本文章已经归档,因此 Apple 将不再对其进行更新。

为 macOS High Sierra 中内核扩展的变化做好准备

如果你是系统管理员,则在将你机构所用的系统升级至 macOS High Sierra 时,请根据本文中的信息为内核扩展的变化做好准备。

为了提高 Mac 的安全性,安装 macOS High Sierra 时或之后所安装的内核扩展需要用户同意才能载入。这被称为用户批准的内核扩展载入。任何用户均可批准内核扩展,即使他们没有管理员权限也是如此。

以下内核扩展无需获得批准:

  • 升级至 macOS High Sierra 之前所安装的扩展

  • 用于替换之前已获批准的扩展的扩展

  • 无需用户同意即可在从 macOS 恢复功能启动时使用 spctl

  • 可以通过“内核扩展政策

从 macOS 10.13.4 开始,注册使用 MDM 不会再停用“用户批准的内核扩展载入”,并且之前因这个原因而被允许载入的扩展现在需要获得批准。不过,你可以使用 MDM 来指定在载入时无需获得批准的内核扩展。这要求 Mac 运行的是 macOS 10.13.2 或更高版本,并且 Mac 是通过 DEP 注册的 MDM,或者它的 MDM 注册是“用户批准的”注册。

用户批准的 MDM 注册

macOS High Sierra 10.13.2 推出了“用户批准的”MDM 注册这一概念。只有在你想要从 Mac 上管理某些安全敏感设置,而这台 Mac 的注册不是通过 DEP 完成的情况下,才需要使用这种类型的注册。

由于你已经可以在通过 DEP 进行 MDM 注册的设备上管理安全敏感设置,因此,对于这类设备,没有必要使用“用户批准的”注册。

你仍然可以在未使用“用户批准的”选项来注册使用 MDM 的设备上管理非安全敏感设置。

注册类型

是否可以管理安全敏感设置?

是否可以管理非安全敏感设置?

通过 DEP 注册使用 MDM

用户批准的 MDM

非用户批准的 MDM

不支持

如何注册 Mac 使用用户批准的 MDM:

  • 如果 Mac 已注册使用 DEP,那么当这台 Mac 注册使用 MDM 时,已有注册就相当于“用户批准的”注册。

  • 如果 Mac 已在更新至 macOS 10.13.4 之前注册使用了非用户批准的 MDM,那么在安装 macOS 10.13.4 时,它的注册会转换为“用户批准的”注册。

  • 你也可以下载注册描述文件,或通过电子邮件向自己发送注册描述文件。连按两次描述文件,然后按照“系统偏好设置”中的提示注册使用 MDM。

如果使用自动化操作或尝试通过屏幕共享来远程注册设备,则无法完成“用户批准的”注册。

如果装有 macOS 10.13.4 的 Mac 在未经用户同意的情况下注册使用 MDM,则注册不会是“用户批准的”注册。要管理安全敏感设置,你可以批准你的注册:

  1. 选取苹果菜单 >“系统偏好设置”,然后点按“描述文件”。

  2. 选择带有标记的注册描述文件:图像没有替换文本

  3. 点按右侧的“批准”按钮,然后按照屏幕上的说明操作。

使用 MDM 时用户批准的内核扩展载入

从 macOS 10.13.4 开始,用户批准的内核扩展载入会在所有设备上启用,包括注册使用 MDM 的设备。使用“内核扩展政策”有效负载可以完成以下操作:

  • 指定哪些内核扩展可以在无需用户同意的情况下载入。

  • 有选择地阻止用户批准其他内核扩展。

不使用 MDM 时用户批准的内核扩展载入

如果你要在 MDM 之外管理用户批准的内核扩展载入,请从 macOS 恢复功能启动,并使用 spctl 命令。单独运行这个命令可获取有关使用方法的更多信息。

如果你使用 spctl 命令管理用户批准的内核扩展载入并且还原了 NVRAM,你的 Mac 会还原为默认状态,同时启用用户批准的内核扩展载入。你可以在 Mac 上设置固件密码,以防止 NVRAM 遭到未经授权的更改。

发布日期: