Prepararse para los cambios en las extensiones de kernel en macOS High Sierra

Si eres un administrador de sistemas, utiliza la siguiente información a fin de prepararte para los cambios en las extensiones de kernel cuando actualices la institución educativa a macOS High Sierra.

Para mejorar la seguridad en el Mac, se necesita el consentimiento del usuario para que se carguen las extensiones del kernel incluidas en la instalación de macOS High Sierra o que se añadieron después de esta. Esto se conoce como carga de extensiones del kernel aprobadas por el usuario. Cualquier usuario puede aprobar una extensión del kernel, aunque no tenga privilegios de administrador.

Estas extensiones de kernel no necesitan aprobación:

  • Extensiones que se instalaron antes de actualizar a macOS High Sierra
  • Extensiones que están sustituyendo extensiones aprobadas anteriormente
  • Extensiones que pueden cargarse sin el consentimiento del usuario haciendo uso del comando spctl mientras se arranca desde Recuperación de macOS
  • Extensiones que pueden cargarse a través de la Política de extensión del kernel

A partir de macOS 10.13.4, inscribirse en MDM ya no desactiva la carga de extensiones del kernel aprobadas por el usuario. Además, las extensiones que anteriormente podían cargarse por ese motivo, ahora necesitan aprobación. No obstante, puedes utilizar MDM para especificar extensiones de kernel que se cargan sin aprobación. Esto requiere un Mac que utilice macOS 10.13.2 o posterior y que esté inscrito en MDM a través del Programa de inscripción de dispositivos (DEP) o cuya inscripción en MDM esté aprobada por el usuario.

Inscripción en MDM aprobada por el usuario

macOS High Sierra 10.13.2 ha introducido el concepto de inscripción en una MDM “aprobada por el usuario”. Este tipo de inscripción solo es necesario si quieres gestionar ciertos ajustes para garantizar la seguridad en un Mac cuya inscripción en MDM no se haya realizado a través del DEP.

Ya puedes gestionar ajustes para garantizar la seguridad en dispositivos cuya inscripción en MDM se haya realizado a través del DEP, así, la inscripción aprobada por el usuario no es necesaria.

Puedes seguir gestionando ajustes que no sean para garantizar la seguridad en dispositivos que estén inscritos en MDM sin la opción de aprobación del usuario.

Inscripción
tipo
¿Puede gestionar
ajustes para garantizar la seguridad?
¿Puede gestionar
ajustes que no sean para garantizar la seguridad?

Inscrito en MDM a través del DEP

MDM aprobada por el usuario

MDM no aprobada por el usuario

No

Cómo inscribir un Mac en una MDM aprobada por el usuario:

  • Si un Mac está inscrito en el DEP, dicha inscripción equivale a estar aprobada por el usuario cuando este se inscribe en MDM.
  • Si un Mac se inscribió en una MDM no aprobada por el usuario antes de actualizar a macOS 10.13.4, su inscripción pasa a ser aprobada por el usuario cuando se instala macOS 10.13.4.
  • También puedes descargar o enviarte por correo electrónico un perfil de inscripción. Haz doble clic en el perfil y sigue las indicaciones de Preferencias del Sistema para realizar la inscripción en MDM.

El uso de la automatización o el intento de inscribir un dispositivo de forma remota mediante compartir pantalla no generará una inscripción aprobada por el usuario.

Si el Mac se inscribió en MDM sin consentimiento del usuario en macOS 10.13.4, su inscripción no estará aprobada por el usuario. Para gestionar ajustes para garantizar la seguridad, puedes aprobar tu inscripción:

  1. Selecciona el menú Apple > Preferencias del Sistema y, a continuación, haz clic en Perfiles.
  2. Selecciona un perfil de inscripción que tenga un distintivo:  .
  3. Haz clic en el botón Aprobar de la derecha y, a continuación, sigue las instrucciones que aparecen en pantalla.

Carga de extensiones del kernel aprobadas por el usuario con MDM

A partir de macOS 10.13.4, la carga de extensiones del kernel aprobadas por el usuario está activada en todos los dispositivos, incluso en los inscritos en MDM. Utiliza la carga de la Política de extensión del kernel para:

  • Especificar qué extensiones de kernel deberían cargarse sin consentimiento del usuario.
  • De forma opcional, evitar que los usuarios aprueben extensiones de kernel adicionales.

Carga de extensiones del kernel aprobadas por el usuario sin MDM

Si quieres gestionar la carga de extensiones del kernel aprobadas por el usuario fuera de MDM, arranca en Recuperación de macOS y usa el comando spctl. Ejecuta el comando para obtener más información sobre cómo utilizarlo.

Si gestionas la carga de extensiones del kernel aprobadas por el usuario con el comando spctl y restableces la NVRAM, el Mac vuelve a su estado predeterminado con la carga de extensiones del kernel aprobadas por el usuario activada. Puedes utilizar una contraseña de firmware en el Mac para evitar cambios no autorizados en la NVRAM.

Fecha de publicación: