Voorbereidingen treffen voor wijzigingen in kernelextensies in macOS High Sierra

Als u systeembeheerder bent, kunt u deze informatie gebruiken ter voorbereiding op wijzigingen in kernelextensies wanneer u in uw bedrijf of onderwijsinstelling een upgrade uitvoert naar macOS High Sierra.

Om de beveiliging op de Mac te verbeteren, is toestemming van de gebruiker vereist voor het laden van kernelextensies die tijdens of na de installatie van macOS High Sierra worden geïnstalleerd. Dit wordt ook wel User Approved Kernel Extension Loading genoemd. Elke gebruiker kan een kernelextensie goedkeuren, zelfs als deze geen beheerdersbevoegdheden heeft.

Er is geen autorisatie vereist voor kernelextensies als deze:

  • aanwezig waren op de Mac voordat de upgrade naar macOS High Sierra werd uitgevoerd.
  • voorheen goedgekeurde extensies vervangen.
  • mogen laden zonder toestemming van de gebruiker met behulp van het commando spctl terwijl is opgestart naar macOS Recovery.
  • zijn geïnstalleerd op een Mac die is geregistreerd bij Mobile Device Management (MDM). Als een apparaat wordt geregistreerd bij MDM wordt nu 'User Approved Kernel Extension Loading' automatisch uitgeschakeld. Dit verandert in de lente van 2018.
  • mogen laden via MDM-configuratie. Vanaf macOS High Sierra 10.13.2 kunt u MDM gebruiken om een lijst met kernelextensies op te geven die worden geladen zonder toestemming van de gebruiker. Voor deze optie is een Mac met macOS High Sierra 10.13.2 nodig die is geregistreerd bij MDM via het Device Enrollment Program (DEP) of waarvan de MDM-registratie door de gebruiker is goedgekeurd.

Door de gebruiker goedgekeurde MDM-registratie

macOS High Sierra 10.13.2 introduceert het concept 'Door de gebruiker goedgekeurde' MDM-registratie. Dit nieuwe registratietype is alleen vereist als u bepaalde beveiligingsgevoelige instellingen wilt beheren op een Mac waarvan de MDM-registratie niet is uitgevoerd via DEP.

U kunt beveiligingsgevoelige instellingen al beheren op apparaten waarvan de MDM-registratie wordt uitgevoerd via DEP en daarom is door de gebruiker goedgekeurde registratie niet nodig voor deze apparaten.

Momenteel is de enige payload waarvoor door de gebruiker goedgekeurde of door DEP gestarte MDM-registratie vereist is, het kernelextensiebeleid. Nieuwe configuratiepayloads worden geïntroduceerd in toekomstige versies van macOS en daarom kan daarvoor ook door de gebruiker goedgekeurde of door DEP gestarte registratie vereist zijn.

Op apparaten die zijn geregistreerd bij MDM zonder de optie 'Door de gebruiker goedgekeurd', kunt u wel nog instellingen beheren die niet beveiligingsgevoelig zijn.

    Kan beveiligingsgevoelige instellingen beheren Kan niet-gevoelige instellingen beheren

Geregistreerd bij MDM via DEP

Ja

Ja

Door de gebruiker goedgekeurd MDM

Ja Ja

Niet door de gebruiker goedgekeurd MDM

Nee

Ja

U kunt een Mac registreren voor door de gebruiker goedgekeurd MDM met behulp van deze methoden:

  • Als een Mac is geregistreerd voor DEP, staat deze registratie gelijk aan 'Door de gebruiker goedgekeurd' als de Mac wordt geregistreerd voor MDM.
  • Als een Mac is geregistreerd bij (niet door de gebruiker goedgekeurd) MDM voordat de upgrade naar macOS High Sierra 10.13.2 is uitgevoerd, wordt de registratie na de upgrade geconverteerd naar 'Door de gebruiker goedgekeurd'.
  • Download het registratieprofiel of stuur dit via e-mail naar uzelf en dubbelklik erop. Volg vervolgens de instructies in Systeemvoorkeuren om te registreren bij MDM.

Als u automatisering gebruikt of probeert een apparaat op afstand te registreren via scherm delen, leidt dit niet tot 'Door de gebruiker goedgekeurde' registratie.

Als uw Mac is geregistreerd bij MDM zonder de optie 'Door de gebruiker goedgekeurd', kunt u uw bestaande registratie goedkeuren om beveiligingsgevoelige instellingen te beheren. Open 'Systeemvoorkeuren' > 'Profielen' en zoek uw registratieprofiel met een badge: 

Selecteer uw registratieprofiel, klik op de knop 'Keur goed' aan de rechterkant en volg de instructies.

'User Approved Kernel Extension Loading' met MDM beheren

Als uw Mac beschikt over macOS High Sierra en is geregistreerd bij MDM is 'User Approved Kernel Extension Loading' momenteel uitgeschakeld. Alle kernelextensies worden geladen zonder dat goedkeuring van de gebruiker nodig is.

In de lente van 2018 zorgt een update van macOS ervoor dat 'User Approved Kernel Extension Loading' wordt ingeschakeld, zelfs op apparaten die zijn geregistreerd bij MDM. Gebruik de payload kernelextensiebeleid om op te geven welke kernelextensies mogen worden geladen zonder toestemming van de gebruiker. Ook kunt u hiermee indien gewenst voorkomen dat gebruikers aanvullende kernelextensies goedkeuren.

'User Approved Kernel Extension Loading' zonder MDM beheren

Als u 'User Approved Kernel Extension Loading' zonder MDM wilt beheren, start u op via macOS Recovery en voert u het spctl-commando uit. Voer het commando uit als een aparte opdracht voor meer informatie over hoe u dit gebruikt.

Als u 'User Approved Kernel Extension Loading' beheert met behulp van het spctl-commando en u NVRAM opnieuw instelt, wordt uw Mac teruggezet naar de standaardinstellingen met 'User Approved Kernel Extension Loading' ingeschakeld. U kunt een firmwarewachtwoord instellen op een Mac om onbevoegde wijzigingen in het NVRAM te voorkomen.

Publicatiedatum: