│       └── AMP for Endpoints Service.app
│       │   └── Contents
│       │       └──MacOS
│       │           └── ampcli
│       │           └── ampdaemon
│       │           └── amscansvc
│       │           └── ampcreport 
│       │           └── ampupdater 
│       │           └── SupportTool
│       │
│       └── Support Tool.app
├── Library
│   ├── Application Support
│   │   └── Cisco
│   │       └── AMP for Endpoints Connector
│   │           └── SupportTool
│   └── Logs
│       └── Cisco
├── Users
│   └── *
│       └── Library
│           └── Logs
│               └── Cisco
└── opt
    └── cisco
        └── amp
            └── ampcli

版本1.18.0及更高版本

Mac连接器1.18引入了应用程序目录结构的更改：

1. 应用目录已从面向终端的思科AMP思科AMP终端重命名为思科安全终端。

Mac连接器版本1.18.0和更新版本的完整目录结构如下：

├── Applications
|   └── Cisco Secure Endpoint
|       └──Secure Endpoint Connector.app
|       |    └── Contents
|       |        └── MacOS
|       |
|       └── Secure Endpoint Service.app
|       |   └── Contents
|       |       └── MacOS
|       |           └── ampcli
|       |           └── ampdaemon
|       |           └── ampscansvc
|       |           └── ampcreport
|       |           └── ampupdater
|       |           └── SupportTool
|       |
|       └── Support Tool.app

MacOS 11.0和Mac Connector 1.14.1的已知问题。

• 如果计算机上安装了四个或更多网络内容过滤器，则故障10“加载内核模块或系统扩展需要重新启动”的指导可能不正确。 有关详细信息，请参阅Cisco安全终端Mac连接器故障文章。

MacOS 10.15/11.0和Mac Connector 1.14.0的已知问题。

• Mac连接器引发的一些故障可能会意外出现。有关详细信息，请参阅Cisco安全终端Mac连接器故障文章。
  • 故障13(网络内容过滤器系统扩展过多)可能在升级后引发。重新启动计算机可解决此情况下的故障。
  • 故障15（系统扩展需要全盘访问），在重新启动后可能会由于macOS 11.0.0中的错误而引发。 此问题已在macOS 11.0.1中修复。 可以通过在macOS系统首选项的“安全和隐私”窗格中重新授予完全磁盘访问权限来解决此故障。
    
    
• 在安装过程中，当macOS请求允许运行Mac连接器系统扩展时，“安全和隐私”窗格可以显示“占位符开发人员”作为应用程序名称。 这是由MacOS 10.15中的Bug所致。 选中“Placeholder Developer”旁边的框以允许Mac连接器保护计算机。
  
  
  • systemextensionsctl列表命令可用于确定需要批准哪些系统扩展。具有状态的系统扩展 [activated waiting for user]，此输出中将显示为“Placeholder Developer”（占位符开发人员），位于先前显示的macOS首选项页面中。如果首选项页面中显示两个以上的“Placeholder Developer”条目，请卸载所有使用系统扩展插件（包括Mac连接器）的软件，以便不需要批准系统扩展插件，然后重新安装Mac连接器。
    Mac连接器系统扩展标识如下：
    
    • 网络扩展显示为com.cisco.endpoint.svc.networkextension。
    • 显示的终端安全扩展具有 com.cisco.endpoint.svc.securityextension。 
      
      
• 在安装过程中，允许内容过滤器监控网络流量的提示可以显示“(null)”作为应用名称。 这是由macOS 10.15中的Bug导致的。 用户需要选择“允许”以确保保护计算机。
  
• 如果由于选择“不允许”而取消提示，则从“座席”图标的下拉菜单中选择“允许网络过滤器”  以再次打开提示。
  
  
• 启用后，安全终端网络扩展过滤器会列在“网络首选项”(Network Preferences)页面。
  
  
• 在macOS 11上，当执行从Mac连接器1.12到Mac连接器1.14的升级时，当连接器从内核扩展过渡到新的系统扩展时，可能会暂时引发故障4（系统扩展无法加载）。

卸载系统扩展时的已知问题

• 在MacOS 12之前，或者未使用MDM时，当执行Mac连接器的卸载时，系统会提示用户输入其密码两次，以便可以卸载系统扩展。这是macOS的一个限制，在macOS 12中通过添加本文档中介绍的RemovableSystemExtensions MDM配置文件密钥进行了一些改进。

Intune部署安装脚本

• 此处托管了有助于在Microsoft维护的macOS上安装Secure Endpoint Connector的脚本：

https://github.com/microsoft/shell-intune-samples/tree/master/macOS/Apps/Cisco%20AMP

重新品牌化的Mac连接器（版本1.18.0及更高版本）

注意：对于1.18.0之前的连接器版本，现有MDM配置无需干预即可升级到连接器版本1.18.0及更高版本。有关详细信息，请参阅安全终端Mac重新标记。

修订历史纪录

2020年12月1

• Mac连接器1.14.1不再在macOS 10.15上使用系统扩展。
• 有关终端检查哪些“Placeholder Developer”系统扩展需要通过Mac连接器1.14.0审批的其他指南。

2020-11-9

• 已更正的捆绑包ID（全磁盘访问代码要求MDM负载）。

2020-11-3

• 1.14.0 Mac连接器的发布日期为2020年11月。
• 1.14.0 Mac连接器使用MacOS 10.15.5及更高版本的系统扩展。以前是10.15.6。
• 添加了已知问题部分。
• 已更新目录结构大纲。

2021-6-3

• 添加了向Cisco Orbal授予全磁盘访问权限的方向。

2021-10-13

• 添加了删除带MDM的Mac Connector macOS Extensions部分。
• 为“Uninstall of System Extensions（卸载系统扩展）”部分添加了已知问题。

2022-2-25

• 重新标记