Voorbereidingen treffen voor wijzigingen in kernelextensies in macOS High Sierra
Als je systeembeheerder bent, kun je deze informatie gebruiken ter voorbereiding op wijzigingen in kernelextensies wanneer je in je instelling een upgrade uitvoert naar macOS High Sierra.
Om de beveiliging op de Mac te verbeteren, is toestemming van de gebruiker vereist voor het laden van kernelextensies die tijdens of na de installatie van macOS High Sierra worden geïnstalleerd. Dit wordt ook wel User Approved Kernel Extension Loading genoemd. Elke gebruiker kan een kernelextensie goedkeuren, zelfs als deze geen beheerdersbevoegdheden heeft.
Voor de volgende kernelextensies is geen goedkeuring vereist:
Extensies die al waren geïnstalleerd voor de upgrade naar macOS High Sierra
Extensies die eerder goedgekeurde extensies vervangen
Extensies die mogen laden zonder toestemming van de gebruiker met behulp van het commando
spctlExtensies die mogen laden via het kernelextensiebeleid
Vanaf macOS 10.13.4 wordt User Approved Kernel Extension Loading niet langer uitgeschakeld wanneer je een apparaat registreert bij MDM. Voor extensies die om die reden eerder geladen mochten worden, is nu goedkeuring vereist. Je kunt MDM echter gebruiken om kernelextensies op te geven die geladen mogen worden zonder goedkeuring. Hiervoor is een Mac vereist met macOS 10.13.2 of nieuwer die bij MDM is geregistreerd via DEP of waarvan de MDM-registratie door de gebruiker is goedgekeurd.
Door de gebruiker goedgekeurde MDM-registratie
In macOS High Sierra 10.13.2 is het concept 'Door de gebruiker goedgekeurde' MDM-registratie geïntroduceerd. Dit registratietype is alleen vereist als je bepaalde beveiligingsgevoelige instellingen wilt beheren op een Mac waarvan de MDM-registratie niet is uitgevoerd via DEP.
Je kunt beveiligingsgevoelige instellingen al beheren op apparaten waarvan de MDM-registratie wordt uitgevoerd via DEP en daarom is door de gebruiker goedgekeurde registratie niet nodig voor deze apparaten.
Voor apparaten die zijn geregistreerd bij MDM zonder de optie 'Door de gebruiker goedgekeurd', kun je wel nog instellingen beheren die niet beveiligingsgevoelig zijn.
Type registratie | Kan beveiligingsgevoelige instellingen beheren? | Kan niet-gevoelige instellingen beheren? |
|---|---|---|
Geregistreerd bij MDM via DEP | Ja | Ja |
Door de gebruiker goedgekeurd MDM | Ja | Ja |
Niet door de gebruiker goedgekeurd MDM | Nee | Ja |
Een Mac registreren bij een door de gebruiker goedgekeurd MDM:
Als een Mac is geregistreerd voor DEP, staat deze registratie gelijk aan 'Door de gebruiker goedgekeurd' als de Mac wordt geregistreerd voor MDM.
Als een Mac is geregistreerd bij een niet door de gebruiker goedgekeurd MDM voordat de update naar macOS 10.13.4 werd uitgevoerd, wordt de registratie bij het installeren van macOS 10.13.4 geconverteerd naar 'Door de gebruiker goedgekeurd'.
Je kunt ook een registratieprofiel downloaden of dit naar jezelf mailen. Dubbelklik op het profiel en volg de instructies in Systeemvoorkeuren om te registreren bij MDM.
Als je automatisering gebruikt of probeert een apparaat op afstand te registreren via schermdeling, leidt dit niet tot een 'Door de gebruiker goedgekeurde' registratie.
Als je Mac is geregistreerd bij MDM in macOS 10.13.4 zonder toestemming van de gebruiker, is deze registratie niet 'Door de gebruiker goedgekeurd'. Als je beveiligingsgevoelige instellingen wilt beheren, kun je de registratie goedkeuren:
Selecteer het Apple-menu > 'Systeemvoorkeuren' en klik op 'Profielen'.
Selecteer je registratieprofiel met een badge:
.Klik op de knop 'Keur goed' aan de rechterkant en volg de instructies op het scherm.
User Approved Kernel Extension Loading met MDM
Vanaf macOS 10.13.4 is User Approved Kernel Extension Loading ingeschakeld op alle apparaten, inclusief de apparaten die zijn geregistreerd bij MDM. Gebruik de payload Kernelextensiebeleid om:
op te geven welke kernelextensies moeten worden geladen zonder toestemming van de gebruiker;
eventueel te verhinderen dat gebruikers aanvullende kernelextensies goedkeuren.
User Approved Kernel Extension Loading zonder MDM
Als je User Approved Kernel Extension Loading buiten MDM wilt beheren, start je op via macOS-herstel en voer je het commando spctl uit. Voer de opdracht op zichzelf uit voor meer informatie over het gebruik ervan.
Als je User Approved Kernel Extension Loading beheert met het commando spctl en je NVRAM opnieuw instelt, keert je Mac terug naar de standaardstatus met User Approved Kernel Extension Loading ingeschakeld. Je kunt een firmwarewachtwoord instellen op je Mac om ongeoorloofde wijzigingen aan NVRAM te voorkomen.
