系统扩展
某些防病毒/网络安全应用程序需要访问设备的硬盘和内存才能正常运行。为此,您可能需要在这些设备上允许某些扩展进入白名单。 作为 macOS 10.13 的一部分,Apple 引入了用户批准的内核扩展加载(UAKEL),使用户能够在软件安装过程中完全控制批准或拒绝内核扩展。
但是,使用 Endpoint Central 解决方案远程批准这些扩展的 Mac 机器必须具有用户批准的 MDM (UAMDM) 状态。 Endpoint Central 的注册方法会自动授予受管理的 Mac 机器 UAMDM 状态。因此,您可以将内核扩展和系统扩展(包括网络、驱动程序以及安全扩展)都允许列入白名单。
前提条件
- 操作系统要求:
- macOS 10.13 或更高版本 - 用于批准内核扩展
- macOS 10.14 或更高版本 - 用于批准系统扩展
- 管理的 Mac 设备必须具有用户批准的 MDM (UAMDM) 状态。
配置描述
| 配置规格 | 描述 |
|---|---|
| 允许用户手动批准内核/系统扩展 | 启用此选项允许用户手动批准或阻止未在此策略中指定的扩展。 |
| 团队标识符 | 要批准由供应商开发的扩展,请提供其 团队标识符. |
| 允许的扩展类别 | 至少选择一个您想要允许列入白名单的扩展类别。 |
| 扩展包标识符 | 若要批准属于特定类别且由某供应商开发的特定扩展,请指定其唯一的包标识符。若未指定,则所有具有相同团队标识符的扩展都将被批准。 |
- 若要允许列入白名单某供应商开发的所有类别中的完整扩展集:
- 指定该供应商的 团队标识符 ,并确保保存策略之前已选中所有 允许的扩展类别 。
- 若要允许列入白名单某供应商开发的一个或多个类别中的特定扩展集合:
- 指定该供应商的 团队标识符 指定该供应商的 允许的扩展类别 ,并确保保存策略之前已选择一个或多个
- 。
- 指定该供应商的 团队标识符 若要允许列入白名单某供应商开发的属于特定类别的特定扩展: 指定该供应商的 特定的 扩展包标识符 ,并选择扩展的类别。必要时,您也可以添加多个
扩展包标识符
- 。
- 如何获取团队标识符和扩展包标识符
- 在全新安装的 macOS 10.14 或更高版本上,安装所有用户所需的扩展。 当操作系统请求加载第三方扩展时,您将被提示提供同意。 现在,进入 系统偏好设置-> 安全性与隐私 ,点击所有所需扩展的
- :此批准仅在 30 分钟内有效。若需要再次显示,必须重启 Mac 机器以重新加载扩展。
批准所有必要扩展后,打开终端并运行以下命令: - sudo sqlite3 /var/db/SystemPolicyConfiguration/KextPolicy "SELECT * FROM kext_policy"团队标识符输出结果如下。第一段为 指定该供应商的 ;第二段为
允许注意
sudo sqlite3 /var/db/SystemPolicyConfiguration/KextPolicy "SELECT * FROM kext_policy"
2Y8XE5CQ94|com.kaspersky.kext.klif|1|Kaspersky Lab UK Limited|1
2Y8XE5CQ94|com.kaspersky.kext.kimul|1|Kaspersky Lab UK Limited|1
2Y8XE5CQ94|com.kaspersky.kext.mark.1.0.6|1|Kaspersky Lab UK Limited|1
2Y8XE5CQ94|com.kaspersky.nke|1|Kaspersky Lab UK Limited|1
AH4XFXJ7DK|com.fortinet.fct.kext.ipsec|1|Fortinet, Inc|1
AH4XFXJ7DK|com.fortinet.kext.fctrouternke|1|Fortinet, Inc|1
VB5E2TV963|org.virtualbox.kext.VBoxDrv|1|Oracle America, Inc.|1
VB5E2TV963|org.virtualbox.kext.VBoxUSB|1|Oracle America, Inc.|1
VB5E2TV963|org.virtualbox.kext.VBoxNetFlt|1|Oracle America, Inc.|1
VB5E2TV963|org.virtualbox.kext.VBoxNetAdp|1|Oracle America, Inc.|1
QX5T8D6EDU|com.bluestacks.kext.Hypervisor|1|BlueStack Systems, Inc.|1
