Расширение ядра требует подтверждения mac os

В System Preferences нажмите Security & Privacy.

Нажмите иконку замочка в нижнем левом углу, чтобы разрешить изменения.

Нажмите кнопку Allow рядом с фразой «System software from developer «Panda Security» was blocked from loading».

Источник

Корпоративное управление устаревшими системными расширениями в macOS Big Sur

Узнайте, как системные администраторы могут управлять установкой устаревших системных расширений (или расширений ядра, KEXT) в macOS Big Sur.

Эта статья предназначена для системных администраторов, работающих в компаниях и образовательных организациях.

Сведения о системных расширениях в macOS

Благодаря системным расширениям можно улучшать функциональные возможности ОС macOS Catalina 10.15 и более поздних версий с помощью программного обеспечения, например расширений сети или решений для обеспечения безопасности конечных точек, не получая доступа к ядру. Узнайте, как устанавливать системные расширения и управлять ими в пространстве пользователя, а не ядра.

Устаревшие системные расширения, которые также называют расширениями ядра (KEXT), выполняются в режиме работы системы с высоким уровнем привилегий. Начиная с macOS High Sierra 10.13 для загрузки расширений ядра требуется утверждение через учетную запись администратора или профиль управления мобильными устройствами (MDM).

Управление устаревшими системными расширениями возможно на компьютерах Mac с процессорами Intel либо Apple, если на устройстве установлена ОС macOS Big Sur 11.0 или более поздней версии.

Управление устаревшими системными расширениями

Расширения ядра, использующие устаревшие и неподдерживаемые ключевые показатели эффективности (KPI), больше нельзя загружать по умолчанию. Вы можете изменить правила по умолчанию с помощью MDM, чтобы прекратить периодическое отображение уведомлений и разрешить загрузку расширений ядра. На компьютерах Mac с процессорами Apple нужно сначала изменить политику безопасности.

Чтобы установить новое расширение ядра для macOS Big Sur или обновить существующее, выполните одно из следующих действий.

• Попросите пользователя перейти в раздел настроек «Защита и безопасность» и, следуя указаниям, разрешить расширение, а затем перезапустить компьютер Mac. Используйте ключ AllowNonAdminUserApprovals из полезной нагрузки политики расширений ядра в системе MDM, чтобы предоставить пользователям без статуса администратора право разрешать расширения.
• Отправьте команду MDM RestartDevice и установите значение True (Истина) для ключа RebuildKernelCachekey .

Каждый раз при изменении утвержденных расширений ядра (после первоначального утверждения либо обновления версии) необходимо перезапускать компьютер.

Дополнительные требования для компьютеров Mac с процессорами Apple

На компьютерах Mac с процессорами Apple расширения ядра необходимо компилировать с архитектурой arm64e.

Прежде чем установить расширение ядра на компьютере Mac с процессором Apple, необходимо внести изменения в политику безопасности одним из следующих способов.

• Если для устройства выполнена автоматическая регистрация устройств в MDM, вы можете автоматически включить функцию удаленного управления расширениями ядра и изменить политику безопасности.
• Если для устройства выполнена регистрация устройств в MDM, локальный администратор может вручную изменить политику безопасности в режиме восстановления macOS и разрешить удаленное управление расширениями ядра и обновлениями программного обеспечения. Кроме того, администратор MDM может порекомендовать локальному администратору выполнить это изменение путем настройки ключа PromptUserToAllowBootstrapTokenForAuthentication в MDMOptions или профиле MDM.
• Если устройство не зарегистрировано в MDM или для него выполнена регистрация пользователя в MDM, локальный администратор может вручную изменить политику безопасности в режиме восстановления macOS и разрешить пользователям управлять расширениями ядра и обновлениями программного обеспечения.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Источник

Расширение ядра требует подтверждения mac os

Итак, одна из новинок High Sierra – это некий SKEL (Secure Kernel Extension Loading), он же UAKEL (User Approved Kernel Extension Loading).

Что это такое и почему это важно для системных администраторов?
Кратко, – новый механизм предназначен для защиты системы (и в конечном счете пользователя и его данных).
Он может слегка усложнить установку ряда приложений в компаниях, так как многие компании все еще не используют MDM (а зря).

UAKEL добавился к набору других инструментов безопасности, встроенных в систему – SIP (System Integrity Protection), Gatekeeper, XProtect и MRT.
Вот что о нем рассказывает Apple (я даю ссылку на русскую документацию, но на момент написания она еще не переведена).

Как это работает?
При установке расширений ядра, они не заработают сами по себе, а потребуют участия пользователя.
При обычной установке ПО об этом будет честно сообщено пользователю (как на картинке выше).
Как правило, обычный пользователь просто кликнет в этом сообщении на ОК, не прочитав его. Соответственно ПО или какой-то его функционал не будет работать, оборудование не будет видеться и т.д.. А пользователь будет недоумевать и/или негодовать.

Если же пользователь внимательно прочитает сообщение на экране, он откроет System Preferences (Системные настройки) / Security (Защита и безопасность) и щелкнет по появившейся кнопке Allow в нижней части экрана.

Кнопка тут же исчезнет. Так как нам платят за объем в статьи в килобайтах, я проиллюстрирую этот момент:

Все очень просто. И, как мы видим, для этого вовсе не нужны админские права.
Это сообщение (System software from developer was blocked from loading) и кнопка Allow будут показываться в контрольной панели в течение 30 минут или при следущей попытке загрузить это расширение ядра, например в течение 30 минут после загрузки Мака. Если вы так и не нажмете Allow за эти полчаса, они исчезнут (до следующей перезагрузки).

Важно отметить, что это не касается расширений, которые уже стояли на Маке при обновлении до macOS High Sierra. То что работало – продолжить работать (если само ПО совместимо с 10.13, конечно).
И это не касается обновления (замены) уже установленных расширений. То есть, если вы обновили драйверы ATTO, то кликать нигде не придется.

Что же тут страшного?
Страшного нет ничего, но возможно, что это будет неудобного господам админам. Представьте, что вы поддерживаете школу и вам нужно установить ПО для виртуализации на 400 Макбуков. Или вы устанавливаете в архитектурной студии драйвер Wacom на пятьдесят Маков, что мы и делаем на наших картинках. Или у вас видеопроизводство, вы используете Fiber-Channel карты ATTO и вам нужно установить для них драйверы.
Во всех этих случаях расширения ядра (kext), которые при установке ПО вами тем или иным способом (например, с помощью munki или хотя бы Apple Remote Desktop) окажутся в /Library/Extensions просто-напросто не заработают. ПО будет установлено. Компьютер перезагрузится. Кнопка Allow сиротливо повисит 30 минут молча в System Preferences. А пользователь будет просто недоумевать и/или негодовать.

Что делать?
Есть несколько вариантов. Во-первых, мы можем тем или иным способом пробежаться по 400 Макам и нажать Allow.
Во-вторых, мы можем проинструктировать пользователей.
В-третьих, если Мак введен в MDM, этот механизм отключается (“видимо у меня есть админы и они знают, что делают” думает Мак). Кстати, в ближайших обновлениях High Sierra планируется добавить функционал для управления списком разрешенных расширений ядра с помощью MDM.
В-четвертых, мы можем отключить этот механизм.
Для отключения UAKEL, как и в случае с отключением SIP, нужно загрузиться с раздела восстановления и использовать команду spctl (System Protection control).

Теперь заглянем чуть-чуть под капот.
Во-первых, кое-какая информация есть на developer.apple.com.
Когда пользователь разрешает расширению ядра работать, нажимая на кнопочку Allow, информация об этом добавляется в базу sqlite /var/db/SystemPolicyConfiguration/KextPolicy
Мы можем посмотреть в базе на TeamID (идентификаторы разработчика).

Кроме того, мы можем заранее разрешить нужные TeamID.
Это можно сделать в терминале при загрузке в режим восстановления используя ту же spctl. Добавим идентификатор Wacom:

Изменения будут записаны в NVRAM и мы можем их посмотреть с помощью команды nvram.
Я не буду перезагружаться, чтобы добавить идентификатор, а затем сделать снимок экрана и напишу пример по памяти:

Слабое место – эти настройки будут сброшены при сбросе NVRAM (знаменитое “показать Маку козу” – Command-Option-P-R).

Почему Apple добавили такую защиту? Ведь нам неизвестны malware в виде расширений ядра. Но это нам они неизвестны…
А кроме того, магистральное направление движения Apple указывает на то, что…
Ладно, магистральное направление – это вопрос для долгого чаепития, а впереди у нас еще зима с ее длинными темными вечерами.

Источник

О системных расширениях и macOS

Некоторые системные расширения несовместимы с текущими версиями macOS или не будут совместимы с будущей версией macOS. Узнайте, что делать, если вы видите предупреждение о расширениях системы или ядра.

Системные расширения работают в фоновом режиме, улучшая функциональные возможности компьютера Mac. Некоторые приложения устанавливают расширения ядра (KEXT), которые являются своего рода системным расширением, работающим с использованием старых методов, не таких безопасных и надежных, как современные. Компьютер Mac определяет их как устаревшие системные расширения.

В 2019 году компания Apple сообщила разработчикам, что macOS Catalina станет последней macOS, полностью поддерживающей устаревшие системные расширения. Мы помогаем разработчикам с переходом их программного обеспечения.

Если вы получили предупреждение о расширении системы

Вы можете увидеть предупреждение на компьютере Mac, сообщающее о том, что приложение загрузило или попыталось загрузить системное расширение, подписанное разработчиком этого расширения.

• В предупреждении может быть предложено открыть настройки «Защита и безопасность», чтобы разрешить расширение. Вам также может потребоваться перезагрузить компьютер Mac.
• В предупреждении может быть предложено обратиться к разработчику за поддержкой, поскольку расширение необходимо обновить, иначе оно будет несовместимо с будущей версией macOS.
• Предупреждение может сообщить, что это расширение повредит ваш компьютер и было заблокировано.

На компьютере Mac с процессором Apple, возможно, сначала потребуется использовать Утилиту безопасной загрузки для настройки правил безопасности на сниженную безопасность и установки флажка параметра «Разрешить пользователям управлять расширениями ядра от подтвержденных разработчиков».

При необходимости свяжитесь с разработчиком, чтобы узнать, доступна ли обновленная версия их программного обеспечения или планируется ли ее выпуск. Они смогут объяснить, как удалить или отключить расширение, а также последствия этого шага.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Источник