[Информационная безопасность, Разработка под MacOS] Отключение профиля MDM на Mac OS Big Sur
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Немного про MDMMDM (англ. Mobile Device Management) профиль, как правило, устанавливается пользователям на устройства, которые выданы им крупными компаниями, а также некоторыми школами и университетами в пользование. MDM профиль позволяет автоматизировать настройку практически всех программных компонентов устройства. При этом он также позволяет полностью контролировать устройство дистанционно. Возможности контроля ограничены лишь фантазией администратора, который его настраивал. Короче, в общем для компании - это хорошо, в частности для конкретного пользователя - не очень. Иногда совсем не хочется, чтобы кто-то мог в любой момент дистанционно выкинуть тебя из компьютера или просто его заблокировать.MDM профиль устанавливается на заводе во время заказа партии для того или иного крупного заказчика и не может быть удален окончательно программно. Как правило, после полного сброса во время активации устройства профиль загружается из интернета и снова пробует себя развернуть на устройстве. Назойливость этих попыток может быть разной, и наша сегодняшняя задача избавиться от этого.Решение с обходом MDM блокировки на Mac OS Catalina достаточно прямолинейное и без труда находится в интернете. С Big Sur все намного сложнее. В новой операционной системе реализован новый механизм защиты целостности системы. Поэтому весь алгоритм действий усложнился.Установка чистой системыБудем предполагать, что мы в состоянии сами установить чистую систему Mac OS Big Sur с флешки. В случае с MDM устройством главное правило - проводим чистую установку с отключенным интернетом, чтобы система не могла получить данные по имеющемуся MDM идентификатору.После завершения установки к интернету подключаться можно. К сожалению, система тут же начнет предлагать загрузить и установить тот самый MDM профиль, который по ее мнению должен быть настроен в системе. Настойчивость таких предложений - примерно раз в 10 минут. Жить можно, но мы не согласны на полумеры.
Отключение MDM профиля1. На устройстве должен быть снят пароль на включение и выключено шифрование диска:
Настройки -> Безопасность -> FileVault - выключить2. Перезагружаемся в режиме восстановления:
Удерживаем (Command+R) во время загрузки до появления полосы загрузки.3. В режите восстановления запускаем терминал:
"Утилиты" -> "Терминал"4. Смотрим индентификатор тома:
mount
5. Если вы не трогали название разделов во время установки, то название по умолчания должно остаться "Macintosh HD". Здесь и далее будем использовать его.
Записываем на листик индентификатор тома "/Volumes/Macintosh HD"
Внимание! Не перепутать с диском "/Volumes/Macintosh HD - Data"
Идентификатор выглядит примерно так dev/disk4s5 - в вашем случае цифры могут быть другие.
Внимание! Индентификатор тома и название тома в последующих примерах команд подставляем свои!6. Отключаем том и копируем файлы агентов в отдельную папку bak:
umount /Volumes/Macintosh\ HD
mkdir /Volumes/Macintosh\ HD
mount -t apfs -rw /dev/disk2s5 /Volumes/Macintosh\ HD
cd /Volumes/Macintosh\ HD/System/Library/LaunchAgents
mkdir bak
mv com.apple.ManagedClientAgent.* bak/
mv com.apple.mdmclient.* bak/
cd ../LaunchDaemons
mkdir bak
mv com.apple.ManagedClient.* bak/
mv com.apple.mdmclient.* bak/
7. Отключаем Signed System Volume (SSV):
csrutil authenticated-root disable
8. Сохраняем текущий статус диска в снепшот, чтобы система не ругалась на изменение системных файлов:
bless --folder /Volumes/Macintosh\ HD/System/Library/CoreServices --bootefi --create-snapshot
9. Закрываем терминал и перезагружаемся.Готово. Агенты MDM профиля больше системой не видятся.
Обновления будут работать. Если сделать чистую переустановку - процедуру придется повторить сначала. Иногда фикс слетает после установки мажорных обновлений.Работоспособность метода проверена на Mac OS Big Sur до версии 11.1.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Обработка изображений] Спасибо, что живой: как мы выбирали пассивный лайвнесс
- [Информационная безопасность, Управление проектами] Контролируем подрядчиков на ответственном проде: внедрение DLP + UAM (промшпионаж, логи действий)
- [Информационная безопасность, Тестирование мобильных приложений] Проверяем безопасность приложений с помощью Drozer
- [Информационная безопасность] Security Week 52+1: кибербезопасность на будущее
- [Информационная безопасность, Антивирусная защита, SCADA, Интернет вещей] Возможные способы организации атак на киберфизические системы (перевод)
- [Информационная безопасность, IT-инфраструктура, Сетевые технологии, Серверное администрирование] Устройства Citrix используются в качестве векторов DDoS-атак
- [Информационная безопасность, Программирование, Разработка мобильных приложений] Безопасная разработка: SAST, DAST, IAST и RASP
- [Информационная безопасность] История о том, как я обошел защиту в компьютерном клубе Arena Arsenal
- [Информационная безопасность, Go, Реверс-инжиниринг] Blackrota, самый обфусцированный backdoor, написанный на Go (перевод)
- [Информационная безопасность] Челябинские специалисты по ИБ стали лучшими в финале IV Кейс-чемпионата по ИБ RISC
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_razrabotka_pod_macos (Разработка под MacOS), #_macos, #_big_sur, #_mdm, #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_razrabotka_pod_macos (
Разработка под MacOS
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 17:20
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Немного про MDMMDM (англ. Mobile Device Management) профиль, как правило, устанавливается пользователям на устройства, которые выданы им крупными компаниями, а также некоторыми школами и университетами в пользование. MDM профиль позволяет автоматизировать настройку практически всех программных компонентов устройства. При этом он также позволяет полностью контролировать устройство дистанционно. Возможности контроля ограничены лишь фантазией администратора, который его настраивал. Короче, в общем для компании - это хорошо, в частности для конкретного пользователя - не очень. Иногда совсем не хочется, чтобы кто-то мог в любой момент дистанционно выкинуть тебя из компьютера или просто его заблокировать.MDM профиль устанавливается на заводе во время заказа партии для того или иного крупного заказчика и не может быть удален окончательно программно. Как правило, после полного сброса во время активации устройства профиль загружается из интернета и снова пробует себя развернуть на устройстве. Назойливость этих попыток может быть разной, и наша сегодняшняя задача избавиться от этого.Решение с обходом MDM блокировки на Mac OS Catalina достаточно прямолинейное и без труда находится в интернете. С Big Sur все намного сложнее. В новой операционной системе реализован новый механизм защиты целостности системы. Поэтому весь алгоритм действий усложнился.Установка чистой системыБудем предполагать, что мы в состоянии сами установить чистую систему Mac OS Big Sur с флешки. В случае с MDM устройством главное правило - проводим чистую установку с отключенным интернетом, чтобы система не могла получить данные по имеющемуся MDM идентификатору.После завершения установки к интернету подключаться можно. К сожалению, система тут же начнет предлагать загрузить и установить тот самый MDM профиль, который по ее мнению должен быть настроен в системе. Настойчивость таких предложений - примерно раз в 10 минут. Жить можно, но мы не согласны на полумеры.  Отключение MDM профиля1. На устройстве должен быть снят пароль на включение и выключено шифрование диска: Настройки -> Безопасность -> FileVault - выключить2. Перезагружаемся в режиме восстановления: Удерживаем (Command+R) во время загрузки до появления полосы загрузки.3. В режите восстановления запускаем терминал: "Утилиты" -> "Терминал"4. Смотрим индентификатор тома: mount
Записываем на листик индентификатор тома "/Volumes/Macintosh HD" Внимание! Не перепутать с диском "/Volumes/Macintosh HD - Data" Идентификатор выглядит примерно так dev/disk4s5 - в вашем случае цифры могут быть другие. Внимание! Индентификатор тома и название тома в последующих примерах команд подставляем свои!6. Отключаем том и копируем файлы агентов в отдельную папку bak: umount /Volumes/Macintosh\ HD
mkdir /Volumes/Macintosh\ HD mount -t apfs -rw /dev/disk2s5 /Volumes/Macintosh\ HD cd /Volumes/Macintosh\ HD/System/Library/LaunchAgents mkdir bak mv com.apple.ManagedClientAgent.* bak/ mv com.apple.mdmclient.* bak/ cd ../LaunchDaemons mkdir bak mv com.apple.ManagedClient.* bak/ mv com.apple.mdmclient.* bak/ csrutil authenticated-root disable
bless --folder /Volumes/Macintosh\ HD/System/Library/CoreServices --bootefi --create-snapshot
Обновления будут работать. Если сделать чистую переустановку - процедуру придется повторить сначала. Иногда фикс слетает после установки мажорных обновлений.Работоспособность метода проверена на Mac OS Big Sur до версии 11.1. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_razrabotka_pod_macos ( Разработка под MacOS ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 17:20
Часовой пояс: UTC + 5