Blocco dell'App Store di Apple OS X.

19

Essendo i malvagi padroni IT aziendali, dobbiamo bloccare il nuovo App Store di OS X. Come forse saprai, l'aggiornamento 10.6.6 installa l'App Store che consente agli utenti di scaricare e installare app senza privilegi di amministratore.

Alcuni suggerimenti:

  • Non aggiornare a 10.6.6+

  • Usa il controllo genitori

  • Presumibilmente alcuni criteri OD (se si dispone di un server OD che non abbiamo)

  • Blocca l'App Store tramite DNS o Proxy

Non aggiornare a 10.6.6+ non è in realtà una soluzione a lungo termine in quanto contiene correzioni di sicurezza e nuovi Mac arriveranno comunque. Il blocco dell'App Store a livello di rete non risolve gli utenti di laptop.

Idealmente una semplice preferenza di sistema o la modifica di un plist che può essere espulso da ARD sarebbe la soluzione migliore.

Si noti che la domanda non è se dovremmo bloccare l'App Store, è come possiamo bloccare l'App Store.

Come aggiornamento rapido sembra che non si stia utilizzando un account con privilegi di amministratore, potrebbe essere necessario fornire le credenziali di amministratore per la prima volta che si scarica un'app per installarla, il che potrebbe risolvere alcuni dei problemi. Comportamento molto diverso dalla normale elevazione dei privilegi di OS X che chiede sia agli amministratori che ai non amministratori.

mac-osx  apple 
Jon Rhoades
fonte
16
"Essere i malvagi signori IT aziendali" LOL!
l0c0b0x
Sono interessato a questo me stesso. Ovviamente puoi eliminare o impostare le autorizzazioni sull'app store dell'app (è solo un'app quando tutto è stato detto e fatto) ma non credo che questo approccio ridimensionerà. Forse lo farà durante la cottura di qualcosa di meglio.
Rob Moir,
1
+1 per la prima riga :)
Michael Lowman,
Se fossi davvero malvagio ... non avresti questo problema.
WernerCD,
Se stai già utilizzando il Controllo genitori, puoi già limitare quali applicazioni possono essere avviate dagli utenti.
tegbains

Risposte:

9

Se questi computer non sono collegati a un server OpenDirectory (il modo migliore per farlo è limitare l'avvio dell'app tramite Workgroup Manager) è possibile impostare le autorizzazioni sull'applicazione App Store per non consentire agli utenti di eseguirlo:

chmod -R 000 /Applications/AppStore.app

Ciò impedisce a chiunque di avviare l'applicazione. Può essere espulso tramite ARD, può essere aggiunto all'immagine di base e può essere impostato in uno script di avvio.

Non ho idea di cosa questo farà ad altre applicazioni in esecuzione sul sistema, quindi dovresti testarlo prima.

Scott Keck-Warren
fonte
Si noti che a partire da OS X Mavericks, sudo chflags -R nouchg /Applications/App\ Store.appè necessario modificare le App Store.appautorizzazioni.
DeadEye,
6

ITunes Store si collega su porte HTTP (S) standard, 80 e 443, quindi presumo che il Mac App Store faccia lo stesso.

Ecco l'articolo della knowledge base di Apple sul blocco di iTunes Store tramite URL: http://support.apple.com/kb/HT3303

Dice

Per impedire ai computer client di connettersi a iTunes Store, gli amministratori di rete possono bloccare l'host Internet "itunes.apple.com".

Da un rapido tcpdump, sembra che l'App Store usi lo stesso URL ... per ora.

hackedtobits
fonte
È piuttosto noiosa, tipica mela. Voglio bloccare l'app store. Non voglio bloccare iTunes.
Rob Moir,
3

Esegui uno sniffer di pacchetti. Esegui App Store. Scopri quali sono gli indirizzi utilizzati dall'App Store di Apple. Blocca tutte le entrate / uscite su quell'indirizzo, su quella porta, sul firewall perimetrale.

Harv
fonte
Come ho già detto, il blocco a livello di rete non fermerà gli utenti di laptop.
Jon Rhoades,
@Jon Rhoades - non l'ho visto. Per loro, avrebbero bisogno di essere client gestiti (che richiedono server OS X, OD, ecc.) O dovresti spogliarli dell'accesso a livello di amministratore sui loro laptop e modificare i loro file / etc / hosts.
Harv,
Harv, penso che stai ottenendo una piccola visione a tunnel con il metodo del blocco di rete. La risposta di Scott è migliore, più facile da gestire e più scalabile.
blueben
@blueben - certo. Sono d'accordo! Pensavo di dare la mia risposta là fuori nel caso avesse più senso dal punto di vista del richiedente.
Harv,
Roba buona!
blueben
3

È inoltre possibile modificare lo schema di Active Directory in modo che contenga informazioni aggiuntive che emulano MCX (simile a Criteri di gruppo). È quindi possibile accedere al server AD da Workgroup Manager su un mac, importare utenti / gruppi AD come record aumentati e bloccare l'applicazione. È molto difficile bloccare una cosa, tuttavia a lungo andare significa che hai un controllo molto maggiore sui tuoi mac.

Ecco un link a un webinar di Apple che ti guida attraverso i passaggi e spiega (meglio e in modo più dettagliato) di cosa stavo parlando sopra:

http://seminars.apple.com/seminarsonline/modifying/apple/index.html?s=301

ed ecco un PDF (non sono sicuro se è recente)

http://www.sticts.ch/MacWindows/Modifying_the_Active_Directory_Schema.pdf

Jack Lawrence
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.