Rendszerbővítmények a macOS rendszerben
A macOS 10.15 és újabb rendszert futtató Macek lehetővé teszi a fejlesztők számára a macOS rendszer képességeinek kiterjesztését olyan rendszerbővítmények telepítése és kezelése által, amelyek a kernel szint helyett a felhasználói tárhelyen futnak. A felhasználói tárhelyen futtatott rendszerbővítmények növelik a macOS rendszer stabilitását és biztonságát. Bár a kext bővítmények teljes hozzáféréssel rendelkeznek a teljes operációs rendszerhez, a felhasználói tárhelyen futó bővítmények kizárólag a megadott funkciójuk elvégzéséhez szükséges engedélyekkel rendelkeznek.
A rendszerbővítmények támogatják az eszközfelügyeleti szolgáltatás segítségével történő robusztus felügyeletet, ide értve azt is, hogy képesek engedélyezni egy adott fejlesztőtől származó vagy adott típusú (pl. hálózati) bővítmények felhasználói beavatkozás nélkül történő betöltését. Opcionálisan az eszközfelügyeleti szolgáltatás megtilthatja a felhasználók számára a saját rendszerbővítményeik betöltésének engedélyezését.
A macOS 12.0.1 vagy újabb rendszert futtató Maceken a RemovableSystemExtensions nevű, Rendszerbővítmények adatcsomagban található szótár segítségével az eszközfelügyeleti szolgáltatás adminisztrátora megadhatja, hogy mely appok távolíthatják el a saját rendszerbővítményeiket. A rendszerbővítmények eltávolításához nincs szükség helyi adminisztrátori hitelesítésre. Ez főként azon gyártók számára hasznos, akik automatizált eltávolítót is biztosíthatnak az appjaikhoz.
macOS 11.3 – macOS 11.6.4 rendszereket futtató Maceken a rendszerbővítmény-profilon végzett módosítások közvetlenül kihatnak az adott bővítmény állapotára. Például, ha egy bővítmény jóváhagyásra vár és egy olyan konfigurációs profil kerül átküldésre, amely engedélyezi a bővítményt, a rendszer engedélyezi a bővítmény betöltését. Ennek megfelelően, ha egy jóváhagyás visszavonásra kerül, a rendszerbővítmény kiürítésre kerül és a rendszer megjelöli eltávolítás céljából a Mac következő újraindításakor. Ha egy rendszerbővítmény megpróbálja kiüríteni magát, a rendszer megjelenít egy interaktív hitelesítési párbeszédablakot, ahol a kiürítés engedélyezéséhez meg kell adni az adminisztrátori belépési adatokat.
Kernelbővítmények
A macOS 11 vagy újabb rendszert futtató Macek esetében az engedélyezett harmadik felektől származó kernelbővítmények (kextek) nem tölthetők be igény szerint a kernelbe. A felhasználónak jóvá kell hagynia azokat, és újra kell indítania a macOS rendszert, hogy a módosítások betöltésre kerüljenek a kernelbe. Ezek végrehajtásához azonban Csökkentett biztonságra kell konfigurálni a biztonságos rendszerindítást egy Apple-chippel rendelkező Macen.
A fejlesztők keretrendszerek (például: DriverKit és NetworkExtension) segítségével írhatnak USB-ket és humán interfész illesztőprogramokat, végpont biztonsági eszközöket (például: adatvesztés megelőzés vagy más végpontügynökök), valamint VPN-eket és hálózati eszközöket, kextek létrehozása nélkül. A harmadik féltől származó biztonsági ügynököket kizárólag akkor érdemes használni, ha kihasználják ezeket az API-kat, vagy robusztus térképpel rendelkeznek a feléjük történő átmenet és a kernelbővítményektől történő elszakadás elősegítéséhez.
Fontos: A Kext bővítmények már nem ajánlottak macOS rendszerhez. A kextek kockára teszik az operációs rendszer integritását és megbízhatóságát. A felhasználóknak azokat a megoldásokat kell előnyben részesíteniük, amelyek nem igénylik a kernel bővítését, helyette rendszerbővítményeket alkalmaznak.
Kextek hozzáadása Intel-alapú vagy Apple-chippel rendelkező Macek macOS 11 vagy újabb rendszerein
Ha kernelbővítményeket kell használnia, tekintse át a regisztrációs módszeren alapuló jóváhagyási módszereket.
Regisztrációs módszer | Jóváhagyási módszer | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Nincs regisztrálva Felhasználói regisztráció | Amikor új kext van telepítve, és kísérlet történik a betöltésére, a felhasználónak újra kell indítania a rendszert a figyelmeztető párbeszédpanelből az alábbiak használatával:
Ezen újraindítás a kernel rendszerindítása előtt kezdeményezi az AuxKC újraépítését. | ||||||||||
Eszközregisztráció Automatizált eszközregisztráció | Új kextek telepítésére és betöltésére tett kísérletek esetén az alábbi felek egyikének kezdeményeznie kell az újraindítást:
Megjegyzés: A kext bővítményt megadó eszközfelügyeleti szolgáltatásnak először telepítenie kell egy kext bővítmények engedélyezési listáját tartalmazó profilt. A macOS 11.3 vagy újabb rendszert futtató Macek opcionálisan engedélyezik a szolgáltatást, hogy értesítsék a felhasználót, hogy indítsa újra a számítógépet egy alkalmas pillanatban. | ||||||||||
További lépések kext bővítmények Apple-chippel rendelkező Macekhez történő hozzáadásához
Ha kernelbővítményeket ad hozzá egy Apple-chippel rendelkező Macen, akkor további lépéseket kell tennie.
Regisztrációs módszer | Jóváhagyási módszer | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Nincs regisztrálva | A felhasználó általi kextfelügyelethez a visszaállítási operációs rendszerben kell újraindítani a rendszert a biztonsági beállítások csökkentéséhez. A felhasználónak megnyomva kell tartania a bekapcsológombot a gép visszaállítási operációs rendszerben történő újraindításához, és adminisztrátorként kell hitelesítenie magát. Kizárólag a bekapcsológomb lenyomva tartásával megnyitott visszaállítási operációs rendszerben fogadja el a Secure Enclave a házirend módosítását. Ezt követően a felhasználónak be kell jelölnie a Csökkentett biztonság és az „Ismert fejlesztőktől származó kernelbővítmények felhasználók által történő kezelésének engedélyezése” jelölőnégyzetet, majd újra kell indítania a Macet. | ||||||||||
Felhasználói regisztráció | A felhasználónak visszaállítási operációs rendszerben kell újraindítania a rendszert a biztonsági beállítások csökkentéséhez. A felhasználónak lenyomva kell tartania a bekapcsológombot a gép visszaállítási operációs rendszerben történő újraindításához, és helyi adminisztrátorként kell hitelesítenie magát. Kizárólag a bekapcsológomb lenyomva tartásával megnyitott visszaállítási operációs rendszerben fogadja el a Secure Enclave a házirend módosítását. Ezt követően a felhasználónak ki kell választania a Csökkentett biztonság elemet, be kell jelölnie az „Ismert fejlesztőktől származó kernelbővítmények felhasználók által történő kezelésének engedélyezése” jelölőnégyzetet, majd újra kell indítania a Macet. | ||||||||||
Eszközregisztráció | Az eszközfelügyeleti szolgáltatásnak értesítenie kell a felhasználót, hogy visszaállítási operációs rendszerben indítsa újra a rendszert a biztonsági beállítások csökkentéséhez. A felhasználónak megnyomva kell tartania a bekapcsológombot a gép visszaállítási operációs rendszerben történő újraindításához, és adminisztrátorként kell hitelesítenie magát. Kizárólag a bekapcsológomb lenyomva tartásakor fogadja el a Secure Enclave a házirend módosítását. Ezt követően a felhasználónak ki kell választania a Csökkentett biztonság elemet, be kell jelölnie „A kernelbővítmények és az automatikus szoftverfrissítések távoli kezelésének engedélyezése” jelölőnégyzetet, majd újra kell indítania a Macet. Ha szeretné megtudni, hogy ez a funkció támogatott-e az eszközei esetében, tekintse meg a fejlesztő eszközfelügyeleti szolgáltatásra vonatkozó dokumentációját. | ||||||||||
Automatizált eszközregisztráció (A Mac sorozatszámának meg kell jelennie az Apple School Managerben vagy az Apple Business Managerben, és a Macet regisztrálni kell egy olyan eszközfelügyeleti szolgáltatásban, amely össze van kapcsolva az Apple School Managerrel vagy az Apple Business Managerrel.) | Az eszközfelügyeleti szolgáltatások ezt automatikusan kezelik. Ha szeretné megtudni, hogy ez a funkció támogatott-e az eszközei esetében, tekintse meg a fejlesztő eszközfelügyeleti szolgáltatásra vonatkozó dokumentációját. | ||||||||||
Kernel bővítmények rendszerintegritás-védelemmel
Ha a Rendszerintegritás-védelem (SIP) engedélyezve van, az egyes kextek aláírása hitelesítésre kerül az AuxKC-be történő felvételük előtt.
Ha le van tiltva a SIP, a kext aláírás nem lesz megkövetelve.
Ez a megközelítés lehetővé teszi az Apple fejlesztői program részét nem képező fejlesztők vagy felhasználók Megengedő biztonsági folyamatai számára, hogy az aláírást megelőzően teszteljék a kexteket.