方案是作為配置描述檔部署到電腦的綜合macOS安全性配置。
您可以建立一個或多個方案以部署到您環境中的電腦。
- 在 Jamf Protect 中,按一下 Plans (計劃)。
- 按一下建立計畫。
- 給方案命名和加以說明。注意:
如果您已啟用 macOS Beta 版的威脅防護功能,請參閱 macOS 的威脅防護策略 配置威脅防護 Beta 版功能。配置威脅策略後,請繼續此步驟。如果您尚未啟用 macOS Beta 版威脅防護功能,請繼續依照下列說明操作。
- 在 Endpoint Threat Prevention(端點威脅防護)下,選擇以下選項之一,以決定 Jamf Protect 如何回應威脅資料庫比對:
- 封鎖與報告 —
封鎖並隔離與威脅資料庫相符的任何程序。
- 僅限報告 —
停用程序封鎖和檔案隔離的處理,但將資料庫符合項報告為警示。
- 已停用 —
停用所有程序封鎖、檔案隔離,和回應威脅資料庫匹配的報告。
- 封鎖與報告 —
- 配置Tamper Prevention(防篡改)設定。在防篡改設定中選擇 封鎖與報告 或 停用 來決定 Jamf Protect 如何回應被視為篡改的動作:
- 封鎖與報告 —
防止針對Jamf Protect應用程式進行未經授權變更。
- 停用 —
不要防止對 Jamf Protect 應用程式的未經授權的變更,這些變更可能被視為篡改。
- 封鎖與報告 —
- 配置Advanced Threat Controls(進階威脅控制)設定。選擇 封鎖與報告、僅限報告 或 停用,判斷 Jamf Protect 如何對常見攻擊者技術提供控制。重要事項:
Jamf建議在生產中啟用之前先進行測試。有關更多資訊,請參閱進階威脅控制。
- 封鎖與報告
- 干預、封鎖和報告惡意活動,來停止攻擊。
- 僅限報告
- 僅在發生攻擊時接收有關惡意活動的報告。
- 停用
- 停用對發生的惡意攻擊的干預和報告。
- 選取 Analytic Sets(分析集) 觸發該方案的警示。
- 從 Telemetry(遙測)功能表中選擇遙測配置。
一個方案只能新增一個遙測配置。
- 從 Control set(控制集)功能表中選擇一個卸除式儲存控制集。
一個方案只能新增一個卸除式儲存控制集。
- (任選) 配置合規設定。
預設會啟用 Compliance Baseline Reporting(合規基準報告) 設定,預設 報告間隔 為 1440 分鐘(等於 24 小時)。報告間隔必須在5到1440分鐘之間。
注意:若在計劃中啟用Compliance Baseline Reporting(合規基準報告),只會收集您已在Compliance(合規) > Baseline(基準)頁面上啟用的基準規則的資料。有關個別基準規則的更多資訊,請按一下Baseline(基準)頁面中的規則。
- 配置以下進階設定:
- 選取 啟用自動更新 核取方塊,將 Jamf Protect 代理程式更新自動傳送到電腦。
如此可確保電腦始終使用最新的代理程式,並與最新的 Jamf Protect 功能相容。
- 從 通訊協定 功能表中選擇 TCP 連接埠來配置代理程式與 Jamf Protect Cloud 之間的通訊。
預設會使用MQTT:443。如果您的環境使用透明或顯式 TCP proxy,您可以使用 Websocket/MQTT:443 透過 WebSocket 通訊協定來保護通訊。
- 從 記錄檔層級 功能表選擇一個級別,配置將該 Jamf Protect 傳送到電腦上 macOS 統一記錄檔之資訊的詳細程度。
Jamf建議您選擇預設選項"Error(錯誤)"。
注意:僅在出於診斷和測試目的需要時才使用詳細記錄檔層級。長時間以詳細模式執行會增加對系統資源的需求。使用詳細記錄檔層級也可能導致敏感資訊被傳送到統一記錄檔。
- 從 Exception sets(例外集)功能表中選擇例外集,以新增將免於觸發警示的任何例外。
- 從 動作功能表中選取動作配置。
- 選取 啟用自動更新 核取方塊,將 Jamf Protect 代理程式更新自動傳送到電腦。
- (任選) 配置 電腦報到資訊 設定。
根據預設,已選取所有選項。
注意:在 Jamf Protect 中,或在指派給方案之任何電腦的配置資料收集端點中,取消選取某個方案中的資產資訊是不可見的。
- 按一下Save (儲存)。