Järjestelmälaajennukset ja kernelin laajennukset macOS:ssä
macOS 10.15:ssä tai uudemmassa kehittäjät voivat laajentaa macOS:n ominaisuuksia asentamalla ja hallitsemalla järjestelmälaajennuksia, jotka toimivat käyttäjätilassa eivätkä kernel-tasolla. Koska järjestelmälaajennukset toimivat käyttäjätasolla, ne lisäävät macOS:n vakautta ja turvallisuutta. Vaikka kernelin laajennuksilla on luonnostaan täysi pääsy koko käyttöjärjestelmään, käyttäjätilassa toimivat laajennukset saavat vain niiden tiettyä toimintoa varten tarvittavat käyttöoikeudet.
Järjestelmälaajennukset tukevat vankkaa hallintaa MDM:llä, mukaan lukien mahdollisuus sallia kaikkien tietyn kehittäjän laajennusten tai tietyntyyppisten laajennusten (kuten verkkolaajennusten) lataaminen ilman käyttäjän toimia. Valinnaisesti MDM voi estää käyttäjiä hyväksymästä omien järjestelmälaajennusten latausta.
macOS 11.3:sta macOS 11.6.4:ään muutosten tekeminen järjestelmälaajennusprofiiliin vaikuttaa suoraan laajennuksen tilaan. Jos esimerkiksi laajennus odottaa hyväksymistä ja laitteeseen lähetetään laajennuksen salliva asetusprofiili, laajennuksen latautuminen sallitaan. Jos taas hyväksyntä poistetaan, järjestelmälaajennuksen lataus poistetaan, ja se merkitään poistettavaksi Macin seuraavassa uudelleenkäynnistyksessä. Jos järjestelmälaajennus yrittää itse poistaa latauksen, näkyviin tulee vuorovaikutteinen vahvistusvalintaikkuna, joka vaatii ylläpitäjän tunnukset latauksen poistolle.
macOS 12.0.1:ssä tai uudemmassa Järjestelmälaajennukset-tietosisällössä (nimeltä RemovableSystemExtensions) oleva sanakirja sallii MDM-ylläpitäjän määrittää, minkä appien tulisi voida poistaa omat järjestelmälaajennuksensa. Paikallisen ylläpitäjän todentamista ei vaadita järjestelmälaajennusten poistamiseen. Tämä on erityisen hyödyllistä toimittajille, jotka tarjoavat automaattisen poistoapin apeillensa.
Kernelin laajennukset
Jos muun valmistajan kernelin laajennuksia (kext) otetaan käyttöön macOS 11:ssä tai uudemmissa, niitä ei voida ladata kerneliin pyydettäessä. Ne edellyttävät käyttäjän hyväksyntää ja macOS:n uudelleenkäynnistystä, jotta muutokset ladataan kerneliin. Applen sirulla varustetussa Macissa edellytetään lisäksi, että suojattu käynnistys määritetään tasolle Alennettu suojaus.
Kehittäjät voivat käyttää sovelluskehyksiä (kuten DriverKit ja NetworkExtension) USB- ja käyttöliittymälaiteajureille kirjoittamiseen, päätepisteen suojaustyökaluja (kuten datanmenetyksen estämistä tai muita päätepisteagentteja) sekä VPN- ja verkkotyökaluja – tarvitsematta kirjoittaa kernelin laajennuksia. Muiden valmistajien suojausagentteja tulee käyttää vain, jos ne hyödyntävät näitä API-rajapintoja tai jos on vakaa aikomus siirtyä käyttämään niitä kernelin laajennusten sijaan.
Tärkeää: Kernelin laajennuksia ei enää suositella macOS:lle. Kernelin laajennukset vaarantavat käyttöjärjestelmän eheyden ja luotettavuuden. Käyttäjien tulisi suosia ratkaisuja, jotka eivät edellytä kernelin laajentamista ja käyttää sen sijaan järjestelmälaajennuksia.
Kernelin laajennusten lisääminen Intel-pohjaiseen tai Applen sirua käyttävään Maciin macOS 11:ssä tai uudemmassa
Jos sinun täytyy käyttää kernelin laajennuksia, tarkista hyväksymismenetelmät rekisteröintityypin mukaan.
MDM-rekisteröinnin tyyppi | Hyväksyntämenetelmä | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Ei rekisteröity Käyttäjärekisteröinti | Kun uusi kernelin laajennus asennetaan ja sitä yritetään ladata, käyttäjän täytyy tehdä uudelleenkäynnistys varoitusvalintaikkunasta seuraavasti:
Uudelleenkäynnistys aloittaa AuxKC:n uudelleenrakennuksen ennen kernelin käynnistystä. | ||||||||||
Laiterekisteröinti Automaattinen laiterekisteröinti | Aina, kun uusi kernelin laajennus asennetaan ja sitä yritetään ladata, jommankumman seuraavista täytyy tehdä uudelleenkäynnistys:
Huomaa: Kernelin laajennuksen määrittävän MDM-ratkaisun täytyy ensin asentaa kernelin laajennuksen sallittujen luettelon profiili. macOS 11.3.ssa tai uudemmassa MDM voi valinnaisesti ilmoittaa käyttäjälle, että tämän tulee tehdä uudelleenkäynnistys itselleen sopivana ajankohtana. | ||||||||||
Kernelin laajennusten lisäämiseen tarvittavat lisävaiheet Macissa, jossa on Applen siru
Kernelin laajennusten lisääminen Maciin, jossa on Applen siru, vaatii lisätoimia.
MDM-rekisteröinnin tyyppi | Hyväksyntämenetelmä | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Ei rekisteröity | Jotta käyttäjä voi hallita kernelin laajennuksia, täytyy tehdä uudelleenkäynnistys recoveryOS:ään ja vähentää suojausasetuksia. Käyttäjän täytyy pitää virtapainiketta painettuna, jotta tietokone käynnistetään uudelleen recoveryOS:ään ja käyttäjä voi todentautua ylläpitäjänä. Vasta, kun on siirrytty recoveryOS:ään virtapainikkeen painalluksella, Secure Enclave hyväksyy käytännön muutoksen. Käyttäjän täytyy sen jälkeen valita Alennettu suojaus -valintaneliö ja valinta ”Salli käyttäjän hallita kernel-laajennuksia tunnistetuilta kehittäjiltä”, ja käynnistää Mac uudelleen. | ||||||||||
Käyttäjärekisteröinti | Jotta käyttäjä voi vähentää suojausasetuksia, käyttäjän täytyy käynnistää uudelleen recoveryOS:ään. Käyttäjän täytyy pitää virtapainiketta painettuna, jotta tietokone käynnistetään uudelleen recoveryOS:ään, ja käyttäjän täytyy todentautua paikallisena ylläpitäjänä. Vasta, kun on siirrytty recoveryOS:ään virtapainikkeen painalluksella, Secure Enclave hyväksyy käytännön muutoksen. Käyttäjän täytyy sen jälkeen valita Alennettu suojaus, valita ”Salli käyttäjän hallita kernel-laajennuksia tunnistetuilta kehittäjiltä” ja käynnistää Mac uudelleen. | ||||||||||
Laiterekisteröinti | MDM-ratkaisun tulisi ilmoittaa käyttäjälle, että käyttäjän täytyy käynnistää uudelleen recoveryOS:ään ja vähentää suojausasetuksia. Käyttäjän täytyy pitää virtapainiketta painettuna, jotta tietokone käynnistetään uudelleen recoveryOS:ään ja käyttäjä voi todentautua ylläpitäjänä. Vasta, kun on siirrytty recoveryOS:ään virtapainikkeen painalluksella, Secure Enclave hyväksyy käytännön muutoksen. Käyttäjän täytyy sen jälkeen valita Alennettu suojaus, valita ”Salli kernel-laajennusten ja automaattisten päivitysten etähallinta” ja käynnistää Mac uudelleen. Jos haluat tietää, tuetaanko tätä ominaisuutta laitteillesi, tutustu MDM-toimittajasi dokumentaatioon. | ||||||||||
Automaattinen laiterekisteröinti (Macin sarjanumeron täytyy näkyä Apple School Managerissa, Apple Business Managerissa tai Apple Business Essentialsissa ja Macin täytyy olla rekisteröity MDM-ratkaisuun, joka on liitetty tähän palveluun.) | MDM-ratkaisut voivat hallita tätä automaattisesti. Jos haluat tietää, tuetaanko tätä ominaisuutta laitteillesi, tutustu MDM-toimittajasi dokumentaatioon. | ||||||||||
Kernelin laajennukset ja järjestelmän eheyden suojaus
Jos järjestelmän eheyden suojaus on käytössä, jokaisen kernelin laajennuksen allekirjoitus varmennetaan, ennen kuin se sisällytetään AuxKC:hen.
Jos järjestelmän eheyden suojaus on pois käytöstä, kernelin laajennuksen allekirjoitusta ei toteuteta.
Tällä tavoin salliva suojaus voidaan tarjota kehittäjille ja käyttäjille, jotka eivät kuulu Apple Developer Program -ohjelmaan, jotta he voivat testata kernelin laajennuksia ennen niiden allekirjoittamista.