MAC Kernel en Full Disk Access in console - AMP voor endpoints

Downloadopties

  • PDF     (369.2 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (336.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (369.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:6 mei 2020
Document-id:215113

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding


    Dit document beschrijft de stappen naar probleemoplossing in Advanced Malware Protection (AMP) voor endpoints om twee Mac-fouten te werken: Full Disk Access (FDA) en Kernel-module is niet toegestaan.

    Bijgedragen door Uriel Torres, Javier Jesus Martinez, Cisco TAC-ingenieurs.

    Voorwaarden

    Vereisten


    Cisco raadt kennis van de volgende onderwerpen aan:


    ・ kennis over Mac
    ・ Account met Administrator-rechten

    Gebruikte componenten


    De informatie in dit document is gebaseerd op Cisco Advanced Malware Protection voor endpoints voor MAC.


    De informatie in dit document is afkomstig van de apparatuur in een specifieke omgeving:

    • MacOS High Sierra 10.13
    • MacOS 10.14 (Mojave)

    Beperkingen


    Dit is een cosmetische bug op OSX- en AMP-connectors die op OSV-10.4.X is geïnstalleerd en op connector versie 1.11.0. Het AMP-portaal geeft een foutbericht voor FDA en de host toont dat FDA is toegestaan.
    BugID: CSCvq98799

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

    Achtergrondinformatie


    Wanneer een aanvraag is ingediend om een KEXT-document te laden, maar nog niet is goedgekeurd, wordt de aanvraag voor het laden afgewezen. MacOS High Sierra 10.13 introduceert een nieuwe optie, wat betekent dat de gebruiker goedkeuring vereist voordat hij de nieuw geïnstalleerde kernelextensies (KEXT's) van derden laadt en alleen de goedgekeurde kernelextensies op een systeem worden geladen. De gebruiker moet de eerder genoemde stappen volgen om de Kernel-fout op te lossen.
    Aangezien macOS 10.14 (Mojave) nieuwe beveiligingsfuncties invoert die AMP voor Endpoints Mac Connectors beïnvloeden, dient u er zeker van te zijn dat de volledige Disk Access wordt verleend aan de AMP-servicedag zonder goedkeuring, kan de AMP-connector geen bescherming of zichtbaarheid bieden aan deze delen van het bestandssysteem die door macOS worden beschermd.

    Problemen oplossen

    Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

    Console-fouten

    Kernel Fault

    AMP Console laat de fout zien "Geen geautoriseerde module" wanneer een verzoek wordt ingediend om een Kernel Extension (KEXT) te laden en deze niet is goedgekeurd, wordt het verzoek om belasting afgewezen en meldt macOS een waarschuwing, zoals in de afbeelding wordt weergegeven.

    Na de upgrade van Apple was er een officiële aankondiging over de goedkeuring van de tunnel, zoals in de afbeelding te zien is.

    Raadpleeg voor de connector-extensie systeemvoorkeuren > Security & Privacy > General zoals in de afbeelding.

    Klik op in het slot om de KEXT goed te keuren (alleen de kanaaluitbreidingen die door de gebruiker zijn goedgekeurd, worden op een systeem geladen), zoals in de afbeelding weergegeven wordt.

    Opmerking: de gebruikersgoedkeuring wordt gedurende 30 minuten na de melding in het venster Security & Privacy prefab weergegeven. Wanneer de KEXT is goedgekeurd, probeert u de gebruikersinterface van de goedkeuring opnieuw te laten verschijnen, maar er wordt geen ander gebruikersalarm geactiveerd.

    Volledig schijf-toegangsfout

    AMP-console toont "Disk Access not Grant" zoals in de afbeelding wordt getoond.

    Controleer of de volledige toegang tot de schijf niet is toegestaan, navigeer dan naar systeemvoorkeuren > Beveiliging en Privacy > Privacy, zoals in de afbeelding getoond.

    Om de volledige toegang tot de schijf van de AMP-connector goed te keuren, navigeer naar de Full Disk Access en controleer het ampdaemonproces, zoals in de afbeelding wordt getoond.

    Open een terminal en stop de AMP-service en voer de volgende opdracht uit: sudo/bin/lancering lossen /Library/LaunchDaemons/com.cisco.amp.daemon.plist, vinkt het selectieteken aan, zoals in de afbeelding wordt getoond.

    Om cacheproblemen te voorkomen, navigeer dan naar /bibliotheek/logs/cisco en verwijder de volgende bestanden, zoals in de afbeelding.

    • ampdaemon.log
    • ampscansvc.log

    Start de service met behulp van de opdracht: sudo/bin/wash load /Library/LaunchDaemons/com.cisco.amp.daemon.plist.

    Opmerking:  Mocht u het ampèrebestand niet vinden, sleep het dan in de lijst Full Disk Access, zorg er dan voor dat het selectieteken gemarkeerd is zoals in de afbeelding.

    Om volledige schijftoegang te verlenen, geef de Kernels toestemmingen en een aanbevolen herstart van de apparaten van MAC, in het volgende hartslag interval het gerapporteerde bericht van de console weg.

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Uriel Torres
    • Javier Jesus Martinez

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten