Blocage de l'App Store d'Apple OS X

19

Étant les méchants suzerains de l'informatique d'entreprise, nous devons bloquer le nouvel OS X App Store. Comme vous le savez peut-être, la mise à jour 10.6.6 installe l'application App Store qui permet aux utilisateurs de télécharger et d'installer des applications sans privilèges d'administrateur.

Quelques suggestions:

  • Ne pas mettre à jour vers 10.6.6+

  • Utilisez le contrôle parental

  • Vraisemblablement une politique OD (si vous avez un serveur OD que nous n'avons pas)

  • Bloquer l'App Store par DNS ou proxy

Ne pas mettre à jour vers 10.6.6+ n'est pas vraiment une solution à long terme car il contient des correctifs de sécurité et de nouveaux Mac seront de toute façon fournis avec. Le blocage de l'App Store au niveau du réseau ne résout pas les utilisateurs d'ordinateurs portables.

Idéalement, une préférence système simple ou l'édition d'un plist qui peut être poussé par ARD serait la meilleure solution.

Veuillez noter que la question n'est pas de savoir si nous devons bloquer l'App Store, mais comment nous pouvons bloquer l'App Store.

Comme mise à jour rapide, il semble que si vous n'utilisez pas de compte avec des privilèges d'administrateur, vous devrez peut-être fournir des informations d'identification d'administrateur pour la première fois que vous téléchargez une application pour l'installer, ce qui peut résoudre une partie du problème. Comportement très différent de l'élévation normale des privilèges sous OS X qui demandent aux administrateurs comme aux non-administrateurs.

mac-osx  apple 
Jon Rhoades
source
16
"Être les méchants suzerains de l'informatique d'entreprise" LOL!
l0c0b0x
Cela m'intéresse moi-même. Vous pouvez bien sûr supprimer ou définir des autorisations sur l'application App Store (ce n'est qu'une application quand tout est dit et fait) mais je ne pense pas que cette approche évoluera. Ça va peut-être faire en cuisinant quelque chose de mieux.
Rob Moir
1
+1 pour la première ligne :)
Michael Lowman
Si vous étiez vraiment mauvais ... vous n'auriez pas ce problème.
WernerCD
Si vous utilisez déjà le contrôle parental, vous pouvez déjà restreindre les applications que les utilisateurs peuvent lancer.
tegbains

Réponses:

9

Si ces ordinateurs ne sont pas connectés à un serveur OpenDirectory (la façon préférée de le faire est de restreindre le lancement de l'application via Workgroup Manager), vous pouvez définir les autorisations sur l'application App Store pour ne pas autoriser les utilisateurs à l'exécuter:

chmod -R 000 /Applications/AppStore.app

Cela empêche quiconque de lancer l'application. Il peut être poussé via ARD, peut être ajouté à votre image de base et peut être défini dans un script de démarrage.

Je n'ai aucune idée de ce que cela fera aux autres applications exécutées sur le système, vous devez donc le tester en premier.

Scott Keck-Warren
source
Notez que depuis OS X Mavericks, sudo chflags -R nouchg /Applications/App\ Store.appest nécessaire pour modifier les App Store.appautorisations.
DeadEye
6

L'iTunes Store se connecte sur les ports HTTP (S) standard, 80 et 443, donc je suppose que le Mac App Store fait de même.

Voici l'article de la base de connaissances Apple sur le blocage de l'iTunes Store par URL: http://support.apple.com/kb/HT3303

Ça dit

Pour empêcher les ordinateurs clients de se connecter à l'iTunes Store, les administrateurs réseau peuvent bloquer l'hôte Internet «itunes.apple.com».

D'un rapide tcpdump, il semble que l'App Store utilise la même URL ... pour l'instant.

hackedtobits
source
C'est plutôt ennuyeux, une pomme typique. Je veux bloquer l'App Store. Je ne veux pas bloquer iTunes.
Rob Moir
3

Exécutez un renifleur de paquets. Exécutez App Store. Découvrez quelles sont les adresses utilisées par l'App Store d'Apple. Bloquer tous les entrants / sortants sur cette adresse, sur ce port, sur votre pare-feu de périmètre.

Harv
source
Comme je l'ai mentionné, le blocage au niveau du réseau n'empêchera pas les utilisateurs d'ordinateurs portables.
Jon Rhoades
@ Jon Rhoades - n'a pas vu cela. Pour eux, il faudrait soit qu'ils soient des clients gérés (nécessitant un serveur OS X, OD, etc.) ou que vous deviez les retirer de l'accès de niveau administrateur sur leurs propres ordinateurs portables et modifier leurs fichiers / etc / hosts.
Harv
Harv, je pense que vous obtenez une petite vision tunnel avec la méthode de blocage de réseau. La réponse de Scott est meilleure, plus facile à gérer et plus évolutive.
blueben
@blueben - bien sûr. Je suis d'accord! J'ai pensé jeter ma réponse là-bas au cas où cela aurait plus de sens du point de vue du demandeur.
Harv
Bon produit!
blueben
3

Vous pouvez également modifier votre schéma Active Directory afin qu'il contienne des informations supplémentaires qui émulent MCX (similaire aux stratégies de groupe). Vous pouvez ensuite vous connecter à votre serveur AD à partir de Workgroup Manager sur un Mac, importer des utilisateurs / groupes AD en tant qu'enregistrements augmentés et bloquer l'application. Il faut beaucoup de travail pour bloquer une chose, mais à long terme, cela signifie que vous avez encore plus de contrôle sur vos macs.

Voici un lien vers un webinaire Apple qui vous guide à travers les étapes et explique (mieux et plus en détail) ce dont je parlais ci-dessus:

http://seminars.apple.com/seminarsonline/modifying/apple/index.html?s=301

et voici un PDF (je ne sais pas s'il est récent)

http://www.sticts.ch/MacWindows/Modifying_the_Active_Directory_Schema.pdf

Jack Lawrence
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.