Symantec Endpoint Protection (SEP) 14.3 RU3 for Mac でシステム拡張のロードに失敗する。インストールは問題なく終了したように見えるが、SEP クライアント GUI では未完了のセットアップタスクの承認を求めるプロンプトが表示される。

セットアップが必要
セットアップが完了しておらず、コンピュータが保護されていません。
コンピュータが保護されていません。

macOS のセキュリティとプライバシー設定の一般タブの下部に保留中の承認はない。

インストールされているシステム拡張のリスト (コマンドライン "systemextensionsctl list") に com.broadcom.mes.systemextension が含まれていない。通常このリストには com.broadcom.mes.systemextension が "[activated enabled]" または "[activated waiting for user]" というステータスで表示されるはずである。

"sudo /Applications/Symantec\ Endpoint\ Protection.app/Contents/MacOS/Symantec\ Endpoint\ Protection -activateSystemExtension" を実行すると、次のような出力が得られる。

2022-01-25 11:15:37.455 Symantec Endpoint Protection[1643:12674] call activateSystemExtension
2022-01-25 11:15:37.473 Symantec Endpoint Protection[1643:12674] Failed: error:Error Domain=OSSystemExtensionErrorDomain Code=8 "(null)"

通常の応答は "Succeed" または "Failed: Activation request requires user approval" である。

アプリの公証や検証チェックに使用される Apple 社のホストとの通信が遮断されることで発生します。SEP 14.3 RU3 から RU6 では Apple の公証が適切に行われていなかったため、ソフトウェアの初回実行時にこれらのサーバーでチェックが発生します。Apple 社の Use Apple products on enterprise networks の "App features" と "Certificate validation" のアドレスリストを参照してください。

回避策として、まず SEP 14.3 RU2 for Mac をインストールし、その後 14.3 RU3 (以降) にアップグレードしてください。アップグレードでは、Apple 社のサーバーとのアプリの検証チェックは必要ありません。

macOS のシステム整合性保護を一時的に無効にすることでも回避できます。リカバリーモードに再起動してターミナルから "csrutil disable" を実行し、普通に再起動して SEP クライアントの GUI を開くと、macOS がシステム拡張を許可するように促すはずです。拡張機能を許可した後、システム整合性保護を再び有効にしてください。この回避策は広範囲に展開するのには適していません。

この問題を解決するには、ネットワーク上のデバイスが、Apple 社の技術文書 Use Apple products on enterprise networks に記載されているホストに直接アクセスできることを確認し、SEP を一旦アンインストール後に再インストールしてください。Mac 用の Symantec WSS エージェント を使用している場合、WSS を調整して api.apple-cloudkit.com をバイパスするようにすれば解消します。それ以外の場合は Apple 社のサポートに相談し、技術資料を参照して必要な通信の遮断を解除するために必要なことを決定してください。

弊社は問題を認識しており、将来のバージョンで SEP 公証の問題を修正する予定です。新しい情報が利用可能になり次第、この文書を更新します。

Apple: Customizing the notarization workflow

[英語文書] Endpoint Protection 14.3 RU3 for Mac fails to load its system extension