Systemtillägg i macOS
En Mac med macOS 10.15 och senare gör det möjligt för utvecklare att utöka funktionerna i macOS genom att installera och hantera systemtillägg som körs i användarutrymmet i stället för på kärnnivå. När systemtillägg körs i användarutrymmen gör de macOS säkrare och stabilare. Även om kärntillägg i sig har full åtkomst till hela operativsystemet beviljas tillägg som körs i användarutrymmen endast de behörigheter som behövs för att de ska kunna utföra sin specifika funktion.
Systemtillägg har stöd för robust hantering med MDM. Det går bland annat att tillåta att alla tillägg från en särskild utvecklare eller en specifik typ av tillägg (som nätverkstillägg) läses in utan att användaren behöver göra något. Det går också att ställa in MDM så att användare inte tillåts att godkänna att deras egna systemtillägg läses in.
För en Mac med macOS 12.0.1 eller senare finns en ordbok i nyttolasten System Extensions, RemovableSystemExtension, som tillåter att en MDM-administratör anger vilka appar som ska kunna ta bort sina egna systemtillägg. Det krävs ingen autentisering av den lokala administratören för att ta bort systemtilläggen. Det är extra användbart för leverantörer som kanske tillhandahåller automatiska avinstallerare för sina appar.
För en Mac med macOS 11.3 till macOS 11.6.4 påverkas ett tillägg direkt när ett systemtilläggs profil ändras. Om ett tillägg t.ex. väntar på att godkännas och en konfigurationsprofil som tillåter tillägget överförs får tillägget läsas in. Om ett godkännande istället återkallas matas systemtillägget ut och markeras för borttagning nästa gång datorn startas om. Om ett systemtillägg försöker att mata ut sig självt visas en interaktiv autentiseringsdialogruta där administratören måste ange sina inloggningsuppgifter för att auktorisera utmatningen.
Tillägg till kärnan
För en Mac med macOS 11 eller senare kan kärntillägg (kexts) från tredje part inte läsas in i kärnan på begäran om de är aktiverade. De kräver användarens godkännande och macOS måste startas om för att ändringarna ska läsas in i kärnan. De kräver också att Minskad säkerhet anges för säker start på en Mac med Apple Silicon.
Utvecklare kan använda ramverk som DriverKit och NetworkExtension till att skapa drivrutiner till USB-enheter och styrdon, klientsäkerhetsverktyg (som dataförlustskydd eller andra klientagenter) och VPN- och nätverksverktyg, helt utan att behöva skapa kärntillägg. Säkerhetsagenter från tredje part bör endast användas om de använder dessa API:er eller har en robust plan för att övergå till dem och bort från kärntillägg.
Viktigt: Kärntillägg rekommenderas inte längre för macOS. Kärntillägg äventyrar integriteten och tillförlitligheten hos operativsystemet. Användare bör hellre välja lösningar som inte kräver tillägg till kärnan och istället använda systemtillägg.
Lägga till kärntillägg på en Intel- eller Apple Silicon-baserad Mac med macOS 11 eller senare
Om du måste använda kärntillägg granskar du godkännandemetoderna baserat på registreringsmetod.
MDM-registreringsmetod | Godkännandemetod | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Inte registrerad Användarregistrering | När ett nytt kärntillägg installeras och det ska läsas in måste användaren göra en omstart via varningsmeddelandet i:
Omstarten påbörjar en ombyggnad av AuxKC innan den startar med kärnan. | ||||||||||
Enhetsregistrering Automatisk enhetsregistrering | Varje gång ett nytt kärntillägg installeras och det ska läsas in måste en omstart påbörjas av antingen:
Obs! En listprofil som tillåter kärntillägg och som innehåller tillägget måste först installeras via MDM-lösningen. På en Mac med macOS 11.3 eller senare går det att tillåta att MDM meddelar användaren att starta om när det passar. | ||||||||||
Ytterligare steg för att lägga till kärntillägg på en Mac med Apple Silicon
Om du lägger till kärntillägg på en Mac med Apple Silicon måste du utföra ytterligare steg.
MDM-registreringsmetod | Godkännandemetod | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Inte registrerad | Kärntilläggshantering av användaren kräver en omstart i recoveryOS så att säkerhetsinställningarna kan nedgraderas. Användaren måste hålla in strömbrytaren så att datorn startar om i recoveryOS och sedan autentisera sig som en administratör. Secure Enclave godkänner endast policyändringen när recoveryOS aktiveras genom att strömbrytaren hålls in. Användaren måste sedan markera kryssrutan Minskad säkerhet och alternativet ”Tillåt användarhantering av kärntillägg från identifierade utvecklare” och sedan starta om datorn. | ||||||||||
Användarregistrering | Användaren måste starta om i recoveryOS för att kunna nedgradera säkerhetsinställningarna. Användaren måste hålla in strömbrytaren så att datorn startar om i recoveryOS och sedan autentisera sig som en lokal administratör. Secure Enclave godkänner endast policyändringen när recoveryOS aktiveras genom att strömbrytaren hålls in. Användaren måste sedan markera Minskad säkerhet, markera ”Tillåt användarhantering av kärntillägg från identifierade utvecklare” och starta om datorn. | ||||||||||
Enhetsregistrering | Det bör visas ett meddelande från MDM-lösningen om att användaren måste starta om i recoveryOS för att nedgradera säkerhetsinställningar. Användaren måste hålla in strömbrytaren så att datorn startar om i recoveryOS och sedan autentisera sig som en administratör. Secure Enclave godkänner endast policyändringen när recoveryOS aktiveras genom att strömbrytaren hålls in. Användaren måste sedan markera Minskad säkerhet, markera ”Tillåt fjärrhantering av kärntillägg och automatiska programuppdateringar” och starta om datorn. Läs dokumentationen från leverantören av din MDM-lösning om du vill veta ifall den här funktionen stöds för dina enheter. | ||||||||||
Automatisk enhetsregistrering (Mac-datorns serienummer måste visas i Apple School Manager eller Apple Business Manager och datorn måste vara registrerad i en MDM-lösning som är länkad till tjänsten.) | MDM-lösningar kan hantera detta automatiskt. Läs dokumentationen från leverantören av din MDM-lösning om du vill veta ifall den här funktionen stöds för dina enheter. | ||||||||||
Kärntillägg med Systemintegritetsskydd
Om Systemintegritetsskydd är aktiverat verifieras varje kärntilläggs signatur innan det läggs till i AuxKC.
Om Systemintegritetsskydd är avaktiverat krävs inga kärntilläggssignaturer.
Den här metoden gör det möjligt för utvecklare och användare som inte deltar i Apple Developer-programmet att testa kärntillägg innan de signeras genom att använda arbetsflöden med Tillåtande säkerhet.