Агент для macOS

Системные требования

RAM: от 2 ГБ.

Пропускная способность сетевого канала: не менее 200 Kbps.

Поддерживаемые версии macOS:

  • 10.15(Catalina);

  • 11.x(BigSur);

  • 12.x(Monterey);

  • 13.x(Ventura);

  • 14.x(Sonoma).

Примечание

Поддержка версий 10.13(High Sierra) и 10.14(Mojave) прекращена. Агент запустится машинах под управлением 10.13(High Sierra) и 10.14(Mojave), но его функционал будет ограничен.

Возможности macOS-агента

Установка агента

  1. Скачайте агент:

  • через веб-интерфейс сервера;

  • по ссылке.

  1. Выдайте терминалу разрешение на доступ к жёсткому диску для запуска скрипта-установщика:

../_images/mac_ventura.png
  1. Разместите установочный файл на машине, действия которой будут отслеживаться.

Для этого в терминале из папки с агентом выполните команду:

sudo bash ./agent-macos.sh 10.0.0.1

Вместо 10.0.0.1 укажите IP-адрес своего сервера StaffCop.

В появившемся окне «StaffAgent нуждается в accessability» выдайте права агенту:

../_images/mac_2.png
  1. Предоставьте разрешение «Terminal» для установки агента:

../_images/mac_4.png

В некоторых версиях macOS необходимо выдать права на «Запись экрана»:

../_images/mac_3.png

Установка агента из pkg-дистрибутива

  1. Скачайте pkg-дистрибутив.

Примечание

Если в имени дистрибутива не указан адрес сервера Staffcop, на который будут отправляться данные, укажите его.

Приведите имя файла к виду agent-macos[server_address].pkg. Здесь вместо server_address укажите IP-адрес своего сервера Staffcop.

  1. Запустите файл.

Ошибка Can’t be opened because apple cannot check it for malicious software
В ходе установки агента, может возникнуть ошибка Can’t be opened because apple cannot check it for malicious software.
Эта ошибка возникает, когда macOS не может проверить производителя запускаемого ПО. Решить эту проблемы можно несколькими способами:

Способ 1. В разделе System Preferences - Security & Privacy выберите опцию Open Anyway.

Способ 2. Нажмите правой кнопкой мыши на значке приложения. Опция Open будет доступна, не смотря на предупреждение Can’t be opened because apple cannot check it for malicious software.

  1. Выполняйте указания мастера установки.

  2. При запросе введите логин и пароль администратора системы.

  3. Предоставьте системе все необходимые разрешения.

../_images/pkg_1.png

После завершения установки:

  • проверьте на всех вкладках, что предоставлены все необходимые разрешения:

    ../_images/pkg_1.png
  • в веб-интерфейсе сервера Staffcop в Алертах и в разделе Панель управления - Компьютеры появится информация об установленном агенте.

Удаление агента

Чтобы удалить агент выполните команду:

bash ./agent-macos.sh uninstall

Логи агента

Чтобы прочитать логи агента:

cat /Library/Caches/com.atomsec.staff/staff.log
cat /Library/Caches/com.atomsec.staff/staff_filemon.log
cat /tmp/staff.err.log
cat /var/log/system.log | grep com.atomsec.staff

Задание резервного сервера

macOS-агенту можно задать один или несколько резервных серверов для передачи событий или обновления самого агента.

Задать резервные серверы можно двумя способами:

  1. Через терминал:

    sudo /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent add_servers 1.1.1.1 555 https://2.2.2.2:888
    

    Здесь приведён пример добавления двух резервных серверов: 1.1.1.1 с портом связи 555 и 2.2.2.2 с портом 888.

    После добавления новых серверов, перезапустите агент, чтобы обновлённая конфигурация вступила в силу:

    sudo /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent restart
    
  2. Вручную в конфигурационном файле:

    2.1 Откройте конфигурационный файл /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/config.

    2.2 Добавьте адрес нового сервера и порт для подключения к нему в формате:

    server2 = 1.1.1.1
    port2 = 555
    

При недоступности основного сервера, агент автоматически переключится на резервный. В случае, если недоступен первый резервный сервер, агент переключится на следующий, указанный в списке.

Чтобы указать в качестве основного ранее добавленный сервер 1.1.1.1 с портом связи 555, используйте команду:

sudo /Library/Application\ Support/.AtomSec/StaffAgent.app/Contents/MacOS/StaffAgent 1.1.1.1 555 restart

Блокировка компьютера

Чтобы заблокировать компьютер:

  1. В веб-интерфейсе сервера Staffcop перейдите в раздел Панель управление - Компьютеры.

  2. Из списка компьютеров выберите необходимый.

  3. В разделе Выберите действие выберите Заблокировать ПК.

../_images/mac_5.png

Перехват загружаемых через браузер файлов

Начиная с версии Staffcop 5.3 для macOS-агентов доступен перехват загружаемых через браузеры файлов.

Чтобы активировать функцию:

  1. В разделе Панель управления - Конфигурации компьютеров выберите необходимую конфигурацию.

  2. В разделе конфигурации Файлы активируйте опцию Файловая активность и задайте Размер файла для теневого копирования.

  3. В разделе конфигурации Интернет активируйте опцию История браузеров.

  4. Готово!

При указанных выше настройках все файлы, загруженные через браузер и не превышающие максимальный размер файла для теневого копирования, будут перехвачены.