Konfigurieren Sie die Verwaltung mobiler Geräte auf Server- und Workload Protection für den macOS-Agenten

Ansichten:

Mithilfe der Verwaltung mobiler Geräte (MDM) können Administratoren die erforderlichen Berechtigungen für macOS-Agenten konfigurieren, damit keine zusätzlichen Aktionen vom Endbenutzer erforderlich sind. Neben der Festlegung von Berechtigungen bieten die folgenden Abschnitte Anweisungen zur ordnungsgemäßen Bereitstellung von MDM, damit Server- und Workload Protection für macOS-Agenten ohne Pop-ups (z. B. Anfragen nach Berechtigungen) für den Endbenutzer funktioniert.

Erforderliche Berechtigungen konfigurieren

Bevor MDM-Profile für Server- und Workload Protection für macOS-Agenten erstellt werden, müssen die folgenden Elemente konfiguriert werden, um sicherzustellen, dass nach der Erstinstallation von Server- und Workload Protection für macOS-Agenten keine Pop-ups auf dem macOS-Endpunkt angezeigt werden.

Kernel-Erweiterungen konfigurieren

macOS10.15 erfordert die Zustimmung des Benutzers, bevor neue Kernel-Erweiterungen von Drittanbietern geladen werden. Server- und Workload Protection für Mac-Agenten verwendet Kernel-Erweiterungen für die Echtzeitschutzfunktionen der Core Shields. Um sicherzustellen, dass Ihr Produkt Ihr System vollständig schützen kann, müssen Sie die Erweiterungen manuell zulassen.

Die folgenden Felder zur Erstellung des Kernel-Erweiterungs-MDM-Profils sind erforderlich:

<key>AllowedKernelExtensions</key>
<dict>
	<key>E8P47U2H32</key>
	<array>
		<string>com.trendmicro.kext.KERedirect</string>
		<string>com.trendmicro.kext.filehook</string>
		</array>
</dict>
<key>AllowedTeamIdentifiers</key>
<array>
	<string>E8P47U2H32</string>
</array>
<key>PayloadType</key>
<string>com.apple.syspolicy.kernel-extension-policy</string>

Systemerweiterungen konfigurieren

Um den Änderungen der Apple-Richtlinien für Softwareentwickler zu entsprechen, werden ab macOS Big Sur 11.0 Kernel-Erweiterungen nicht mehr vom System geladen. Daher wurde Server- und Workload Protection für den macOS-Agenten mit unseren Endpunkt-Sicherheits- und Netzwerk-Erweiterungs-Frameworks aktualisiert.

com.trendmicro.icore.es.sa: Endpunktsicherheit ist eine C-API zur Überwachung von Systemereignissen auf potenziell bösartige Aktivitäten. Diese Ereignisse umfassen Prozessexekutionen, das Einbinden von Dateisystemen, das Forken von Prozessen und das Auslösen von Signalen. Weitere Informationen finden Sie unter: https://developer.apple.com/documentation/endpointsecurity.
com.trendmicro.icore.netfilter.sa: Passen Sie die Kernnetzwerkfunktionen an und erweitern Sie diese. Weitere Informationen finden Sie unter: https://developer.apple.com/documentation/networkextension.

Die folgenden Systemerweiterungsfelder sind erforderlich:

<key>AllowUserOverrides</key>
<true/>
<key>AllowedSystemExtensionTypes</key>
<dict>
	<key>E8P47U2H32</key>
		<array>
			<string>EndpointSecurityExtension</string>
			<string>NetworkExtension</string>
		</array>
</dict>
<key>AllowedSystemExtensions</key>
<dict>
	<key>E8P47U2H32</key>
	<array>
		<string>com.trendmicro.icore.es</string>
		<string>com.trendmicro.icore.netfilter</string>
	</array>
</dict>
<key>PayloadType</key>
<string>com.apple.system-extension-policy</string>
<key>PayloadDisplayName</key>
<string>System Extension</string>

Web-Content-Filter konfigurieren

Ein Content-Filter auf dem Gerät untersucht die Netzwerk-Inhalte der Benutzer, während sie den Netzwerk-Stack durchlaufen, und bestimmt, ob diese Inhalte gesperrt oder an ihr endgültiges Ziel weitergeleitet werden sollen. Weitere Einzelheiten finden Sie unter Content-Filter-Anbieter.

Beim Erstellen eines MDM-Profils sind die folgenden Content-Filter-Felder erforderlich:

<key>FilterBrowsers</key>
<true/>
<key>FilterDataProviderBundleIdentifier</key>
<string>com.trendmicro.icore.netfilter</string>
<key>FilterDataProviderDesignatedRequirement</key>
<string>identifier "com.trendmicro.icore.netfilter" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = E8P47U2H32</string>
<key>FilterGrade</key>
<string>firewall</string>
<key>FilterPackets</key>
<false/>
<key>FilterSockets</key>
<true/>
<key>FilterType</key>
<string>Plugin</string>
<key>PayloadType</key>
<string>com.apple.webcontent-filter</string>
<key>PluginBundleID</key>
<string>com.trendmicro.icore</string>

Vollzugriff auf Festplatte konfigurieren

Hinweis

Für spezifische Konfigurationsanweisungen siehe https://success.trendmicro.com/dcx/s/solution/000277823?language=en_US.

Die Berechtigung für den vollständigen Festplattenzugriff ist ein Datenschutzmerkmal, das in macOS Mojave (10.14) eingeführt wurde und verhindert, dass einige Anwendungen auf Ihre wichtigen Daten in Ihren Mail-, Nachrichten-, TimeMachine- und Safari-Dateien zugreifen, zum Beispiel. Sie müssen manuell die Berechtigung erteilen, damit bestimmte Anwendungen auf diese geschützten Bereiche Ihres macOS-Endpunkts zugreifen können.

Hinweis

In früheren Versionen von macOS (10.13 und niedriger) wird diese Berechtigung während der Installation Ihres Produkts automatisch erteilt.

Warnung

Wenn der vollständige Festplattenzugriff nicht aktiviert ist, kann Server- und Workload Protection nicht alle Bereiche Ihres macOS-Endpunkts durchsuchen. Das bedeutet, dass Ihr Endpunkt nicht vollständig vor Malware und anderen Netzwerksicherheitsbedrohungen geschützt werden kann und nur einen begrenzten Teil Ihrer Systemordner und Festplatte durchsuchen kann.

Browser-Plugin-Erweiterung konfigurieren

(Optional) Fügen Sie die unten stehenden Profileinstellungen in MDM ein und stellen Sie sie auf dem verwalteten macOS-Computer bereit, um Chrome- oder Firefox-Erweiterungen automatisch zu aktivieren und Pop-up-Nachrichten zu vermeiden:

Google Chrome-Erweiterung

Nach der Installation der "Google Chrome-Erweiterung" wird Chrome die "Trend Micro Toolbar for Mac" aus dem Chrome Store herunterladen und installieren, auch wenn der Server- und Workload Protection-Agent für macOS nicht installiert wurde. Die Funktion der "Trend Micro Toolbar for Mac" funktioniert noch nicht und kann nicht durch das Deinstallationsprogramm entfernt werden.

Mozilla Firefox-Erweiterung

Nach der Installation der "Mozilla Firefox-Erweiterung" kann es den Anschein haben, dass MDM konfiguriert wurde, aber ein Pop-up wird Sie dennoch auffordern, die Firefox-Erweiterung zu installieren. Dies ist ein Timing-Problem. Tatsächlich wurde die Firefox-Erweiterung erfolgreich installiert und Sie können das Pop-up ignorieren.

Hinweis

Für den Safari-Browser ist es aufgrund von Apple-Beschränkungen nicht möglich, die Bereitstellung von Browser-Erweiterungen über MDM zu automatisieren.

Agenten von Mobile Device Management (MDM) bereitstellen

Nachdem Sie Mobile Device Management auf Server- und Workload Protection für den macOS-Agenten konfiguriert haben, können Sie Bereitstellungsskripts in Ihre MDM-Lösung importieren, um den Agenten zu installieren.

Weitere Informationen zu Bereitstellungsskripts finden Sie unter: Bereitstellungsskripts verwenden, um Computer hinzuzufügen und zu schützen.
Anweisungen zur Bereitstellung des Agenten über die AirWatch- oder Intune-MDM-Konsole finden Sie unter: Endpunkt und Server- und Workload Protection-Agent für Mac über AirWatch (Workspace One) und Microsoft Intune installieren.