Správa přístupu příslušenství k zařízením Apple
Správa počítačů Mac
Zabezpečení příslušenství (známé jako Omezený režim) pro macOS je navrženo tak, že chrání zákazníky před útoky s blízkým přístupem v případě kabelového příslušenství. Při připojení nového příslušenství k notebookům Mac s čipy Apple a systémem macOS 13 nebo novějším je uživatel ve standardní konfiguraci vždy požádán o povolení. Uživatel má v Nastavení systému čtyři možnosti, jak povolit připojení příslušenství:
Vždy se zeptat
Zeptat se na nové příslušenství
Automaticky, je-li odemčeno
Vždy
Pokud uživatel připojí k zamknutému Macu neznámé příslušenství (přes rozhraní Thunderbolt či USB nebo – v systémech macOS 13.3 a novějších – jako SDXC kartu), bude vyzván, aby Mac odemkl. Schválené příslušenství může být k uzamknutému Macu připojené po dobu až 3 dnů od posledního uzamknutí Macu. Jakékoli připojené příslušenství vyzve po 3 dnech uživatele k „Odemknutí pro použití příslušenství“.
V některých prostředích může být nutné obejít autorizaci uživatele. Služby MDM můžou toto chování řídit prostřednictvím stávajícího omezení allowUSBRestrictedMode
a pomocí něj povolit používání příslušenství kdykoli.
Poznámka: Tato propojení se netýkají napájecích adaptérů, jiných monitorů než Thunderbolt, schválených rozbočovačů, spárovaných čipových karet ani Macu, na kterém je aktivní aplikací Průvodce nastavením nebo který je spuštěn v režimu zotavení.
Správa iPhonů a iPadů
Správa hostitelských počítačů, s nimiž se mohou iPhony a iPady párovat, je důležitá zejména z hlediska bezpečnosti a také kvůli pohodlí uživatelů. Připojení iPhonu nebo iPadu k důvěryhodnému hostitelskému počítači je vyžadováno například v situaci, kdy potřebujete zabezpečené připojení k samoobslužné stanici za účelem aktualizace softwaru nebo sdílení internetového připojení k počítači Mac.
Párování zařízení uživatel obvykle provádí v situaci, kdy připojuje své zařízení k hostitelskému počítači pomocí USB kabelu (nebo kabelu Thunderbolt, pokud to model iPadu podporuje). Na zařízení uživatele se zobrazí dotaz, zda má být vytvořeno důvěryhodné propojení s počítačem.
Uživatel je následně vyzván k zadání kódu pro potvrzení. Každé další připojení k témuž hostitelskému počítači se automaticky považuje za důvěryhodné. Důvěryhodné spárování s počítačem zrušíte buď tak, že přejdete na Nastavení > Obecné > Resetovat > Obnovit polohu a soukromí, anebo případně kompletně vymažete data ze zařízení. Navíc platí, že pokud se tyto záznamy o důvěryhodnosti po dobu 30 dní nepoužijí, budou odstraněny.
Správa MDM pro spárování s hostitelem
Je‑li zařízení Apple pod dohledem, správce na něm může povolit nebo zakázat ruční nastavení důvěryhodnosti hostitelských počítačů pomocí omezení Allow pairing with non-Apple Configurator hosts. Pokud správce v zařízeních vypne možnost párování s hostiteli (a zároveň do nich distribuuje příslušné dohledové identity), bude zajištěno, že přístup do těchto iPhonů a iPadů přes USB (nebo Thunderbolt, pokud toto rozhraní model iPadu podporuje) můžou získat pouze důvěryhodné počítače obsahující platný dohledový certifikát hostitele. Pokud v hostitelském počítači není nakonfigurovaný dohledový certifikát hostitele, je jakékoli párování zakázané.
Poznámka: Nastavení pro registraci allow_pairing v zařízeních Apple je od verze iOS 13 a iPadOS 13.1 považováno za zastaralé a už se nepoužívá. Správci by do budoucna měli používat jen výše uvedený postup, který nabízí větší flexibilitu a přitom stále umožňuje párování s důvěryhodnými hostiteli. Zároveň dovoluje změnit nastavení párování s hostiteli, aniž by bylo nutné iPhone nebo iPad vymazat.
Zabezpečení vůči obnově při připojení k nespárovanému hostiteli
V systémech iOS 14.5 a iPadOS 14.5 nebo novějších nemůžou nespárované hostitelské počítače restartovat zařízení do režimu recoveryOS (nazývaného také režim zotavení) a obnovit ho bez přímé fyzické interakce na místě. Před touto změnou bylo možné, aby neautorizovaný uživatel vymazal a obnovil zařízení uživatele i bez přímé interakce s daným iPhonem nebo iPadem. Stačilo k tomu mít počítač a připojení přes USB (nebo Thunderbolt, pokud toto rozhraní model iPadu podporuje) k cílovému zařízení (nabídnuté například z důvodu dobití).
Omezení externího spouštění pro obnovení iPhonu nebo iPadu
Ve výchozím nastavení systému iOS 14.5 a iPadOS 14.5 nebo novějšího je nyní tato možnost zotavení omezena pouze na hostitelské počítače, s nimiž zařízení už dříve navázalo důvěryhodné propojení. Pokud chce správce toto bezpečnější chování vypnout, může aktivovat omezení Allow putting an iOS or iPadOS device into Recovery Mode from an unpaired host.
Používání ethernetových adaptérů s iPhonem nebo iPadem
iPhone nebo iPad s kompatibilními ethernetovými adaptéry udržují aktivní spojení s připojenou sítí ještě dříve, než dojde k prvnímu odemknutí zařízení, pokud je na zařízení vypnuté příslušné omezení. Toto chování je užitečné v situacích, kdy je zařízení nutné předat MDM příkaz, ale Wi‑Fi a mobilní sítě jsou nedostupné a zařízení není odemčené, protože bylo spuštěno z vypnutého stavu nebo restartováno – například tehdy, když uživatel zapomněl přístupový kód a služba MDM se ho pokouší vymazat.
Nastavení omezeného režimu na iPhonu nebo iPadu může spravovat:
Správce MDM pomocí omezení USB Restricted Mode. Zařízení v tom případě musí být pod dohledem.
Uživatel v Nastavení > Touch/Face ID a kód > Příslušenství.