Блокування Apple App X App Store

19

Будучи злими корпоративними ІТ-господарями, нам потрібно заблокувати новий OS X App Store. Як ви можете знати, оновлення 10.6.6 встановлює додаток App Store, яке дозволяє користувачам завантажувати та встановлювати програми без привілеїв адміністратора.

Деякі пропозиції:

  • Не оновлювати до 10.6.6+

  • Використовуйте батьківський контроль

  • Імовірно, якась політика OD (якщо у вас OD-сервер, який у нас немає)

  • Блокуйте магазин додатків за допомогою DNS або Proxy

Не оновлення до версії 10.6.6 і більше не є довгостроковим рішенням, оскільки воно містить виправлення безпеки, і все-таки нові Macs прийматимуть їх. Блокування App Store на мережевому рівні не вирішує користувачів ноутбуків.

В ідеалі найкраще рішення системи чи редагування списку, яке може бути витіснене ARD, було б найкращим рішенням.

Зверніть увагу на те, чи не слід блокувати магазин додатків, це як заблокувати магазин додатків.

Як швидке оновлення, здається, що ви не використовуєте обліковий запис з правами адміністратора, вам може знадобитися ввести облікові дані адміністратора під час першого завантаження програми, щоб встановити його, що може вирішити певну проблему. Дуже інша поведінка до нормального підвищення OS X, яке вимагає адмінів та не адмінів.

mac-osx  apple 
Джон Роудс
джерело
16
"Бути злим корпоративним ІТ-господарем" LOL!
l0c0b0x
Мене це цікавить сам. Ви, звичайно, можете видалити або встановити дозволи в додатку магазину додатків (це лише додаток, коли все сказано і зроблено), але я не думаю, що цей підхід буде масштабуватися. Можливо, це зробиться, готуючи щось краще.
Роб Моїр
1
+1 за перший рядок :)
Майкл Лоуман
Якби ви були справді злі ... у вас цього питання не було б.
WernerCD
Якщо ви вже використовуєте батьківський контроль, то ви вже можете обмежити, які програми можуть запускати користувачі.
tegbains

Відповіді:

9

Якщо у вас немає цього комп’ютера, приєднаного до сервера OpenDirectory (кращим способом цього є обмеження запуску програми через Менеджер робочих груп), ви можете встановити дозволи на додаток App Store, щоб не дозволяти користувачам запускати його:

chmod -R 000 /Applications/AppStore.app

Це не дозволяє комусь запускати програму. Він може бути витіснений через ARD, може бути доданий до базового зображення, а також може бути встановлений у сценарії запуску.

Я поняття не маю, що це буде робити з іншими програмами, що працюють в системі, тому слід спробувати це спочатку.

Скотт Кек-Уоррен
джерело
Зауважте, що оскільки OS X Mavericks, sudo chflags -R nouchg /Applications/App\ Store.appпотрібно змінити App Store.appдозволи.
DeadEye
6

ITunes Store підключається до стандартних портів HTTP (S), 80 та 443, тому я припускаю, що Mac App Store робить те саме.

Ось стаття бази знань Apple про блокування магазину iTunes за URL-адресою: http://support.apple.com/kb/HT3303

Він говорить

Щоб запобігти підключенню клієнтських комп'ютерів до iTunes Store, адміністратори мережі можуть заблокувати Інтернет-хост 'itunes.apple.com'.

З швидкого tcpdump виходить, що App Store використовує ту саму URL-адресу ... поки що.

hackedtobits
джерело
Це досить дратує типове яблуко. Я хочу заблокувати магазин додатків. Я не хочу блокувати itunes.
Роб Моїр
3

Запустіть sniffer пакетів. Запустіть App Store. Дізнайтеся, які адреси (адреси) використовують Apple App Store. Блокуйте всі вхідні / вихідні адреси на цій адресі, на цьому порту, на брандмауері периметра.

Харв
джерело
Як я вже згадував, блокування на рівні мережі не зупинить користувачів ноутбуків.
Джон Роудес
@Jon Rhoades - цього не бачив. Для них їм або потрібно буде керувати клієнтами (для цього потрібен сервер OS X, OD та ін.), Або вам потрібно буде позбавити їх доступу на рівні адміністратора на своїх власних ноутбуках та редагувати їхні файли / etc / hosts.
Харв
Harv, я думаю, ти отримуєш невелике бачення в тунелі методом мережевого блоку. Відповідь Скотта - краща, легша в управлінні та масштабована.
blueben
@blueben - точно. Я згоден! Думав, що я викину свою відповідь там, якщо це має більше сенсу з точки зору запитувача.
Харв
Хороший матеріал!
blueben
3

Ви також можете редагувати схему Active Directory, щоб вона містила додаткову інформацію, що імітує MCX (подібно до групової політики). Потім ви можете увійти на свій сервер AD з диспетчера робочих груп на mac, імпортувати користувачів / групи AD у вигляді доповнених записів та заблокувати додаток. Це дуже багато роботи, щоб заблокувати одну річ, однак у перспективі це означає, що ви маєте на тоні більше контролю над своїми комп’ютерами.

Ось посилання на вебінар Apple, який провадить вас через кроки та пояснює (краще та більш детально) про що я говорив вище:

http://seminars.apple.com/seminarsonline/modifying/apple/index.html?s=301

і ось PDF (не впевнений, чи є останній)

http://www.sticts.ch/MacWindows/Modifying_the_Active_Directory_Schema.pdf

Джек Лоуренс
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.