Support-Portal
von
Sven Reimann

Sophos Mac Endpoint: JAMF Privatsphäre-Präferenzen für 10.15+ Kompatibilität konfigurieren

Technischer Hintergrund

Mit macOS 10.13, hat Apple ein neues Sicherheitslevel eingeführt, das es notwendig macht jede Kernel-Erweiterung von Drittherstellern explizit erlauben zu müssen. Dadurch wurde es notwendig Team ID zu erlauben, auch bekannt als Apple Developer ID.

Mit macOS 10.15 hat Apple ein neues Standardverhalten festgelegt, das Anwendungen daran hindert Schreibvorgänge durchzuführen.

Die folgenden Informationen befassen sich mit diesen Themen:

  1. Erlauben von Sophos Team ID (2H5GFH3774)
  2. Vollen Festplattenzugriff für jeden notwendig Prozess zulassen.

Um Nutzer zu benachrichtigen und zu informieren hat Sophos ein entsprechendes PopUp implementiert. Der Endpoint wird nach einem Neustart, sowie alle 30 Sekunden danach, prüfen, ob die Rechte kompatibel sind.

  • Die folgenden Schritte können auch für Geräte mit macOS 10.14.x angewendet werden. Sie können auf diese Weise ihre Geräte auf das Upgrade zu macOS 10.15+ vorbereiten. Die folgenden Anleitungen können genutzt werden, um Geräteprofile für ein späteres Upgrade zu macOS 10.15+ vorzubereiten.

Hinweis: In Sophos für Mac 9.9.5, wird ein Hinweis angezeigt, wenn die benötigten Rechte nicht vollständig freigegeben sind. Am 31. Oktober wurde ein Fehler entdeckt, bei dem dieser Hinweis auch angezeigt wird, wenn die Rechte per MDM-Profil vergeben wurden, da diese von Apple an einer anderen Stelle hinterlegt werden. Sophos arbeitet aktiv daran, die Erkennung zu verbessern, um dies zu verhindern.

Vorgehensweise

Es werden 2 Schritte benötigt, um die Kompatibilität mit macOS 10.15.x (Catalina) und niedriger.

Hinweis: Ein weiterer Schritt wird benötigt, um das Profil auf ein macOS 11(Big Sur) Gerät anwenden zu können.

  • Vollen Festplattenzugriff für alle Sophos Komponenten gewähren
  • Erlauben der Sophos Kernel Erweiterungen
  • (Big Sur – macOS 11) Konfigurieren der Systemerweiterungen als letzten Schritt

Vollen Festplattenzugriff für alle Sophos Komponenten gewähren

  1. Öffnen Sie JAMF und loggen Sie sich ein.
  2. Navigieren Sie zu Computer –> Konfigurationsprofile
  3. Erstellen Sie ein neues Konfigurationsprofil, oder wählen Sie ein Existierendes.
  4. Wählen Sie Privatsphäre-Präferenzen Richtlinienkontrolle aus (fast am Ende der Liste)
  5. Klicken Sie auf das + neben App-Zugriff
  6. In Kennung und Code geben Sie die folgenden Einträge ein und für Kennungstyp „BundleID“. Hinweis: Sophos empfiehlt nicht, das pfadbasierte Format zu verwenden.
    Identifier Code Requirement Valid Since Product
    com.sophos.endpoint.scanextension identifier „com.sophos.endpoint.scanextension“ and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = „2H5GFH3774“ v10.0.2 All
    com.sophos.liveresponse identifier „com.sophos.liveresponse“ and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = „2H5GFH3774“ v10.0.1 Central only
    com.sophos.SophosMDR identifier „com.sophos.SophosMDR“ and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = „2H5GFH3774“ v10.0.1 Central with MDR only
    com.sophos.autoupdate identifier „com.sophos.autoupdate“ and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = „2H5GFH3774“ v10.0.0 OPM only
    com.sophos.macendpoint.CleanD identifier „com.sophos.macendpoint.CleanD“ and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = „2H5GFH3774“ v10.0.0 All
    com.sophos.SophosScanAgent identifier „com.sophos.SophosScanAgent“ and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = „2H5GFH3774“ v10.0.0 All
    com.sophos.macendpoint.SophosServiceManager identifier „com.sophos.macendpoint.SophosServiceManager“ and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = „2H5GFH3774“ v10.0.0 All
    com.sophos.endpoint.uiserver identifier „com.sophos.endpoint.uiserver“ and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = „2H5GFH3774“ v10.0.0 Central only
    com.sophos.SDU4OSX identifier „com.sophos.SDU4OSX“ and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = „2H5GFH3774“ v10.0.0 All
    com.sophos.endpoint.SophosAgent identifier „com.sophos.endpoint.SophosAgent“ and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = „2H5GFH3774“ v10.0.0 All
    com.sophos.SophosAntivirus identifier „com.sophos.SophosAntiVirus“ and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = „2H5GFH3774“ v10.0.0 All
    com.Sophos.macendpoint.SophosSXLD identifier „com.Sophos.macendpoint.SophosSXLD“ and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = „2H5GFH3774“ v10.0.0 All
  7. Das Code Requirement kann selbstständig erzeugt werden. Setzen sie folgenden Befehl auf einem Mac mit Version 10.0.0 (Sophos Central) und neuer: codesign --display -r - <app path from table above>
  8. Sobald die Voraussetzungen erfüllt sind, können Sie die Rechte entsprechend vergeben. Jede Komponente sollte „All Files“ / „SystemPolicyAllFiles“ als Freigabe erhalten.
  9. Speichern Sie die Einstellungen und rollen Sie sie aus, wie benötigt.

Sophos Kernel Extensions erlauben

Sie können dasselbe Profil verwenden, aber die Option „Genehmigte Kernel Extensions“ muss ausgewählt sein. Haben Sie dies noch nicht konfiguriert, klicken Sie auf den „Öffnen“-Button in der Mitte, um die Konfiguration zu beginnen.

Während der Konfiguration müssen 3 Kernel Extensions, sowie die Sophos Team ID (2H5GFH3774) hinzugefügt werden.

Hinweis: Stellen Sie sicher, dass die Option „Benutzern erlauben, Kernel Extensions zu genehmigen“ deaktiviert ist.

Fügen Sie folgende Kernel Extensions hinzu:

  • com.sophos.nke.swi
  • com.sophos.kext.sfm
  • com.sophos.kext.oas

Speichern Sie die Änderungen.

(Big Sur – macOS 11) Konfigurieren der Systemerweiterung

Sie können dasselbe Profil benutzen.

  1. Wählen Sie im Bereich „Optionen“ „System Extensions“.
    1. Der Schritt ist ähnlich dem weiter oben, aber für die neuen Systemerweiterungen.
  2. Ihnen wird ein leeres Template angezeigt
  3. Geben Sie folgende Einträge, für die Anzeigenamen an:
    1. com.sophos.endpoint.networkextension
    2. com.sophos.endpoint.scanextension
  4. Fügen Sie einen Eintrag für jede Erweiterung hinzu. Stellen Sie sicher, dass die System Extension Types als „Erlaubte Systemerweiterungen“ eingetragen sind.
    1. Als Team Identifier, geben Sie die Sophos Team ID [ 2H5GFH3774] an.
  5.  Speichern Sie die Änderungen.
Tags: Intercept X, Sophos Central, sophos, Endpoint, Big Sur, MacOS 11, macOS 10.15, JAMF, Sophos für Mac