随着macOS Mojave 10.14.5的发布,Apple引入了一项新的安全功能,称为内核扩展(KEXT)公证。这标志着第三方内核扩展处理方式的重大变化,更具体地说,这意味着必须公证2019年4月7日之后签署的KEXT,才能在macOS 10.14.5及更高版本上加载。

苹果于2019年4月10日发布了 新的公证要求 说明以下内容: “在macOS 10.14.5的公共发行版中,我们要求所有开发人员首次创建Developer ID证书都必须对其应用进行公证,并且所有新的和更新的内核扩展也必须经过公证。” 公证宣布于 全球开发者大会(WWDC)2018 并且是可选的,但苹果明确表示,即将发布的macOS版本默认需要使用它。

什么是公证?

公证是将应用程序或内核扩展提交给Apple进行审核,以便在分发之前识别和阻止恶意软件的过程。 苹果 Notary Service是一个自动化系统,可以扫描app / KEXT中是否包含恶意内容,检查代码签名问题并返回结果。如果没有问题,则公证服务会生成票证-批准印章,并在网闸可以找到的位置在线发布该票证。该过程的最后一步是装订,使经过公证的应用程序可以在macOS上运行,而无需检入Apple服务器。

为了避免兼容性问题,可以将内核扩展提交公证,即使它们已经在野外。从2019年4月7日开始签署的KEXT将作为父级,并且自10.14.5 beta 4起将继续运行。如果未对KEXT进行公证,则不会加载该KEXT。在 macOS卡塔利娜10.15 安装第三方内核扩展程序需要重新启动计算机,然后才能加载它们。

如前所述  苹果 ,公证意味着额外的安全层,并且“通过显示更简化的Gatekeeper界面,使用户更有信心,无论他们从何处获取和下载并运行的软件,都不是恶意软件。”

端点保护器用户如何受到影响?

我们产品的最新macOS客户端版本,包括 端点保护器我的端点保护器 和  端点保护器基础版,已根据新的Apple公证要求进行了公证,并符合最新的macOS软件发行要求。

升级到macOS 10.14.5或更高版本的组织必须将其Endpoint Protector版本升级到最新的macOS客户端版本(客户端版本1.6.8.7或更高版本)。否则,他们可能会遇到以下问题之一。

  • 端点保护器 KEXT可能无法加载。
  • 端点保护器 KEXT可能会加载,但是会显示以下警告消息:

系统扩展警告
“您批准的一个或多个系统扩展名将与macOS的未来版本不兼容。请与“ CoSoSys”联系以获取支持。”

为避免这些情况,应延迟升级到macOS 10.14.5,直到更新到最新的macOS客户端版本的Endpoint Protector,“我的Endpoint Protector”或“ 端点保护器基础版”。

资源: //www.endpointprotector.com/blog