Endpoint Security für macOS mit Jamf Pro bereitstellen

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt., WatchGuard EPDR Dieses Thema betrifft das WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt.,WatchGuard EDR Core Dieses Thema betrifft das WatchGuard EDR Core Endpoint Security-Produkt., WatchGuard EPP Dieses Thema betrifft das WatchGuard EPP Endpoint Security-Produkt.

In Jamf gibt es mehrere Möglichkeiten, dieselbe Aufgabe durchzuführen. Die Anweisungen in diesem Thema wurden in unserem Testlabor erfolgreich verwendet, um Endpoint Security mit Jamf Pro 11 bereitzustellen. Ihre Umgebung hat möglicherweise andere Anforderungen oder Einschränkungen. Wenn Probleme auftreten, wenden Sie sich an Ihren Jamf Pro-Support.

Jamf Pro ist eine Enterprise-Level-Mobile-Device-Management(MDM)-Software, mit der Sie Apple-Geräte durch erweiterte Tools und Integrationen verwalten und sichern können. Sie können Jamf Pro verwenden, um die Akzeptierung der erforderlichen Berechtigungen für die Endpoint Security-Software auf Mac-Geräten zu automatisieren.

Es wird empfohlen, zunächst die Konfigurationsprofile in Jamf Pro zu erstellen, damit Endpoint Security bereits über die erforderlichen Berechtigungen verfügt, wenn Endpoint Security auf Ihrem Gerät installiert wird.

Bevor Sie beginnen

In diesem Thema wird davon ausgegangen, dass Sie bereits ein funktionierendes Push-Zertifikat in Jamf Pro integriert haben (settings-global-push certificates).

Bevor Sie die Konfigurationsprofile in Jamf Pro erstellen, empfehlen wir, eine kleine Gruppe von Mac-Geräten zu erstellen, für die Endpoint Security zuerst bereitgestellt werden soll. Nach der erfolgreichen Bereitstellung können Sie die Gruppe vergrößern. In diesem Thema werden Jamf-Konfigurationsprofile für eine statische Computergruppe und einzelne Geräte erstellt und bereitgestellt.

Wir empfehlen dringend, dass Sie Mac-Geräte verwenden, die Systemerweiterungen unterstützen (d. h. Mac-Geräte mit macOS Catalina 10.15 oder höher). Mac-Geräte mit macOS Mojave 10.14 und älter führen Endpoint Security v2.x und älter aus. Die Schritte für diese Geräte sind in diesem Thema nicht enthalten. Wir empfehlen, dass auf Ihren Mac-Geräten die neueste Version von Endpoint Security installiert ist.

Schritte zur Automatisierung der Installation von Endpoint Security für macOS mit Jamf Pro:

• Jamf Pro-Konfigurationsprofil erstellen
• System- und Netzwerkerweiterungen zulassen
• Vollständigen Festplatten-Zugriff aktivieren
• Inhaltsfilter automatisch zulassen
• WatchGuard Agent und Jamf Pro-Profil bereitstellen
• Bereitstellung von Agent und Profil prüfen

Jamf Pro-Konfigurationsprofil erstellen

Sie können Jamf Pro verwenden, um ein Konfigurationsprofil zu erstellen, das macOS-Berechtigungen automatisch akzeptiert, die für die Installation und Ausführung von Endpoint Security auf Ihren Mac-Geräten erforderlich sind.

So erstellen Sie ein Konfigurationsprofil aus Jamf Pro:

1. Klicken Sie im linken Fenster auf Computer.
2. Klicken Sie im angezeigten Menü auf Konfigurationsprofile.

3. Klicken Sie auf Neu.
4. Geben Sie im Abschnitt Allgemein einen Namen für das Profil ein (z. B. Berechtigungsregel für macOS-Schutz).
5. Wählen Sie die Registerkarte Umfang.
6. Klicken Sie auf Hinzufügen.

7. Wählen Sie die Geräte oder eine Gerätegruppe aus, für die das Profil zur Anwendung kommen soll.
8. Klicken Sie auf Speichern.

System- und Netzwerkerweiterungen zulassen

Systemerweiterungen sind erforderlich, um Dateiereignisse zu erfassen. Netzwerkerweiterungen sind erforderlich, um Netzwerkpakete für den Webschutz und die Inhaltsfilterung zu erfassen und zu filtern. In der Endpoint Security-Schutzsoftware Version 3.04 und höher sind Netzwerkerweiterungen auch für die Geräteisolation erforderlich.

So erstellen Sie eine Option, um System- und Netzwerkerweiterungen zuzulassen:

1. Wählen Sie auf der Registerkarte Optionen Systemerweiterungen.

2. Klicken Sie auf Konfigurieren.
3. Geben Sie einen Anzeigenamen ein (z. B. Systemerweiterungen).
4. Wählen Sie in der Liste Systemerweiterungstypen die Option Zulässige Systemerweiterungen.
5. Geben Sie im Textfeld Teamkennung D3U2N4A6J7 ein.
6. Klicken Sie im unteren Seitenbereich auf Hinzufügen.

7. Fügen Sie im Abschnitt Zulässige Systemerweiterungen die folgenden Erweiterungen hinzu:
   • com.protection.agent
   • com.protection.agent.next
8. Klicken Sie auf Speichern, um die Regel zu speichern.
9. Klicken Sie auf Für alle bereitstellen.
   Die betroffenen Systemerweiterungseinstellungen werden allen Geräten bereitgestellt, die im Anwendungsbereich festgelegt wurden.

Vollständigen Festplatten-Zugriff aktivieren

Der vollständige Festplatten-Zugriff für Mac ist für den Endpoint-Sicherheitsschutzdienst notwendig.

So erstellen Sie eine Option zur Aktivierung des vollständigen Festplatten-Zugriffs:

1. Wählen Sie in der Registerkarte Optionen Regelsteuerung Datenschutzpräferenzen.

2. Klicken Sie auf Konfigurieren.
3. Geben Sie im Abschnitt App-Zugriff im Textfeld Kennung den Parameter com.protection.agent ein.
4. Wählen Sie aus der Liste Kennungstyp die Option Bundle ID aus.
5. Geben Sie im Textfeld Code-Anforderung den folgenden Code ein:

identifier "com.protection.agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = D3U2N4A6J7

6. Klicken Sie im unteren Seitenbereich auf Hinzufügen, um eine Zeile hinzuzufügen.
7. Wählen Sie in der Dropdown-Liste App oder Dienst SystemPolicyAllFiles.
8. Wählen Sie aus der Dropdown-Liste Zugriff die Option Zulassen.
9. Speichern Sie die Zeile.
10. Klicken Sie auf Speichern, um die Regel zu speichern.
11. Klicken Sie auf Für alle bereitstellen.
    Die betroffenen Systemerweiterungseinstellungen werden allen Geräten bereitgestellt, die im Anwendungsbereich festgelegt wurden.

Inhaltsfilter automatisch zulassen

Sie können eine Regel erstellen, um Endpoint Security-Inhaltsfilter zu nutzen. Der Filter ist Teil der Netzwerkerweiterung.

So erstellen Sie eine Option, um einen Inhaltsfilter automatisch zuzulassen:

1. Wählen Sie auf der Registerkarte Optionen Inhaltsfilter.

2. Klicken Sie auf Konfigurieren.
3. Geben Sie im Textfeld Filtername EndpointProtectionNetwork ein.
4. Geben Sie im Textfeld Kennung com.protection.agent.next ein.
5. Geben Sie im Textfeld Organisation D3U2N4A6J7 ein.
6. Aktivieren Sie den Netzwerkfilter.
7. Geben Sie im Textfeld Netzwerkfilter-Paket-Kennung com.protection.agent.next ein.
8. Geben Sie im Textfeld Festgelegte Anforderungen Netzwerkfilter den folgenden Code ein:

identifier "com.protection.agent.next" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = D3U2N4A6J7

9. Klicken Sie auf Speichern.
10. Klicken Sie auf Für alle bereitstellen.
    Die betroffenen Systemerweiterungseinstellungen werden allen Geräten bereitgestellt, die im Anwendungsbereich festgelegt wurden.

WatchGuard Agent und Jamf Pro-Profil bereitstellen

Verwenden Sie nach der Erstellung des Konfigurationsprofils Bereitstellungs-Skripte, um WatchGuard Agent und das Profil auf Ihren Mac-Geräten bereitzustellen. In diesem Abschnitt erstellen Sie ein Shell-Skript, um die Konfigurationsprofile auf Ihrem Mac bereitzustellen.

So erstellen Sie ein Bereitstellungs-Skript:

1. Laden Sie die Bereitstellungs-Skripte hier herunter.
2. Extrahieren Sie die Dateien.
3. Wählen Sie Einstellungen > Computer-Verwaltung‭.
4. Klicken Sie auf Skripts.
5. Klicken Sie auf Neu.
6. Geben Sie auf der Seite Allgemein einen Anzeigenamen für das Skript ein (Beispiel: deployendpointscript).
7. Fügen Sie auf der Seite Skript den Code aus dem Skript ein.

8. Bearbeiten Sie die URL im eingefügten Code, um die vollständige URL aus der Endpoint Security-Verwaltungsoberfläche zu integrieren. Stellen Sie sicher, dass Anführungszeichen enthalten sind (z. B. "https://...").
   Um die vollständige URL von der Endpoint Security-Verwaltungsoberfläche zu kopieren, wählen Sie Computer > Computer hinzufügen > MacOS und klicken Sie dann auf URL per E-Mail senden.

9. Klicken Sie auf Speichern.
10. Klicken Sie auf Neu.
11. Geben Sie auf der Seite Allgemein einen Anzeigenamen für das Skript ein (Beispiel: loadNext).
12. Fügen Sie auf der Seite Skript den folgenden Code in das Textfeld ein. /Applications/Endpoint-Protection.app/Contents/MacOS/EndpointProtectionService.app/Contents/MacOS/NextLoader.app/Contents/MacOS/psanwatchdog --loadNext
13. Klicken Sie auf Speichern.

Wenn Sie ein Skript ausführen, können Sie die Priorität auswählen und Werte für das Skript in einer Bereitstellungsregel angeben. Um ein Skript auf Computern auszuführen, muss es auf dem Verteilungspunkt gespeichert werden, über den Sie es von und in Jamf Pro bereitstellen möchten. Die Regel wird auf Computern innerhalb des definierten Anwendungsbereichs ausgeführt, wenn sie sich das nächste Mal mit Jamf Pro anmelden.

So erstellen Sie eine Bereitstellungsregel aus Jamf Pro:

1. Klicken Sie im linken Fenster auf Computer.
2. Wählen Sie im angezeigten Menü die Option Regeln.
3. Klicken Sie auf New.
4. Wählen Sie auf der Seite Optionen Allgemein.
5. Geben Sie einen Anzeigenamen für die Regel ein (z. B. DeployEndpointProtection).

6. Weisen Sie auf der Seite Anwendungsbereich den Computern oder Computergruppen die Regel zu, auf die sie angewendet werden soll.
7. Klicken Sie auf Speichern.
8. Wählen Sie auf der Seite Optionen Skripts.

9. Klicken Sie auf Hinzufügen.
10. Fügen Sie die Skripts, die Sie ausführen möchten, hinzu (z. B. DeployEndpointProtection und loadNext).
    Der Abschnitt Skripts zeigt die beiden ausgewählten Skripts an.
11. Legen Sie die Priorität des DeployEndpointProtection-Skripts auf Vor fest.

12. Legen Sie die Priorität des loadNext-Skripts auf Nach fest.

13. Klicken Sie auf Allgemein.
14. Wir empfehlen, die folgenden Optionen zu konfigurieren.
    • Aktivieren Sie Regel bei Misserfolg automatisch erneut ausführen.
    • Legen Sie die Option Wiederholungsversuche auf 3 fest.

Dadurch wird sichergestellt, dass das zweite Skript (loadNext) mehrmals ausgeführt wird, um zu bestätigen, dass der Agent und der Schutz installiert sind. Der Anmeldestart bestimmt beispielsweise, wann die Bereitstellung ausgelöst werden soll. Dies kann bei Bedarf geändert werden.

15. Fügen Sie auf der Seite Anwendungsbereich die Geräte oder Gerätegruppen hinzu, für die Sie die Regel anwenden möchten.
    

Bereitstellung von Agent und Profil prüfen

Sie können die Protokolle aufrufen, um festzustellen, ob die Regel bereitgestellt wurde. Ist dies der Fall, wird das erste Skript (DeployEndpointProtection) ausgeführt. Automatische Skript-Prozesse:

1. Ermittlung, ob Rosetta2 erforderlich ist. Dies ist eine Übersetzungsebene für Apple M-X-Geräte. Wenn sie benötigt wird und noch nicht installiert ist, wird sie vom Skript installiert.
2. Ermittlung, ob WatchGuard Agent bereits im Ordner:/Applications/Management-Agent.app/ installiert ist. Ist der Agent nicht installiert, wird er über den angegebenen Link heruntergeladen und auf dem Gerät installiert.

Der Agent installiert die Endpoint Security-Software danach automatisch auf dem Gerät. Das Mac-Gerät zeigt die folgende Meldung an: Eine erforderliche Systemerweiterung wurde blockiert. Öffnen Sie das Sicherheitseinstellungsfenster und lassen Sie die NextLoader-Anwendung zu.

Diese Meldung wird angezeigt, weil Endpoint Security die Netzwerkerweiterung erst automatisch startet, wenn der Benutzer auf Sicherheitseinstellungsfenster öffnen klickt und die Anwendung zulässt. Die Meldung wird einige Minuten später automatisch geschlossen, wenn das zweite Skript (loadNext), wie in der Wiederholungsvorgabe der Bereitstellungsregel angegeben, erneut ausgeführt wird.

Ähnliche Themen

Endpoint Security-Software auf Mac-Computern installieren

Erste Schritte mit WatchGuard Endpoint Security

Endpoint Security Upgrade-Prozess