Auf Änderungen an Kernel-Erweiterungen in macOS High Sierra vorbereiten

Hier erfahren Systemadministratoren, wie sie sich vor dem Upgrade Ihrer Einrichtung auf macOS High Sierra auf die Änderungen an Kernel-Erweiterungen vorbereiten.

Aus Sicherheitsgründen ist für Kernel-Erweiterungen, die bei oder nach der Installation von macOS High Sierra installiert werden, die Einwilligung des Benutzers erforderlich, damit diese geladen werden. Dies ist auch als User Approved Kernel Extension Loading bekannt. Auch Benutzer ohne Administratorrechte können eine Kernel-Erweiterung genehmigen.

Diese Kernel-Erweiterungen erfordern keine Genehmigung:

  • Erweiterungen, die vor dem Upgrade auf macOS High Sierra installiert wurden
  • Erweiterungen, die zuvor bereits genehmigte Erweiterungen ersetzen
  • Erweiterungen, die über den Befehl spctl beim Start mit der macOS-Wiederherstellung ohne Benutzereinwilligung geladen werden können
  • Erweiterungen, die über die Kernel Extension Policy (Richtlinie zur Kernel-Erweiterung) geladen werden können

Ab macOS 10.13.4 deaktiviert die Registrierung beim MDM nicht länger das User Approved Kernel Extension Loading. Erweiterungen, die aus diesem Grund in der Vergangenheit erlaubt waren, erfordern nun eine Genehmigung. Sie können MDM jedoch verwenden, um Kernel-Erweiterungen festzulegen, die ohne Genehmigung geladen werden dürfen. Dazu ist ein Mac mit macOS 10.13.2 oder neuer erforderlich, der entweder über DEP beim MDM registriert ist oder dessen MDM-Registrierung mit Benutzereinwilligung erfolgt ist.

Registrierung beim MDM mit Benutzereinwilligung

macOS High Sierra 10.13.2 ermöglicht die Registrierung beim MDM "mit Benutzereinwilligung". Diese Registrierungsmöglichkeit wird nur benötigt, wenn Sie bestimmte sicherheitssensible Einstellungen auf einem Mac verwalten möchten, dessen Registrierung beim MDM nicht per DEP durchgeführt wurde.

Da Sie sicherheitssensible Einstellungen auf Geräten, deren Registrierung beim MDM per DEP durchgeführt wird, bereits verwalten können, ist eine Registrierung mit Benutzereinwilligung für solche Geräte nicht notwendig.

Sie können nach wie vor Einstellungen, die nicht sicherheitssensibel sind, auf Geräten verwalten, die ohne die Option mit Benutzereinwilligung beim MDM registriert sind.

Registrierungs-
möglichkeit
Können sicherheitssensible Einstellungen
verwaltet werden?
Können nicht sicherheitssensible Einstellungen
verwaltet werden?

Registriert beim MDM per DEP

Ja

Ja

Benutzereinwilligung zum MDM

Ja Ja

Keine Benutzereinwilligung zum MDM

Nein

Ja

Mac beim MDM mit Benutzereinwilligung registrieren:

  • Wenn der Mac beim DEP registriert ist, wird dies bei der Registrierung beim MDM wie eine Registrierung mit Benutzereinwilligung behandelt.
  • Wenn der Mac vor der Aktualisierung auf macOS 10.13.4 beim MDM ohne Benutzereinwilligung registriert war, wird die Registrierung bei der Installation von macOS 10.13.4 auf eine Registrierung mit Benutzereinwilligung umgewandelt.
  • Sie können auch ein Registrierungsprofil laden oder sich eines per E-Mail senden. Doppelklicken Sie auf das Profil, und folgen Sie dann den Anweisungen in "Systemeinstellungen", um das Gerät beim MDM zu registrieren.

Eine automatische Registrierung oder der Versuch, ein Gerät per Bildschirmfreigabe aus der Ferne zu registrieren, führt nicht zu einer Registrierung mit Benutzereinwilligung.

Wenn Ihr Mac in macOS 10.13.4 beim MDM ohne Einwilligung registriert war, wird die Registrierung nicht in eine Registrierung mit Benutzereinwilligung umgewandelt. Zum Verwalten von sicherheitssensible Einstellungen können Sie Ihre Registrierung genehmigen lassen:

  1. Wählen Sie im Menü "Apple" > "Systemeinstellungen" aus, und klicken Sie auf "Profile".
  2. Wählen Sie Ihr gekennzeichnetes Registrierungsprofil aus:  .
  3. Klicken Sie rechts auf "Zustimmen", und befolgen Sie die Anweisungen auf dem Bildschirm.

User Approved Kernel Extension Loading mit MDM

Ab macOS 10.13.4 ist User Approved Kernel Extension Loading auf allen Geräten aktiviert, einschließlich Geräten, die beim MDM registriert sind. Verwenden Sie die Payload der Kernel Extension Policy, um Folgendes auszuführen:

  • Festlegen, welche Kernel-Erweiterungen ohne Benutzereinwilligung geladen werden sollen
  • Optional Benutzer daran hindern, zusätzliche Kernel-Erweiterungen zu genehmigen

User Approved Kernel Extension Loading ohne MDM

Um User Approved Kernel Extension Loading außerhalb des MDM zu verwalten, starten Sie das System mit der macOS-Wiederherstellung und wenden Sie den Befehl spctl an. Wenn Sie den Befehl für sich ausführen, erhalten Sie weitere Informationen zu seiner Verwendung.

Wenn Sie User Approved Kernel Extension Loading mit dem Befehl spctl verwalten und den NVRAM zurücksetzen, wird der Mac wieder in den Standardstatus mit aktiviertem User Approved Kernel Extension Loading versetzt. Um nicht autorisierte NVRAM-Änderungen zu verhindern, können Sie ein Firmware-Passwort auf Ihrem Mac einrichten.

Veröffentlichungsdatum: