Voorbereidingen treffen voor wijzigingen in kernelextensies in macOS High Sierra

Als u systeembeheerder bent, kunt u deze informatie gebruiken ter voorbereiding op wijzigingen in kernelextensies wanneer u in uw instelling een upgrade uitvoert naar macOS High Sierra.

Om de beveiliging op de Mac te verbeteren, is toestemming van de gebruiker vereist voor het laden van kernelextensies die tijdens of na de installatie van macOS High Sierra worden geïnstalleerd. Dit wordt ook wel User Approved Kernel Extension Loading genoemd. Elke gebruiker kan een kernelextensie goedkeuren, zelfs als deze geen beheerdersbevoegdheden heeft.

Voor de volgende kernelextensies is geen goedkeuring vereist:

  • Extensies die al waren geïnstalleerd voor de upgrade naar macOS High Sierra
  • Extensies die eerder goedgekeurde extensies vervangen
  • Extensies die mogen laden zonder toestemming van de gebruiker met behulp van het commando spctl terwijl is opgestart vanuit macOS Recovery
  • Extensies die mogen laden via het kernelextensiebeleid

Vanaf macOS 10.13.4 wordt User Approved Kernel Extension Loading niet langer uitgeschakeld wanneer u een apparaat registreert bij MDM. Voor extensies die om die reden eerder geladen mochten worden, is nu goedkeuring vereist. U kunt MDM echter gebruiken om kernelextensies op te geven die geladen kunnen worden zonder goedkeuring. Hiervoor is een Mac vereist die draait op macOS 10.13.2 of hoger en die bij MDM is geregistreerd via DEP of waarvan de MDM-registratie door de gebruiker is goedgekeurd.

Door de gebruiker goedgekeurde MDM-registratie

In macOS High Sierra 10.13.2 is het concept 'Door de gebruiker goedgekeurde' MDM-registratie geïntroduceerd. Dit registratietype is alleen vereist als u bepaalde beveiligingsgevoelige instellingen wilt beheren op een Mac waarvan de MDM-registratie niet is uitgevoerd via DEP.

U kunt beveiligingsgevoelige instellingen al beheren op apparaten waarvan de MDM-registratie wordt uitgevoerd via DEP en daarom is door de gebruiker goedgekeurde registratie niet nodig voor deze apparaten.

Voor apparaten die zijn geregistreerd bij MDM zonder de optie 'Door de gebruiker goedgekeurd', kunt u wel nog instellingen beheren die niet beveiligingsgevoelig zijn.

Registratie-
type
Kan beveiligingsgevoelige
instellingen beheren
Kan niet-gevoelige
instellingen beheren

Geregistreerd bij MDM via DEP

Ja

Ja

Door de gebruiker goedgekeurd MDM

Ja Ja

Niet door de gebruiker goedgekeurd MDM

Nee

Ja

Een Mac registreren bij een door de gebruiker goedgekeurd MDM:

  • Als een Mac is geregistreerd voor DEP, staat deze registratie gelijk aan 'Door de gebruiker goedgekeurd' als de Mac wordt geregistreerd voor MDM.
  • Als een Mac is geregistreerd bij een niet door de gebruiker goedgekeurd MDM voordat de update naar macOS 10.13.4 werd uitgevoerd, wordt de registratie bij het installeren van macOS 10.13.4 geconverteerd naar 'Door de gebruiker goedgekeurd'.
  • U kunt ook een registratieprofiel downloaden of dit naar uzelf mailen. Dubbelklik op het profiel en volg de instructies in Systeemvoorkeuren om te registreren bij MDM.

Als u automatisering gebruikt of probeert een apparaat op afstand te registreren via scherm delen, leidt dit niet tot 'Door de gebruiker goedgekeurde' registratie.

Als uw Mac is geregistreerd bij MDM in macOS 10.13.4 zonder toestemming van de gebruiker, is deze registratie niet 'Door de gebruiker goedgekeurd'. Als u beveiligingsgevoelige instellingen wilt beheren, kunt u de registratie goedkeuren:

  1. Selecteer het Apple-menu > 'Systeemvoorkeuren' en klik op 'Profielen'.
  2. Selecteer uw registratieprofiel, dat deze badge heeft:  .
  3. Klik op de knop 'Keur goed' aan de rechterkant en volg de instructies op het scherm.

User Approved Kernel Extension Loading met MDM

Vanaf macOS 10.13.4 is User Approved Kernel Extension Loading ingeschakeld op alle apparaten, inclusief de apparaten die zijn geregistreerd bij MDM. Gebruik de payload van het kernelextensiebeleid om:

  • op te geven welke kernelextensies moeten worden geladen zonder toestemming van de gebruiker;
  • eventueel te verhinderen dat gebruikers aanvullende kernelextensies goedkeuren.

User Approved Kernel Extension Loading zonder MDM

Als u 'User Approved Kernel Extension Loading' buiten MDM wilt beheren, start u op via macOS Recovery en voert u het commando spctl uit. Voer het commando uit als een aparte opdracht voor meer informatie over hoe u dit gebruikt.

Als u 'User Approved Kernel Extension Loading' beheert met behulp van het commando spctl en u NVRAM opnieuw instelt, wordt uw Mac teruggezet naar de standaardinstellingen met 'User Approved Kernel Extension Loading' ingeschakeld. U kunt een firmwarewachtwoord instellen op een Mac om onbevoegde wijzigingen in het NVRAM te voorkomen.

Publicatiedatum:Wed Apr 11 20:15:09 GMT 2018