Správa prístupu k príslušenstvu na Apple zariadeniach
Správa počítačov Mac
Zabezpečenie príslušenstva (známe ako obmedzený režim) pre macOS je navrhnuté tak, aby chránilo zákazníkov pred útokmi zblízka v prípade príslušenstva pripájaného cez kábel. Notebooky Mac s Apple čipom a systémom macOS 13 alebo novším v predvolenom nastavení vyžadujú od užívateľov, aby povolili nové príslušenstvo. Na povolenie príslušenstva pripojiť sa má užívateľ v Systémových nastaveniach štyri možnosti:
Vždy sa opýtať
Požiadanie o nové príslušenstvo
Automaticky, keď je odomknutý
Vždy
Ak užívateľ pripojí k zamknutému Macu neznáme príslušenstvo (Thunderbolt, USB alebo – v macOS 13.3 a novšom – SD Extended Capacity (SDXC) karty), bude vyzvaný na odomknutie Macu. Schválené príslušenstvo je možné pripojiť k zamknutému Macu po dobu maximálne 3 dní od momentu, keď bol Mac naposledy zamknutý. Príslušenstvo pripojené po 3 dňoch vyzve užívateľa správou Ak chcete používať príslušenstvo, odomknite Mac.
Pre niektoré prostredia môže byť potrebné obísť autorizáciu užívateľom. Riešenia MDM dokážu toto správanie ovládať tak, že použijú existujúce obmedzenie allowUSBRestrictedMode
, a tým sa vždy povolí príslušenstvo.
Poznámka: Tieto pripojenia sa nevzťahujú na napájacie adaptéry, displeje iné ako Thunderbolt, schválené huby, spárované karty Smart Card alebo Mac, ktorý je v Sprievodcovi nastavením alebo bol spustený z recoveryOS.
Správa iPhone a iPad zariadení
Spravovanie toho, s ktorými hostiteľskými počítačmi sa môžu párovať iPhony a iPady, je dôležité z hľadiska bezpečnosti a používateľského pohodlia. Napríklad na to, aby sa zariadenie mohlo bezpečne pripájať k samoobslužným staniciam kvôli aktualizácii softvéru alebo zdieľaniu internetového pripojenia Macu, je nevyhnutné nastaviť dôveryhodný vzťah medzi iPhonom alebo iPadom a hostiteľským počítačom.
Párovanie zariadenia zvyčajne vykonáva užívateľ po pripojení svojho zariadenia k hostiteľskému počítaču cez USB (alebo, ak to model iPadu podporuje, cez Thunderbolt) kábel. Na zariadení užívateľa sa zobrazí výzva s otázkou, či sa má nadviazať dôveryhodný vzťah s počítačom.
Potom užívateľ potvrdí svoje rozhodnutie zadaním kódu. Všetky nasledujúce pripojenia k tomu istému hostiteľskému počítaču sa budú automaticky považovať za dôveryhodné. Užívatelia môžu zrušiť dôveryhodnosť pri párovaní tak, že prejdú do Nastavenia > Všeobecné > Resetovať > Resetovať polohu a súkromie, alebo vymazaním svojho zariadenia. Platí tiež, že pokiaľ sa tieto záznamy o dôveryhodnosti po dobu 30 dní nepoužijú, budú odstránené.
Spravovanie hostiteľského párovania cez MDM
To, či Apple zariadenia pod dohľadom môžu manuálne nastavovať dôveryhodný vzťah s hostiteľským počítačom, môže správca spravovať pomocou obmedzenia Allow pairing with non-Apple Configurator hosts. Ak správca zruší možnosť hostiteľského párovania (a distribúcie správnych dohliadajúcich identít do zariadení), zabezpečí tak, že k príslušným iPhonom a iPadom sa budú môcť cez USB (prípadne, ak to model iPadu podporuje, cez Thunderbolt) pripájať iba dôveryhodné počítače, ktoré majú platný certifikát dohliadajúceho hostiteľského zariadenia. Ak na hostiteľskom počítači nebol nastavený certifikát dohliadajúceho hostiteľského zariadenia, párovanie bude zakázané.
Poznámka: Nastavenie registrácie Apple zariadenia allow_pairing už v systémoch iOS 13 a iPadOS 13.1 nie je podporované. Správcovia by do budúcnosti mali používať len vyššie uvedený postup, ktorý ponúka väčšiu flexibilitu a zároveň stále umožňuje párovanie s dôveryhodnými hostiteľmi. Zároveň umožňuje zmeniť nastavenia párovania s hostiteľmi bez toho, aby bolo nutné iPhone alebo iPad vymazať.
Zabezpečenie procesu obnovy v prípade nespárovaných zariadení
V systéme iOS 14.5 a iPadOS 14.5 alebo novších nemôžu nespárované hostiteľské počítače reštartovať zariadenie do režimu recoveryOS (označovaného aj ako režim obnovy) a obnoviť ho bez priamej fyzickej interakcie na mieste. Pred touto zmenou mohol neautorizovaný užívateľ vymazať a obnoviť zariadenie užívateľa bez priamej interakcie s jeho iPhonom alebo iPadom. Stačilo mu na to USB (prípadne Thunderbolt, ak ho model iPadu podporuje) pripojenie (napríklad poskytované na účely nabíjania) k cieľovému zariadeniu alebo počítaču.
Obmedzenie externého štartovania na obnovenie iPhonu alebo iPadu
V systémoch iOS 14.5 a iPadOS 14.5 alebo novších je táto možnosť obnovy, ktorá bola predtým povolená, predvolene obmedzená. Správcovia, ktorí chcú odmietnuť toto bezpečnejšie správanie, môžu aktivovať obmedzenie Allow putting an iOS or iPadOS device into Recovery Mode from an unpaired host.
Používanie ethernetových adaptérov s iPhonom alebo iPadom
iPhone alebo iPad s kompatibilným ethernetovým adaptérom zachováva aktívne pripojenie k pripojenej sieti ešte predtým, ako sa zariadenie odomkne – ak má zariadenie toto obmedzenie vypnuté. Tento prístup je užitočný v situáciách, keď je zariadeniu nutné odovzdať príkaz MDM, ale Wi-Fi a mobilné siete sú nedostupné a zariadenie nie je odomknuté, pretože bolo spustené z vypnutého stavu alebo reštartované – napríklad vtedy, keď užívateľ zabudol kód a riešenie MDM sa ho pokúša vymazať.
Nastavenie Režim obmedzenia na iPhone alebo iPade môže spravovať:
Správca MDM s obmedzením Režim obmedzenia USB. To vyžaduje, aby zariadenie bolo pod dohľadom.
Užívateľ v časti Nastavenia > Touch/Face ID a kód > Príslušenstvo.