macOS High Sierra의 커널 확장 파일 변경 사항에 대비하기
시스템 관리자인 경우 macOS High Sierra로 업그레이드할 때 이 정보를 사용하여 커널 확장 파일 변경에 대비해야 합니다.
Mac의 보안을 강화하기 위해, macOS High Sierra를 설치하는 동안 또는 설치한 후에 설치되는 커널 확장 파일을 로드하려면 사용자의 동의가 필요합니다. 이것을 사용자 승인 커널 확장 파일 로딩이라고 합니다. 커널 확장 파일은 모든 사용자가 승인할 수 있으며, 관리자 권한이 없는 사용자도 승인이 가능합니다.
다음 커널 확장 파일은 승인이 필요하지 않습니다.
macOS High Sierra로 업그레이드하기 전에 설치된 확장 파일
이전에 승인된 확장 파일을 교체하는 확장 파일
macOS 복구로 시동하는 동안
spctl
명령을 사용하여 사용자의 동의 없이 로드할 수 있도록 허용된 확장 파일
macOS 10.13.4부터 MDM에 등록하면 사용자 승인 커널 확장 파일 로딩이 더 이상 비활성화되지 않으며, 이러한 이유로 이전에 로드가 허용된 확장 파일에는 이제 승인이 필요합니다. 하지만 MDM을 사용하여 승인 없이 로드되는 커널 확장 파일을 지정할 수 있습니다. 이렇게 하려면 macOS 10.13.2 및 이후 버전을 사용 중이며, DEP를 통해 MDM에 등록되어 있거나 MDM 등록이 사용자 승인인 Mac이 필요합니다.
사용자 승인 MDM 등록
macOS High Sierra 10.13.2는 '사용자 승인' MDM 등록 개념을 도입했습니다. 이 등록 유형은 DEP를 통해 MDM을 등록하지 않은 Mac에서 보안에 민감한 특정 설정을 관리하는 경우에만 필요합니다.
DEP를 통해 MDM을 등록한 기기에서는 이미 보안에 민감한 설정을 관리할 수 있으므로 사용자 승인 등록이 필요하지 않습니다.
보안에 민감하지 않은 설정은 사용자 승인 옵션 없이 MDM에 등록된 기기에서 계속 관리할 수 있습니다.
등록 유형 | 보안에 민감한 설정을 관리할 수 있습니까? | 보안에 민감하지 않은 설정을 관리할 수 있습니까? |
---|---|---|
DEP를 통한 MDM 등록 | 예 | 예 |
사용자 승인 MDM | 예 | 예 |
비사용자 승인 MDM | 아니요 | 예 |
사용자 승인 MDM에 Mac을 등록하는 방법:
DEP에 등록되어 있는 Mac을 MDM에 등록하면 사용자 승인 등록과 같은 효력을 갖습니다.
Mac이 macOS 10.13.4로 업데이트되기 전에 비사용자 승인 MDM에 등록된 경우 macOS 10.13.4를 설치할 때 해당 등록이 사용자 승인으로 변환됩니다.
등록 프로파일을 직접 다운로드하거나 이메일로 보낼 수도 있습니다. 프로파일을 이중 클릭한 다음 시스템 환경설정에 표시되는 메시지에 따라 MDM에 등록합니다.
자동화 기능을 사용하거나 화면 공유를 통해 기기를 원격으로 등록하려고 시도하면 사용자 승인 등록이 되지 않습니다.
Mac이 macOS 10.13.4에서 사용자 동의 없이 MDM에 등록된 경우 해당 등록은 사용자 승인 등록이 되지 않습니다. 보안에 민감한 설정을 관리하기 위해 등록을 승인할 수 있습니다.
Apple 메뉴 > 시스템 환경설정을 선택한 다음 '프로파일'을 클릭합니다.
아이콘이 있는 등록 프로파일을 선택합니다.
오른쪽에 있는 '승인' 버튼을 클릭한 다음 화면의 지침을 따릅니다.
MDM을 사용하여 사용자 승인 커널 확장 파일 로딩
macOS 10.13.4부터 사용자 승인 커널 확장 파일 로딩은 MDM에 등록된 기기를 포함하여 모든 기기에서 사용됩니다. 커널 확장 파일 정책 페이로드를 사용하여 다음을 수행합니다.
사용자 동의 없이 로드해야 하는 커널 확장 파일을 지정합니다.
선택적으로 사용자가 추가 커널 확장 파일을 승인하지 않도록 합니다.
MDM을 사용하지 않고 사용자 승인 커널 확장 파일 로딩
MDM 없이 사용자 승인 커널 확장 파일 로딩을 관리하려는 경우 macOS 복구로 시동하고 spctl
명령을 사용합니다. spctl 명령을 단독으로 실행하면 이 명령을 사용하는 방법에 대한 자세한 정보를 확인할 수 있습니다.
spctl
명령을 사용하여 사용자 승인 커널 확장 파일 로딩을 관리하는 중에 NVRAM을 재설정하면 Mac이 사용자 승인 커널 확장 파일 로딩이 활성화된 기본 상태로 되돌아갑니다. Mac에서 펌웨어 암호를 설정하여 NVRAM을 무단으로 변경하지 못하도록 할 수 있습니다.