Расширение ядра требует подтверждения mac os
Обновлено: 06.07.2024
На устройствах macOS можно добавить расширения ядра и расширения системы. Расширения ядра и расширения системы позволяют пользователям устанавливать расширения приложений, расширяя возможности операционной системы. Расширения ядра выполняют код на уровне ядра. Расширения системы работают в жестко контролируемом пользовательском пространстве.
Чтобы добавить расширения, которые всегда разрешено загружать на устройствах, используйте Microsoft Intune. Intune использует "профили конфигурации" для создания и настройки этих параметров для потребностей организации. После добавления этих функций в профиль необходимо нажать или развернуть профиль на устройствах macOS в организации.
В этой статье описаны расширения системы и расширения ядра. В нем также показано, как создать профиль конфигурации устройства с помощью расширений в Intune.
Расширения системы
Расширения системы работают в пространстве пользователя и не имеют доступа к ядру. Цель заключается в повышении безопасности, предоставлении большего контроля над конечными пользователями и ограничении атак на уровне ядра. Эти расширения могут быть:
- Расширения драйверов, в том числе драйверы для USB, сетевые карты интерфейса (NIC), серийные контроллеры и устройства интерфейса человека (HID)
- Расширения сети, включая фильтры контента, прокси-службы DNS и VPN-клиенты
- Расширения безопасности конечных точек, включая обнаружение конечной точки, ответ конечной точки и антивирус
Расширения системы включаются в пакет приложения и устанавливаются из приложения.
Дополнительные сведения о расширении системы см. в странице расширения системы (открывает веб-сайт Apple).
Расширения ядра
Расширения ядра добавляют функции на уровне ядра. Эти функции имеют доступ к частям ОС, к которые обычные программы не могут получить доступ. В организации могут быть определенные потребности или требования, недоступные в приложении, функции устройства и т. д.
Например, у вас есть программа сканирования вирусов, которая проверяет устройство на вредоносное содержимое. Вы можете добавить расширение ядра этой программы сканирования вирусов в качестве разрешенного расширения ядра в Intune. Затем "назначьте" расширение на устройства macOS.
С помощью этой функции администраторы могут разрешить пользователям переопределять расширения ядра, добавлять идентификаторы группы и добавлять определенные расширения ядра в Intune.
Дополнительные сведения о расширении ядра см. в странице расширения ядра (открывает веб-сайт Apple).
Расширения ядра не работают на устройствах macOS с чипом M1, которые являются устройствами macOS, работающими на кремнии Apple. Это поведение является известной проблемой без ETA. Это возможно, вы можете получить их на работу, но это не рекомендуется. Дополнительные сведения см. в странице Расширение ядра в macOS (открывает веб-сайт Apple).
Для любых устройств macOS, работающих с 10.15 и более новыми, рекомендуется использовать расширения системы (в этой статье). Если вы используете параметры расширений ядра, рассмотрите возможность исключения устройств macOS с чипами M1 из получения профиля расширений ядра.
Предварительные требования
Эта функция применяется к:
- macOS 10.13.2 и более новые (расширения ядра)
- macOS 10.15 и более новые (расширения системы)
С macOS 10.15 до 10.15.4 расширения ядра и расширения системы могут работать бок о бок.
Чтобы использовать эту функцию, устройства должны быть:
Что нужно знать
- Можно добавить неподписанных устаревших расширений ядра и системных расширений.
- Обязательно введите правильный идентификатор группы и идентификатор пакета расширения. Intune не проверяет введите значения. Если ввести неправильные сведения, расширение не будет работать на устройстве. Идентификатор группы — это точно 10 альфа-числимые символы длиной.
Компания Apple опубликовала сведения о подписании и нотариализации для всего программного обеспечения. На macOS 10.14.5 и более новых расширениях ядра, развернутые через Intune, не должны соответствовать политике нотариализации Apple.
Сведения об этой политике нотариацией и любых обновлениях или изменениях см. в следующих ресурсах:
Создание профиля
Выберите > профили конфигурации устройств > Создайте профиль.
Введите следующие свойства:
Нажмите Создать.
В Basics введите следующие свойства:
- Имя. Введите описательное имя для политики. Назови политики, чтобы можно было легко идентифицировать их позже. Например, хорошим именем политики является macOS: добавление av-сканирования в расширения ядра на устройствах.
- Описание. Введите описание политики. Этот параметр необязателен, но рекомендуется.
В параметрах Конфигурация настройте параметры:
В тегах Scope (необязательный) назначьте тег для фильтрации профиля определенным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment . Дополнительные сведения о тегах области см. в этой рубке Использование тегов RBAC и областей для распределенных ИТ.
В заданиях выберите пользователей или группы, которые получат ваш профиль. Дополнительные сведения о назначении профилей см. в странице Назначение профилей пользователей и устройств.
В обзоре + создайте, просмотрите параметры. При выборе Create ваши изменения сохраняются, а профиль назначен. Политика также отображается в списке профилей.
Начиная с macOS 11 , если сторонние расширения ядра разрешены, их невозможно загрузить в ядро по запросу. Вместо этого они объединяются во вспомогательную коллекцию ядра (AuxKC), которая загружается в процессе загрузки компьютера. На компьютере Mac с чипом Apple измерение AuxKC прописывается в политике LocalPolicy (на оборудовании предыдущих поколений измерение AuxKC хранилось в томе данных). Перестроение AuxKC требует подтверждения пользователя и перезапуска macOS для загрузки внесенных изменений в ядро. Кроме того, для параметра безопасной загрузки должен быть выбран сниженный уровень безопасности.
Важно! В macOS больше не рекомендуется использовать расширения ядра. Расширения ядра подвергают риску целостность и надежность операционной системы, поэтому Apple рекомендует отдать предпочтение решениям, которые не требуют расширений.
Расширения ядра на компьютере Mac с чипом Apple
На компьютере Mac с чипом Apple расширения ядра должны быть разрешены явным образом с помощью длительного нажатия кнопки питания при запуске для перехода в режим одной истинной среды восстановления (1TR), последующего перехода на сниженный уровень безопасности и установки соответствующего флажка для активации расширений ядра. Для этого также требуется ввести пароль администратора для авторизации перехода в режим сниженной безопасности. Использование 1TR в сочетании с паролем усложняет для проникшего в macOS злоумышленника, использующего только программное обеспечение, внедрение расширений ядра в macOS, которые затем можно было бы использовать для получения прав уровня ядра.
После авторизации пользователем загрузки расширений ядра применяется поток утвержденной пользователем загрузки расширений ядра. Он предназначен для авторизации установки расширений ядра. Авторизация, используемая для указанного выше потока, также применяется для перехвата хэша SHA384 списка авторизованных пользователем расширений ядра (UAKL) в политике LocalPolicy. Затем процесс управления ядром ( kmd ) подтверждает включение в AuxKC только тех расширений ядра, которые указаны в списке UAKL.
Если включена функция защиты целостности системы (SIP), выполняется проверка подписи каждого расширения ядра, прежде чем оно будет включено в AuxKC.
Если функция SIP выключена, подпись расширения ядра не проверяется.
Этот подход позволяет выполнять потоки низкого уровня безопасности, с помощью которых разработчики или пользователи, не участвующие в программе Apple Developer Program, тестируют расширения ядра перед их подписью.
После создания AuxKC ее измерение отправляется в Secure Enclave на подпись и включение в структуру данных Image4, которая подлежит проверке загрузчиком iBoot во время загрузки. В процессе формирования AuxKC также создается ответ расширения ядра. Этот ответ содержит список расширений ядра, которые фактически были включены в AuxKC, поскольку набор может оказаться поднабором UAKL, если были обнаружены запрещенные расширения ядра. Хэш SHA384 структуры данных Image4 коллекции AuxKC и ответ расширения ядра включаются в файл LocalPolicy. Хэш Image4 AuxKC используется для дополнительной проверки загрузчиком iBoot во время загрузки, что помогает исключить загрузку старого файла Image4 AuxKC, подписанного Secure Enclave, с новой политикой LocalPolicy. Ответ расширения ядра используется такими подсистемами, как Apple Pay , для определения наличия любых загруженных расширений ядра, которые могут повлиять на достоверность macOS. Если такие расширения обнаруживаются, функциональные возможности Apple Pay могут быть отключены.
Альтернативы расширениям ядра (macOS 10.15 и новее)
Работая с macOS 10.15 , разработчики могут расширять возможности macOS путем установки и использования расширений системы, которые исполняются в пользовательском пространстве, а не на уровне ядра. Благодаря работе в пользовательском пространстве расширения системы повышают стабильность и безопасность macOS. Несмотря на то, что расширения ядра по определению имеют полный доступ ко всей операционной системе, расширениям, работающим в пользовательском пространстве, предоставляются только те права, которые необходимы для выполнения их конкретной функции.
Разработчики могут использовать доступные программные среды, включая DriverKit, EndpointSecurity и NetworkExtension, для создания драйверов USB и драйверов интерфейса пользователя, инструментов защиты конечных точек (например, агентов предотвращения потери данных и других агентов конечных точек), а также инструментов VPN и сетевых средств, причем для этого не потребуются расширения ядра. Сторонние агенты безопасности должны использоваться только в том случае, если они используют эти API или имеют продуманную схему перехода к ним от расширений ядра.
Загрузка расширений ядра, утвержденных пользователем
Для повышения безопасности перед загрузкой расширений ядра, устанавливаемых во время или после установки macOS 10.13 , требуется согласие пользователя. Этот процесс называется утвержденной пользователем загрузкой расширений ядра. Для утверждения расширения ядра требуются права администратора. Расширения ядра не требуют утверждения в следующих случаях:
расширения были установлены на Mac macOS 10.12 или более ранней версии;
расширения заменяют ранее утвержденные расширения;
их загрузка без согласия пользователя разрешена при помощи инструмента командной строки spctl , доступного при загрузке Mac в режиме recoveryOS;
Из соображений безопасности разработчики macOS ограничили возможность установки приложений по умолчанию.
Далеко не все создатели ПО стремятся стать подтвержденными разработчиками. Для этого создаваемые программы и игры должны отвечать четким требованиями Apple. Купертиновцы никогда не одобрят некоторые возможности приложений вроде полного доступа к системному диску или изменения настроек macOS.
Так некоторые приложения выпускаются в двух версиях: для App Store с ограниченным функционалом и с полным набором возможностей.
При попытке установить такую программу пользователь увидит предупреждение.
Система сразу же предложит удалить установщик в корзину.
Как разрешить установку одного приложения из любого источника
Чтобы не менять настройки системы, но разрешить установку одного стороннего приложения, сделайте следующее:
1. Зажмите клавишу Control и в Finder нажмите на установочный пакет приложения.
2. Выберите пункт Открыть из контекстного меню.
3. В диалоговом окне подтвердите желание открыть приложение неустановленного разработчика.
4. Введите пароль администратора.
Так данное приложение будет установлено в обход заданных системных параметров безопасности.
Как активировать установку приложений из любого источника
Начиная с macOS Sierra купертиновцы скрыли из системных настроек возможность разрешить установку приложений из любого источника. К счастью, опция осталась в системе и активировать ее можно через приложение Терминал.
1. Запускаем Терминал.
2. Вводим следующую команду:
sudo spctl --master-disable
3. Подтверждаем ввод команды паролем администратора.
Теперь в параметрах появится пункт, разрешающий установку приложений из любого источника.
После этого операционная система будет разрешать установку любых приложений.
(18 голосов, общий рейтинг: 4.61 из 5)
Пример разрешения приложения
Давайте рассмотрим пример, чтобы понять, почему приложению требуется разрешение на доступ к контенту на вашем устройстве. Мы используем приложение для захвата экрана под названием Snagit, которое доступно в Mac App Store. Чтобы записать / сделать снимок экрана и сохранить файл, приложению необходим множественный доступ, такой как доступ к документам / папкам рабочего стола, доступ к Safari и т. Д.
Если разрешения не предоставлены, вы увидите ошибку, как показано ниже.
Исправление разрешений приложений на Mac
- Щелкните меню Apple в верхнем левом углу и выберите «Настройки Safari…».
- Нажмите на опцию «Безопасность и конфиденциальность».
1. Разрешить сторонние приложения
По умолчанию Mac запрещает открытие любых приложений, которые вы загрузили со сторонних веб-сайтов. Это сделано для защиты вашего устройства, и вы увидите предупреждение о том, что загруженное приложение может заразить устройство. Однако вам необходимо загрузить много приложений, например Microsoft Office для вашего Mac. В этом случае вы должны разрешить доступ стороннему приложению.
- Когда вы находитесь в разделе «Безопасность и конфиденциальность», перейдите на вкладку «Общие».
- Щелкните значок замка и введите имя пользователя / пароль администратора, чтобы разблокировать экран для редактирования.
- Установите переключатель в положение «Магазин приложений и определенные разработчики» в разделе «Разрешить загрузку приложений из:».
- Снова нажмите на блокировочную панель, чтобы сохранить изменения.
Помните, что этот параметр повлияет на все загруженные приложения на вашем Mac. Измените эти настройки только для открытия безопасных и защищенных приложений от известных разработчиков.
2. Измените разрешения конфиденциальности.
В большинстве случаев вам необходимо изменить настройки конфиденциальности для исправления разрешений приложений в macOS. Перейдите на вкладку «Конфиденциальность», чтобы увидеть множество опций, доступных на левой боковой панели. Нажмите на каждую опцию, чтобы увидеть приложения, у которых есть разрешение на этот элемент. В нашем примере выше приложению Snagit требуется разрешение на «Запись экрана». Следовательно, мы должны выбрать приложение «SnagitHelper2021» и предоставить доступ. После этого приложение сможет правильно записывать / делать снимки экрана.
Добавление разрешений для приложений вручную
Как правило, приложение должно автоматически перейти к соответствующему разделу с отсутствующими разрешениями. В противном случае вам придется заглядывать в каждый раздел, чтобы найти приложение и выбрать его. Например, приложениям для видеозвонков требуется разрешение на доступ к камере и микрофону. Поэтому вы можете заглянуть в эти разделы и предоставить доступ.
Если вы не нашли свое приложение, щелкните значок + и добавьте приложение из папки «Приложения» в Finder. Однако возможность добавления приложения вручную доступна только для определенных разделов, таких как доступ к файлам и папкам. Вы не сможете вручную добавлять приложения для доступа к камере или микрофону.
Некоторые популярные отсутствующие разрешения
Хотя разрешение зависит от приложения, вот некоторые из разрешений, которые вам необходимо проверить:
3. Проверьте разрешения брандмауэра.
Разрешения брандмауэра могут влиять на приложения, которым требуется подключение к Интернету. Если вы включили брандмауэр на Mac, убедитесь, что приложениям разрешено получать входящее сетевое соединение. По умолчанию Mac разрешает входящие подключения для встроенных и загруженных подписанных приложений. Если ваше стороннее приложение не подписано доверенным разработчиком, вам необходимо вручную включить входящее соединение.
4. Совместное использование разрешений
Если у вас есть другие проблемы, например, не работает совместное использование экрана, вам необходимо включить разрешения на совместное использование на вашем Mac. Перейдите к настройкам «Совместное использование» в окне настроек.
Отметьте и включите необходимые параметры общего доступа, такие как экран, файл, принтер и т. Д.
5. Отсутствует разрешение пользователя для приложений.
При использовании нескольких пользователей на одном Mac может возникнуть другая проблема. Если при установке приложения вы дали разрешение только текущему пользователю, приложение не будет работать, когда вы или другой пользователь попытаетесь получить к нему доступ из другой учетной записи. Он также может открыть его в режиме чтения и не разрешить изменять содержимое из-за отсутствия разрешения на запись.
- Откройте Finder и приложение и перейдите в папку «Приложения».
- Выберите приложение, разрешение на которое вы хотите предоставить, и щелкните его правой кнопкой мыши.
- Выберите «Получить информацию», чтобы открыть диалоговое окно свойств приложения.
- Нажмите на раздел «Общий доступ и разрешения» внизу.
- Здесь вы можете найти список пользователей, имеющих доступ к приложению, а также тип привилегий.
Вы можете изменять права, добавлять или удалять пользователей для управления доступом к приложению.
6. Получите разрешение администратора приложения
Вы можете получить права администратора, если вы являетесь администратором Mac.
Читайте также: