Cách bật/tắt McAfee Client Proxy 4.0 trên macOS 11.2

  • Created:
  • / Author: PACISOFT Help 7
Lượt xem: 807

ID bài viết kỹ thuật: KB94092

Sửa đổi lần cuối: 27/8/2021

Môi trường dữ liệu

  • McAfee Client Proxy (MCP) 4.0.0 and later
  • Apple macOS Big Sur 11.2

Tóm tắt

Để cải thiện bảo mật trên hệ thống Mac, macOS Big Sur 11.2 giới thiệu một tính năng mới, thay thế phần mở rộng kernel an toàn bằng phần mở rộng Mạng. Tính năng này thay đổi sự đồng ý của người dùng, để tải các tiện ích mở rộng hệ thống của bên thứ ba sau khi cài đặt macOS Big Sur. Tính năng này cần có những thay đổi trong MCP 4.0.0.

Sự cố

Các sản phẩm sử dụng tiện ích mở rộng mạng trên macOS Big Sur 11.1.x yêu cầu sự đồng ý của người dùng, để tải mọi tiện ích mở rộng hệ thống của bên thứ ba.

MCP 4.0.0 sử dụng phần mở rộng hệ thống mạng cho các sự kiện mạng. Vì vậy, tiện ích mở rộng mạng Proxy và cấu hình Bộ lọc nội dung cần được phê duyệt,  trước khi MCP có thể bắt đầu bảo vệ hệ thống.

Giải pháp

Không có Quản lý Thiết bị Di động (MDM):

QUAN TRỌNG: Giải pháp này yêu cầu can thiệp thủ công, để định cấu hình MCP trên Big Sur 11.2:

Cấu hình
Trải nghiệm người dùng
Cài đặt độc lập trên macOS Big Sur mà không cần cấu hình MDM
  1. Khi bạn cài đặt MCP trên các hệ thống Mac độc lập, nếu không có sự đồng ý của người dùng đối với Phần mở rộng Hệ thống McAfee, MCP không thể áp dụng chính sách đã định cấu hình.
  2. MCP cố gắng tự động tải các phần mở rộng McAfee System Extension 10 giây một lần sau khi cài đặt, cho đến khi có sự đồng ý của người dùng.
  3. Người dùng nhìn thấy Cảnh báo McAfee cho phép các tiện ích mở rộng Hệ thống McAfee từ Tùy chọn Hệ thống Bảo mật và Quyền riêng tư hay không. LƯU Ý: Trạng thái MCP hiển thị ExtAutErr     cho đến khi người dùng đồng ý.
  4.  Sau khi người dùng đồng ý, MCP sẽ áp dụng chính sách đã định cấu hình. Khi áp dụng chính sách, McAfeeSystemExtensions cần sự đồng ý của người dùng trong cài đặt mạng.
Triển khai ePolicy Orchestrator (ePO) trên macOS Big Sur mà không cần cấu hình MDM
  1. Khi bạn triển khai MCP trên các hệ thống Mac được quản lý bởi ePO, nếu không có sự đồng ý của người dùng đối với Tiện ích mở rộng hệ thống McAfee, MCP không thể áp dụng chính sách đã định cấu hình.
  2. MCP cố gắng tự động tải các phần mở rộng của hệ thống McAfee cứ sau 10 giây kể từ khi triển khai.
  3.  Người dùng nhìn thấy Cảnh báo McAfee  cho phép các tiện ích mở rộng hệ thống McAfee từ Tùy chọn Hệ thống Bảo mật và Quyền riêng tư hay không. LƯU Ý: Trạng thái MCP hiển thị ExtAutErr cho đến khi người dùng đồng ý.
  4. Sau khi người dùng đồng ý, MCP sẽ áp dụng chính sách đã định cấu hình. Khi áp dụng chính sách, McAfeeSystemExtensions cần sự đồng ý của người dùng trong cài đặt mạng.
Nâng cấp từ macOS Catalina với MCP 3.x hiện tại
  • Trước khi nâng cấp macOS Catalina lên Big Sur 11.2, việc gỡ cài đặt MCP 3.x là tùy chọn.
  • Sau khi nâng cấp macOS Big Sur, trạng thái MCP 3.x hiển thị Lỗi trình điều khiển, trạng thái này được mong đợi.
  • Sau khi nâng cấp Big Sur, MCP 4.x có thể được cài đặt. Sự đồng ý của người dùng là cần thiết theo tình huống trên.

LƯU Ý: Nếu bạn đã cài đặt ENSM Firewall trên một hệ thống, thì không cần sự đồng ý của người dùng. Bởi vì sự đồng ý sẽ được cung cấp trong khi kích hoạt ENSM Firewall.

Giải pháp

Nếu bạn muốn Cài đặt MCP theo chế độ silent (không có sự can thiệp của người dùng) bằng MDM.

  1. Tạo các tải trọng sau:
  • Phần mở rộng hệ thống Tải trọng
  • Nội dung Bộ lọc Tải trọng
  • Bộ lọc Proxy Ứng dụng (VPN)
  1. Di chuyển chúng đến đầu cuối. Ví dụ: sử dụng JamF.
  2. Cài đặt MCP.

Quá trình cài đặt không hoạt động.

Bạn có thể sử dụng cài đặt Tải trọng Hệ thống Tiện ích mở rộng Hồ sơ Quản lý sau đây để cài đặt MCP theo chế độ silent.

Cấu hình
Trải nghiệm người dùng
Tải trọng tiện ích mở rộng hệ thống
  1. Thêm phần mở rộng hệ thống Tải trọng Định
  2.  Cấu hình sau:
Thuộc tính
Giá trị
Cho phép người dùng phê duyệt tiện ích mở rộng hệ thống
Bỏ chọn / tắt
Các loại phần mở rộng
Cho phép mở rộng
Số nhận dạng nhóm
GT8P3H7SPW
Cho phép mở rộng hệ thống
com.mcafee.CMF.networkextension
com.mcafee.endpointsecurity
Nội dung bộ lọc tải trọng
  1. Thêm tải trọng bộ lọc nội dung Định
  2. Cấu hình sau:
Thuộc tính
Giá trị
Bộ lọc Sockets
Đúng
Mã định danh gói nhà cung cấp dữ liệu bộ lọc
com.mcafee.CMF.networkextension
Yêu cầu được chỉ định của nhà cung cấp dữ liệu bộ lọc
anchor apple generic and identifier “com.mcafee.CMF.networkextension” and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = GT8P3H7SPW)
Bộ lọc gói (Bộ lọc mạng)
Đúng
Mã định danh gói nhà cung cấp gói bộ lọc (Mã định danh gói bộ lọc mạng)
com.mcafee.CMF.networkextension
Mã định danh gói nhà cung cấp gói bộ lọc (Mã định danh gói bộ lọc mạng)
anchor apple generic and identifier “com.mcafee.CMF.networkextension” and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = GT8P3H7SPW)
Cắm ID gói (Mã định danh)
com.mcafee.containerapp
Mã định danh
McAfeeSystemExtensions
Giá trị lọc
Thêm vào
Tải trọng bộ lọc proxy ứng dụng
Bạn có thể sử dụng tải trọng Proxy với các cài đặt sau để phê duyệt các thành phần proxy mở rộng (Tải trọng VPN):
  1. Thêm VPN
  2. Cấu hình sau:
Thuộc tính
Giá trị
Tên kết nối
McafeeProxyExtension
Loại VPN
VPN
Loại kết nối
Custom SSL
Nhận dạng
com.mcafee.containerapp
Máy chủ
localhost
Cung cấp mã định danh
com.mcafee.CMF.networkextension
Xác thực người dùng
Certificate
Loại dịch vụ
App-Proxy
Tất cả kết nối
False (unchecked)
Loại trừ Mạng cục bộ
False (unchecked)
Yêu cầu được chỉ định của nhà cung cấp
anchor apple generic and identifier “com.mcafee.CMF.networkextension” and (certificate 0.113635.100.6.2.6] /* exists */ and certificaleaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.84te leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = GT8P3H7SPW)
Chứng nhận danh tính
Không

Giải pháp

Khi gỡ cài đặt MCP:

Khi gỡ cài đặt MCP, bạn được nhắc nhập thông tin đăng nhập quản trị viên, để gỡ cài đặt tiện ích mở rộng hệ thống. Tuyên bố này áp dụng cho cả MCP độc lập và ePO được quản lý. Không quan trọng hệ thống có được quản lý bằng MDM hay không. Nếu người dùng không cung cấp thông tin xác thực hoặc cung cấp thông tin xác thực không chính xác, việc xóa MCP sẽ không tiếp tục.

Để gỡ cài đặt MCP thành công, bạn phải thử xóa lại và cung cấp thông tin đăng nhập chính xác.

Apple đã thiết kế việc loại bỏ các phần mở rộng hệ thống theo cách này. Không thể tránh được sự can thiệp của người dùng ngay cả trên các hệ thống do MDM quản lý.

Trân trọng cám ơn quý độc giả.

Biên dịch Lê Toản – Help.pacisoft.com

Tagged: