Блокировка Apple OS X App Store

19

Будучи злыми корпоративными IT-повелителями, нам нужно заблокировать новый магазин приложений для OS X. Как вам, возможно, известно, обновление 10.6.6 устанавливает приложение App Store, которое позволяет пользователям загружать и устанавливать приложения без прав администратора.

Некоторые предложения:

  • Не обновлять до 10.6.6+

  • Используйте родительский контроль

  • Предположительно некоторая политика OD (если у вас есть сервер OD, которого у нас нет)

  • Блокировка магазина приложений по DNS или прокси

Не обновлять до 10.6.6+ не является долгосрочным решением, поскольку оно содержит исправления безопасности, и новые Mac все равно будут с ним. Блокировка магазина приложений на сетевом уровне не решает проблему пользователей ноутбуков.

В идеале наилучшим решением было бы простое системное предпочтение или редактирование списка, который может быть выдвинут ARD.

Обратите внимание: вопрос не в том, должны ли мы блокировать магазин приложений, а в том , как мы можем заблокировать магазин приложений.


В качестве быстрого обновления кажется, что если вы не используете учетную запись с правами администратора, вам может потребоваться предоставить учетные данные администратора при первой загрузке приложения для его установки, что может решить некоторые проблемы. Совсем другое поведение по сравнению с обычным повышением привилегий в OS X, которое запрашивают как администраторы, так и не администраторы.

Джон Роудс
источник
16
"Быть злыми корпоративными IT-повелителями" LOL!
l0c0b0x
Я заинтересован в этом сам. Конечно, вы можете удалять или устанавливать разрешения в приложении магазина приложений (это просто приложение, когда все сказано и сделано), но я не думаю, что такой подход будет масштабироваться. Это может быть лучше, пока готовится что-то лучшее.
Роб Мойр
1
+1 за первую строчку :)
Майкл Ловман
Если бы ты был действительно злым ... у тебя не было бы этой проблемы.
WernerCD
Если вы уже используете родительский контроль, то вы уже можете ограничить, какие приложения могут запускать пользователи.
Тегбейнс

Ответы:

9

Если у вас нет этого компьютера, подключенного к серверу OpenDirectory (предпочтительный способ сделать это - ограничить запуск приложения с помощью диспетчера рабочих групп), вы можете установить разрешения для приложения App Store, чтобы пользователи не могли его запускать:

chmod -R 000 /Applications/AppStore.app 

Это удерживает любого от запуска приложения. Его можно вытолкнуть через ARD, добавить в базовый образ и установить в сценарии запуска.

Я понятия не имею, что это будет делать с другими приложениями, работающими в системе, поэтому вы должны сначала проверить это.

Скотт Кек-Уоррен
источник
Обратите внимание, что, поскольку OS X Mavericks, sudo chflags -R nouchg /Applications/App\ Store.appтребуется изменить App Store.appразрешения.
DeadEye
6

ITunes Store подключается через стандартные порты HTTP (S), 80 и 443, поэтому я предполагаю, что Mac App Store делает то же самое.

Вот статья базы знаний Apple о блокировке магазина iTunes по URL: http://support.apple.com/kb/HT3303

Это говорит

Чтобы предотвратить подключение клиентских компьютеров к iTunes Store, сетевые администраторы могут заблокировать интернет-хост «itunes.apple.com».

Из быстрого tcpdump кажется, что App Store использует тот же URL ... пока что.

hackedtobits
источник
Это довольно раздражает, типичное яблоко. Я хочу заблокировать магазин приложений. Я не хочу блокировать itunes.
Роб Мойр
3

Запустите анализатор пакетов. Запустите App Store. Узнайте, какие адреса используются Apple App Store. Заблокируйте все входящие / исходящие по этому адресу, через этот порт, на вашем межсетевом экране периметра.

Харв
источник
Как я уже говорил, блокировка на уровне сети не остановит пользователей ноутбуков.
Джон Роудс
@ Джон Роудс - не видел этого. Для них они либо должны быть управляемыми клиентами (требующими сервера OS X, OD и т. Д.), Либо вам придется лишить их доступа на уровне администратора на их ноутбуках и отредактировать их файлы / etc / hosts.
Harv
Харв, я думаю, ты получаешь небольшое туннельное зрение с помощью метода сетевых блоков. Ответ Скотта лучше, проще в управлении и более масштабируем.
Blueben
@blueben - конечно. Я согласен! Думал, что выложу свой ответ, если он станет более понятным с точки зрения автора.
Harv
Хорошая вещь!
Blueben
3

Вы также можете редактировать свою схему Active Directory так, чтобы она содержала дополнительную информацию, которая эмулирует MCX (аналогично групповой политике). Затем вы можете войти на сервер AD из диспетчера рабочих групп на Mac, импортировать пользователей / группы AD в виде дополненных записей и заблокировать приложение. Нужно много работы, чтобы заблокировать что-то одно, но в долгосрочной перспективе это означает, что вы имеете намного больший контроль над вашими маками.

Вот ссылка на вебинар Apple, который проведет вас по шагам и объяснит (лучше и более подробно), о чем я говорил выше:

http://seminars.apple.com/seminarsonline/modifying/apple/index.html?s=301

и вот PDF (не уверен, что это недавно)

http://www.sticts.ch/MacWindows/Modifying_the_Active_Directory_Schema.pdf

Джек Лоуренс
источник