Rendszer- és kernelbővítmények a macOS rendszerben
A macOS 10.15 vagy újabb rendszer lehetővé teszi a fejlesztők számára a macOS rendszer képességeinek kiterjesztését olyan rendszerbővítmények telepítése és kezelése által, amelyek a kernel szint helyett a felhasználói tárhelyen futnak. A felhasználói tárhelyen futtatott rendszerbővítmények növelik a macOS rendszer stabilitását és biztonságát. Bár a kext bővítmények teljes hozzáféréssel rendelkeznek a teljes operációs rendszerhez, a felhasználói tárhelyen futó bővítmények kizárólag a megadott funkciójuk elvégzéséhez szükséges engedélyekkel rendelkeznek.
A rendszerbővítmények támogatják az MDM segítségével történő robusztus felügyeletet, ide értve azt is, hogy képesek engedélyezni egy adott fejlesztőtől származó vagy adott típusú (pl. hálózati) bővítmények felhasználói beavatkozás nélkül történő betöltését. Opcionálisan az MDM megtilthatja a felhasználók számára a saját rendszerbővítményeik betöltésének engedélyezését.
macOS 11.3 – macOS 11.6.4 rendszerek alatt a rendszerbővítmény-profilon végzett módosítások közvetlenül kihatnak az adott bővítmény állapotára. Például, ha egy bővítmény jóváhagyásra vár és egy olyan konfigurációs profil kerül átküldésre, amely engedélyezi a bővítményt, a rendszer engedélyezi a bővítmény betöltését. Ennek megfelelően, ha egy jóváhagyás visszavonásra kerül, a rendszerbővítmény kiürítésre kerül és a rendszer megjelöli eltávolítás céljából a Mac következő újraindításakor. Ha egy rendszerbővítmény megpróbálja kiüríteni magát, a rendszer megjelenít egy interaktív hitelesítési párbeszédablakot, ahol a kiürítés engedélyezéséhez meg kell adni az adminisztrátori belépési adatokat.
A macOS 12.0.1 vagy újabb rendszer alatt a RemovableSystemExtension nevű, Rendszerbővítmények-adatcsomagban található szótár segítségével az MDM-adminisztrátorok megadhatják, mely appok távolíthatják el a saját rendszerbővítményeiket. A rendszerbővítmények eltávolításához nincs szükség helyi adminisztrátori hitelesítésre. Ez főként azon gyártók számára hasznos, akik automatizált eltávolítót is biztosíthatnak az appjaikhoz.
Kernelbővítmények
A macOS 11 rendszertől kezdődően, az engedélyezett harmadik felektől származó kernelbővítmények (kextek) nem tölthetők be igény szerint a kernelbe. A felhasználónak jóvá kell hagynia azokat, és újra kell indítania a macOS rendszert, hogy a módosítások betöltésre kerüljenek a kernelbe. Ezek végrehajtásához azonban Csökkentett biztonságra kell konfigurálni a biztonságos rendszerindítást egy Apple-chippel rendelkező Macen.
A fejlesztők keretrendszerek (például: DriverKit és NetworkExtension) segítségével írhatnak USB-ket és humán interfész illesztőprogramokat, végpont biztonsági eszközöket (például: adatvesztés megelőzés vagy más végpontügynökök), valamint VPN-eket és hálózati eszközöket, kextek létrehozása nélkül. A harmadik féltől származó biztonsági ügynököket kizárólag akkor érdemes használni, ha kihasználják ezeket az API-kat, vagy robusztus térképpel rendelkeznek a feléjük történő átmenet és a kernelbővítményektől történő elszakadás elősegítéséhez.
Fontos: A Kext bővítmények már nem ajánlottak macOS rendszerhez. A kextek kockára teszik az operációs rendszer integritását és megbízhatóságát. A felhasználóknak azokat a megoldásokat kell előnyben részesíteniük, amelyek nem igénylik a kernel bővítését, helyette rendszerbővítményeket alkalmaznak.
Kextek hozzáadása Intel-alapú vagy Apple-chippel rendelkező Macek macOS 11 vagy újabb rendszerein
Ha kernelbővítményeket kell használnia, tekintse át a regisztrációs típuson alapuló jóváhagyási módokat.
MDM-regisztrációs típus | Jóváhagyási módszer | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Nincs regisztrálva Felhasználói regisztráció | Új kext telepítésére és betöltésére tett próbálkozás esetén a felhasználónak újra kell indítania a rendszert a következőben:
Ezen újraindítás a kernel rendszerindítása előtt kezdeményezi az AuxKC újraépítését. | ||||||||||
Device Enrollment (Eszközregisztráció) Automatizált eszközregisztráció | Új kextek telepítésére és betöltésére tett kísérletek esetén az alábbi felek egyikének kezdeményeznie kell az újraindítást:
Megjegyzés: A kext bővítményt megadó MDM-megoldásnak először telepítenie kell egy kext bővítmény engedélyezési lista profilt. A macOS 11.3 vagy újabb rendszer opcionálisan engedélyezi az MDM-et, hogy értesítse a felhasználót, hogy indítsa újra a számítógépet egy alkalmas pillanatban. | ||||||||||
További lépések kext bővítmények Apple-chippel rendelkező Macekhez történő hozzáadásához
Ha kernelbővítményeket ad hozzá egy Apple-chippel rendelkező Macen, akkor további lépéseket kell tennie.
MDM-regisztrációs típus | Jóváhagyási módszer | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Nincs regisztrálva | A felhasználó általi kextfelügyelethez a visszaállítási operációs rendszerben kell újraindítani a rendszert a biztonsági beállítások csökkentéséhez. A felhasználónak megnyomva kell tartania a bekapcsoló gombot a gép visszaállítási operációs rendszerben történő újraindításához és adminisztrátorként történő hitelesítéséhez. Kizárólag a bekapcsológomb lenyomva tartásával megnyitott visszaállítási operációs rendszerben fogadja el a Secure Enclave a házirend módosítását. Ezt követően a felhasználónak be kell jelölnie a Csökkentett biztonság és az „Ismert fejlesztőktől származó kernelbővítmények felhasználók által történő kezelésének engedélyezése” jelölőnégyzetet, majd újra kell indítania a Macet. | ||||||||||
Felhasználói regisztráció | A felhasználónak visszaállítási operációs rendszerben kell újraindítania a rendszert a biztonsági beállítások csökkentéséhez. A felhasználónak le kell nyomnia és lenyomva kell tartania a bekapcsoló gombot a gép recoveryOS-ben történő újraindításához és helyi adminisztrátorként történő hitelesítéséhez. Kizárólag a bekapcsológomb lenyomva tartásával megnyitott visszaállítási operációs rendszerben fogadja el a Secure Enclave a házirend módosítását. Ezt követően a felhasználónak ki kell választania a Csökkentett biztonság elemet, be kell jelölnie „Ismert fejlesztőktől származó kernelbővítmények felhasználók által történő kezelésének engedélyezése” jelölőnégyzetet, majd újra kell indítania a Macet. | ||||||||||
Device Enrollment (Eszközregisztráció) | Az MDM-megoldásnak értesítenie kell a felhasználót, hogy visszaállítási operációs rendszerben kell újraindítania a rendszert a biztonsági beállítások csökkentéséhez. A felhasználónak megnyomva kell tartania a bekapcsoló gombot a gép visszaállítási operációs rendszerben történő újraindításához és adminisztrátorként történő hitelesítéséhez. Kizárólag a bekapcsológomb lenyomva tartásával megnyitott visszaállítási operációs rendszerben fogadja el a Secure Enclave a házirend módosítását. Ezt követően a felhasználónak ki kell választania a Csökkentett biztonság elemet, be kell jelölnie „A kernelbővítmények és az automatikus szoftverfrissítések távoli kezelésének engedélyezése” jelölőnégyzetet, majd újra kell indítania a Macet. Ha szeretné megismerni, hogy ez a funkció támogatott-e az eszközei esetében, tekintse meg az MDM-szolgáltató dokumentációját. | ||||||||||
Automatizált eszközregisztráció (A Mac sorozatszámának meg kell jelennie az Apple School Managerben, Apple Business Managerben vagy az Apple Business Essentialsben, valamint a Macet regisztrálni kell a szolgáltatáshoz kapcsolt MDM-megoldásban.) | Az MDM-megoldások ezt automatikusan kezelik. Ha szeretné megismerni, hogy ez a funkció támogatott-e az eszközei esetében, tekintse meg az MDM-szolgáltató dokumentációját. | ||||||||||
Kernel bővítmények rendszerintegritás-védelemmel
Ha a Rendszerintegritás-védelem (SIP) engedélyezve van, az egyes kextek aláírása hitelesítésre kerül az AuxKC-be történő felvételük előtt.
Ha le van tiltva a SIP, a kext aláírás nem lesz megkövetelve.
Ez a megközelítés lehetővé teszi az Apple fejlesztői program részét nem képező fejlesztők vagy felhasználók Megengedő biztonsági folyamatai számára, hogy az aláírást megelőzően teszteljék a kexteket.