跳至內容

檢查 macOS 上的安全權限

您需要授與 Sophos Endpoint 安全權限才能在 Mac 上執行。Apple 會經常更新其安全性需求,因此您可能需要多次執行此動作。請參閱macOS 上的安全權限

如果您使用遠端部署,則要在部署設定期間授與安全性權限。請參閱使用 Jamf Pro 安裝端點保護

您可以在 Sophos Endpoint Self Help 中檢查 Mac 是否具有正確的權限。您也可以使用終端機檢查您的權限。

如果您使用的是遠端部署,您也可以檢查您的權限。您可以使用終端機或用於遠端部署的管理工具執行此動作。

在 Sophos Endpoint 中檢查權限

您可以在 Sophos Endpoint Self Help 中檢查權限。您也可以使用自助工具來修正任何權限問題。

要檢查您的權限,請執行以下動作:

  1. 開啟 Sophos Endpoint。
  2. 按一下關於 > 診斷工具
  3. 按一下先決條件
  4. 檢查您的權限。

    如果出現問題,請按一下連結以修正該問題。

    在 Sophos Endpoint Self Help 中檢查權限。

使用終端機檢查權限

您需要新增額外的權限才能使用終端機檢查安全權限。這是因為 Apple 存在安全性限制。

您需要是管理員才能新增此權限。

若要使用終端機檢查權限,請執行下列動作:

  1. 在 Mac 上,移至系統喜好設定 > 安全和隱私
  2. 按一下隱私索引標籤。
  3. 在左窗格中,向下捲動,然後按一下完整磁碟存取

    完整的磁碟存取權限。

  4. 按一下視窗底部的鎖定。

  5. 輸入您的 Mac 使用者名稱和密碼。

    登入以更新設定。

  6. 按一下解鎖以授權變更。

  7. 完整磁碟存取底部,按一下加號圖示。

    將顯示應用程式清單。

  8. 按一下終端

  9. 選中終端核取方塊。

    完整的磁碟存取權限。

  10. 關閉安全性和隱私權

  11. 開啟 [終端機]。
  12. 執行以下指令:

    sudo sqlite3 /Library/Application\ Support/com.apple.TCC/TCC.db 'select * from access' | grep -i sophos
    

    這將向您顯示已授與 Sophos 的所有權限。請注意,權限會因您的授權和安裝的產品而異。

    以下範例顯示了 Mac 的權限。它安裝了 Sophos Anti-Virus for macOS 和 Sophos MDR。

    Mac 的權限範例。

  1. 在 Mac 上,移至系統設定 > 隱私和安全
  2. 隱私和安全中,按一下完整磁碟存取

    完整磁碟存取。

  3. 完整磁碟存取底部,按一下加號圖示。

    將顯示應用程式清單。

  4. 實用程式下,選取終端

  5. 點選打開。終端將顯示在具有完整磁碟存取的應用程式清單中。

    確保終端已開啟。

  6. 如果系統要求,請輸入您的 Mac 密碼。

    用於輸入 Mac 密碼的對話方塊。

  7. 關閉安全性和隱私權

  8. 開啟 [終端機]。
  9. 執行以下指令:

    sudo sqlite3 /Library/Application\ Support/com.apple.TCC/TCC.db 'select * from access' | grep -i sophos
    

    這將向您顯示已授與 Sophos 的所有權限。請注意,權限會因您的授權和安裝的產品而異。

    以下範例顯示了 Mac 的權限。它安裝了 Sophos Anti-Virus for macOS 和 Sophos MDR。

    Mac 的權限範例。

檢查遠端部署的權限

您可以使用終端機或部署工具檢查為遠端部署而授與 Sophos 的權限。

使用終端機檢查權限

遠端部署的設定儲存在覆寫檔案中。您可以在 /Library/Application\ Support/com.apple.TCC/MDMOverrides.plist 中找到此檔案。

您只能使用具有完整存取權限的終端機視窗存取此檔案。

建議您在開啟檔案之前,先將檔案複製到其他位置。這是因為 Apple 存在安全性限制。

要檢查權限,請執行以下動作:

  1. 開啟具有完整存取權限的終端機視窗。請參閱使用終端機檢查權限
  2. 執行以下命令將覆寫檔案複製到桌面。

    sudo cp /Library/Application\ Support/com.apple.TCC/MDMOverrides.plist ~/Desktop/

  3. 檢查檔案。

    該檔案的項目與上一節中顯示的項目類似。每個項目看起來也類似於以下內容:

    identifier "com.sophos.endpoint.uiserver" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "2H5GFH3774"

    subject.OU 始終為 2H5GFH3774。這是 Sophos 的 ID。憑證也應保持不變。

使用部署工具檢查權限

您可以使用 Jamf 和其他行動裝置管理 (MDM) 提供者,在部署軟體時遠端設定權限。您可以在工具中檢查軟體的權限。

以下說明顯示了如何在 Jamf 中檢查權限。

建議您檢查部署的工具說明,以取得如何檢查權限和設定的最新指示。

在 Jamf 中,您使用原則部署權限。您需要檢查原則設定以查看 Sophos 具有哪些權限。

要檢查權限,請執行以下動作:

  1. 開啟 Jamf。
  2. 移至設定 > 設定檔
  3. 選取 Sophos 部署原則。

    此時將出現設定清單。在隱私權喜好設定原則控制下,您將看到存取所有應用程式資料和元件清單。清單中應該有多個 Sophos 元件,全部標記為允許

    下面是 Jamf 顯示的資訊範例。

    Jamf 中的權限。

我們會在本機讀取套用的原則和系統設定的內容。然後,我們會根據應用程式清單進行檢查。