Implementar Endpoint Security para macOS con Jamf Pro

Aplica A: WatchGuard Advanced EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard Advanced EPDR., WatchGuard EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EPDR., WatchGuard EDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EDR.,WatchGuard EDR Core Este tema se aplica al producto de seguridad de endpoints WatchGuard EDR Core., WatchGuard EPP Este tema se aplica al producto de seguridad de endpoints WatchGuard EPP.

En Jamf, hay varias formas de completar la misma tarea. Las instrucciones de este tema se utilizaron correctamente para implementar Endpoint Security con Jamf Pro 11 en nuestro laboratorio de pruebas. Es posible que su entorno tenga requisitos o limitaciones diferentes. Si tiene algún problema, póngase en contacto con su representante de soporte técnico de Jamf Pro para obtener ayuda.

Jamf Pro es un software de Administración de Dispositivos Móviles (MDM) de nivel empresarial que le ayuda a administrar y proteger los dispositivos Apple con herramientas e integraciones avanzadas. Puede utilizar Jamf Pro para automatizar la aceptación de los permisos necesarios para que el software Endpoint Security funcione en dispositivos Mac.

Le recomendamos que, primero, cree los perfiles de configuración en Jamf Pro para que, cuando se instale Endpoint Security en su dispositivo, ya tenga los permisos necesarios.

Antes de Empezar

Este tema da por supuesto que ya tiene un certificado push operativo integrado en Jamf Pro (settings-global-push certificates)

Antes de crear los perfiles de configuración en Jamf Pro, le recomendamos que cree un pequeño grupo de dispositivos Mac en los que desee implementar primero Endpoint Security. Una vez completada la implementación, puede aumentar el tamaño del grupo. En este tema, creamos e implementamos los perfiles de configuración de Jamf en un grupo de computadoras estáticas y en dispositivos individuales.

Recomendamos encarecidamente utilizar dispositivos Mac que admitan extensiones del sistema (es decir, dispositivos Mac con macOS Catalina 10.15 o superior). Los dispositivos Mac con macOS Mojave 10.14 y versiones anteriores ejecutan Endpoint Security v2.x y versiones anteriores. Los pasos para estos dispositivos no se incluyen en este tema. Recomendamos que sus dispositivos Mac tengan instalada la versión más reciente de Endpoint Security.

Los pasos para automatizar la instalación de Endpoint Security para macOS con Jamf Pro incluyen:

• Crear un Perfil de Configuración de Jamf Pro
• Permitir Extensiones del Sistema y de Red
• Habilitar el Acceso Total al Disco
• Permitir Automáticamente el Filtrado de Contenido
• Implementar el Agente de WatchGuard y el Perfil de Jamf Pro
• Verificar la Implementación del Agente y el Perfil

Crear un Perfil de Configuración de Jamf Pro

Puede utilizar Jamf Pro para crear un perfil de configuración que acepte automáticamente los privilegios de macOS necesarios para que Endpoint Security se instale y se ejecute en sus dispositivos Mac.

Para crear un perfil de configuración, desde Jamf Pro:

1. En el panel izquierdo, haga clic en Equipos.
2. En el menú que se abre, haga clic en Perfiles de Configuración.

3. Haga clic en Nuevo Método.
4. En la sección General, ingrese un Nombre para el perfil (por ejemplo, política de permisos de protección de macOS).
5. Seleccione la pestaña Alcance.
6. Haga clic en Añadir.

7. Seleccione los dispositivos o un grupo de dispositivos a los que desea aplicar el perfil.
8. Haga clic en Guardar.

Permitir Extensiones del Sistema y de Red

Las extensiones del sistema son necesarias para capturar eventos de archivos. Las extensiones de red son necesarias para capturar y filtrar paquetes de red para la protección web y el filtrado de contenido. En el software de protección Endpoint Security v3.04 y superior, las extensiones de red también son necesarias para el aislamiento de dispositivos.

Para crear una opción que permita las extensiones del sistema y de red:

1. En la pestaña Opciones, seleccione Extensiones del Sistema.

2. Haga clic en Configurar.
3. Ingrese un Nombre de Visualización (por ejemplo, Extensiones del Sistema).
4. En la lista Tipos de Extensiones del Sistema, seleccione Extensiones del Sistema Permitidas.
5. En el cuadro de texto Identificador de Equipo, ingrese D3U2N4A6J7.
6. En la sección inferior de la página, haga clic en Añadir.

7. En la sección Extensiones del Sistema Permitidas, agregue estas extensiones:
   • com.protection.agent
   • com.protection.agent.next
8. Haga clic en Guardar para guardar la política.
9. Haga clic en Distribuir a Todos.
   Estos ajustes de extensión del sistema se distribuyen a todos los dispositivos definidos en el alcance.

Habilitar el Acceso Total al Disco

El servicio de protección de seguridad de endpoints requiere acceso total al disco en una Mac.

Para crear una opción que permita el acceso total al disco:

1. En la pestaña Opciones, seleccione Control de Políticas de Preferencias de Privacidad.

2. Haga clic en Configurar.
3. En la sección Acceso a la Aplicación, en el cuadro de texto Identificador, ingrese com.protection.agent.
4. En la lista Tipo de Identificador, seleccione Bundle ID.
5. En el cuadro de texto Requisito de Código, ingrese este código:

identifier "com.protection.agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = D3U2N4A6J7

6. En la sección inferior de la página, haga clic en Añadir para agregar una fila.
7. En la lista desplegable Aplicación o Servicio seleccione SystemPolicyAllFiles.
8. En la lista desplegable Acceso, seleccione Permitir.
9. Guarde la fila.
10. Haga clic en Guardar para guardar la política.
11. Haga clic en Distribuir a Todos.
    Estos ajustes de extensión del sistema se distribuyen a todos los dispositivos definidos en el alcance.

Permitir Automáticamente el Filtrado de Contenido

Puede crear una política para utilizar el filtrado de contenido de Endpoint Security. El filtro forma parte de la extensión de red.

Para crear una opción que permita automáticamente el filtro de contenido:

1. En la pestaña Opciones, seleccione Filtrado de Contenido.

2. Haga clic en Configurar.
3. En el cuadro de texto Nombre del Filtro, ingrese EndpointProtectionNetwork.
4. En el cuadro de texto Identificador, ingrese com.protection.agent.next.
5. En el cuadro de texto Organización, ingrese D3U2N4A6J7.
6. Habilite Filtro de Red.
7. En el cuadro de texto Identificador del Paquete de Filtrado de Red, ingrese com.protection.agent.next.
8. En el cuadro de texto Requisito Designado del Filtrado de Red, ingrese este código:

identifier "com.protection.agent.next" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = D3U2N4A6J7

9. Haga clic en Guardar.
10. Haga clic en Distribuir a Todos.
    Estos ajustes de extensión del sistema se distribuyen a todos los dispositivos definidos en el alcance.

Implementar el Agente de WatchGuard y el Perfil de Jamf Pro

Después de crear el perfil de configuración, utilice scripts de implementación para implementar el Agente de WatchGuard y el perfil en los dispositivos Mac. En esta sección, se crea un script de shell para implementar los perfiles de configuración en el Mac.

Para crear scripts de implementación:

1. Descargue los scripts de implementación de aquí.
2. Extraiga los archivos.
3. Seleccione Configuración > Administración de la Computadora.
4. Haga clic en Scripts.
5. Haga clic en Nuevo Método.
6. En la página General, ingrese un Nombre de Visualización para el script (por ejemplo, deployendpointscript).
7. En la página Script, pegue el código del script.

8. Edite la URL en el código pegado para incluir la URL completa de la UI de administración de Endpoint Security. Asegúrese de incluir comillas (por ejemplo, "https://...").
   Para copiar la URL completa de la UI de administración de Endpoint Security, seleccione Equipos > Añadir Equipos > MacOS y, a continuación, haga clic en Enviar URL por Correo Electrónico.

9. Haga clic en Guardar.
10. Haga clic en Nuevo Método.
11. En la página General, ingrese un Nombre De Visualización para el script (por ejemplo, loadNext).
12. En la página Script, pegue este código en el cuadro de texto: /Applications/Endpoint-Protection.app/Contents/MacOS/EndpointProtectionService.app/Contents/MacOS/NextLoader.app/Contents/MacOS/psanwatchdog --loadNext
13. Haga clic en Guardar.

Cuando ejecuta un script, puede seleccionar la prioridad y especificar valores para el script en una política de implementación. Para ejecutar un script en computadoras, este debe estar almacenado en el punto de distribución desde el que planea implementarlo y en Jamf Pro. La política se ejecuta en las computadoras dentro del ámbito definido la próxima vez que se registren en Jamf Pro.

Para crear una política de implementación, desde Jamf Pro:

1. En el panel izquierdo, haga clic en Equipos.
2. En el menú que se abre, seleccione Políticas.
3. Haga clic en Nuevo Método.
4. En la página Opciones, seleccione General.
5. Ingrese un Nombre de Visualización para la política (por ejemplo, DeployEndpointProtection).

6. En la página Alcance, asigne la política a las computadoras o al grupo de computadoras al que desea aplicarla.
7. Haga clic en Guardar.
8. En la página Opciones, seleccione Scripts.

9. Haga clic en Añadir.
10. Agregue los scripts que desee ejecutar (por ejemplo, DeployEndpointProtection y loadNext).
    La sección Scripts muestra los dos scripts seleccionados.
11. Establezca la prioridad del script DeployEndpointProtection como Antes.

12. Establezca la prioridad del script loadNext como Después.

13. Haga clic en General.
14. Le recomendamos que configure estas opciones:
    • Habilite Volver a Ejecutar Automáticamente la Política en Caso de Fallo.
    • Establezca Intentos de Reintento en 3.

Esto garantiza que el segundo script (loadNext) se ejecute varias veces para confirmar que el agente y la protección estén instalados. Por ejemplo, el inicio de sesión determina cuándo se activa la implementación. Esto puede cambiarse según sea necesario.

15. En la página Alcance, agregue los dispositivos o el grupo de dispositivos a los que desea aplicar la política.
    

Verificar la Implementación del Agente y el Perfil

Puede ver los registros para determinar si se implementó la política. Cuando se implementa la política, se ejecuta el primer script (DeployEndpointProtection). Este script realiza lo siguiente de forma automática:

1. Determina si se requiere rosetta2. Se trata de una capa de traducción para dispositivos Apple M-X. Si es necesario y aún no está instalado, el script lo instala.
2. Determina si el Agente de WatchGuard ya está instalado en esta carpeta: /Applications/Management-Agent.app/. Si el agente no está instalado, lo descarga desde el enlace especificado y lo instala en el dispositivo.

A continuación, el agente instala automáticamente el software Endpoint Security en el dispositivo. El dispositivo Mac muestra el mensaje: Se bloqueó una extensión del sistema necesaria. Para resolver el problema, abra el panel Preferencias de Seguridad y permita la aplicación NextLoader.

Este mensaje aparece porque Endpoint Security no inicia la extensión de red automáticamente hasta que el usuario hace clic en Abrir Panel de Preferencias de Seguridad y permite la aplicación. Este mensaje se cierra automáticamente unos minutos más tarde, cuando se vuelve a ejecutar el segundo script (loadNext) según lo especificado en la opción de reintento de la política de implementación.

Temas Relacionados

Instalar el Software Endpoint Security en Computadoras Mac

Comenzar con WatchGuard Endpoint Security

Proceso de Actualización de Endpoint Security