Блокировка Apple OS X App Store

Будучи злыми корпоративными IT-повелителями, нам нужно заблокировать новый магазин приложений для OS X. Как вам, возможно, известно, обновление 10.6.6 устанавливает приложение App Store, которое позволяет пользователям загружать и устанавливать приложения без прав администратора.

Некоторые предложения:

• Не обновлять до 10.6.6+

• Используйте родительский контроль

• Предположительно некоторая политика OD (если у вас есть сервер OD, которого у нас нет)

• Блокировка магазина приложений по DNS или прокси

Не обновлять до 10.6.6+ не является долгосрочным решением, поскольку оно содержит исправления безопасности, и новые Mac все равно будут с ним. Блокировка магазина приложений на сетевом уровне не решает проблему пользователей ноутбуков.

В идеале наилучшим решением было бы простое системное предпочтение или редактирование списка, который может быть выдвинут ARD.

Обратите внимание: вопрос не в том, должны ли мы блокировать магазин приложений, а в том , как мы можем заблокировать магазин приложений.

В качестве быстрого обновления кажется, что если вы не используете учетную запись с правами администратора, вам может потребоваться предоставить учетные данные администратора при первой загрузке приложения для его установки, что может решить некоторые проблемы. Совсем другое поведение по сравнению с обычным повышением привилегий в OS X, которое запрашивают как администраторы, так и не администраторы.

Если у вас нет этого компьютера, подключенного к серверу OpenDirectory (предпочтительный способ сделать это - ограничить запуск приложения с помощью диспетчера рабочих групп), вы можете установить разрешения для приложения App Store, чтобы пользователи не могли его запускать:

chmod -R 000 /Applications/AppStore.app 

Это удерживает любого от запуска приложения. Его можно вытолкнуть через ARD, добавить в базовый образ и установить в сценарии запуска.

Я понятия не имею, что это будет делать с другими приложениями, работающими в системе, поэтому вы должны сначала проверить это.

ITunes Store подключается через стандартные порты HTTP (S), 80 и 443, поэтому я предполагаю, что Mac App Store делает то же самое.

Вот статья базы знаний Apple о блокировке магазина iTunes по URL: http://support.apple.com/kb/HT3303

Это говорит

Чтобы предотвратить подключение клиентских компьютеров к iTunes Store, сетевые администраторы могут заблокировать интернет-хост «itunes.apple.com».

Из быстрого tcpdump кажется, что App Store использует тот же URL ... пока что.

Запустите анализатор пакетов. Запустите App Store. Узнайте, какие адреса используются Apple App Store. Заблокируйте все входящие / исходящие по этому адресу, через этот порт, на вашем межсетевом экране периметра.

Вы также можете редактировать свою схему Active Directory так, чтобы она содержала дополнительную информацию, которая эмулирует MCX (аналогично групповой политике). Затем вы можете войти на сервер AD из диспетчера рабочих групп на Mac, импортировать пользователей / группы AD в виде дополненных записей и заблокировать приложение. Нужно много работы, чтобы заблокировать что-то одно, но в долгосрочной перспективе это означает, что вы имеете намного больший контроль над вашими маками.

Вот ссылка на вебинар Apple, который проведет вас по шагам и объяснит (лучше и более подробно), о чем я говорил выше:

http://seminars.apple.com/seminarsonline/modifying/apple/index.html?s=301

и вот PDF (не уверен, что это недавно)

http://www.sticts.ch/MacWindows/Modifying_the_Active_Directory_Schema.pdf