Blokowanie sklepu Apple OS X App Store

19

Będąc złymi korporacyjnymi władcami IT, musimy zablokować nowy OS X App Store. Jak być może wiesz, aktualizacja 10.6.6 instaluje aplikację App Store, która umożliwia użytkownikom pobieranie i instalowanie aplikacji bez uprawnień administratora.

Jakieś sugestie:

  • Nie aktualizuj do wersji 10.6.6+

  • Używaj kontroli rodzicielskiej

  • Prawdopodobnie niektóre zasady OD (jeśli masz serwer OD, którego nie mamy)

  • Zablokuj App Store przez DNS lub proxy

Brak aktualizacji do wersji 10.6.6+ nie jest tak naprawdę rozwiązaniem długoterminowym, ponieważ zawiera poprawki bezpieczeństwa i nowe komputery Mac i tak się z nią pojawią. Zablokowanie App Store na poziomie sieci nie rozwiązuje problemów użytkowników laptopów.

Najlepszym rozwiązaniem byłoby idealnie proste preferencje systemowe lub edycja list, które mogą być wypchnięte przez ARD.

Pamiętaj, że pytanie brzmi: nie powinniśmy blokować App Store, ale jak blokować App Store.


Szybka aktualizacja wydaje się, że jeśli nie korzystasz z konta z uprawnieniami administratora, może być konieczne podanie poświadczeń administratora po pierwszym pobraniu aplikacji, aby ją zainstalować, co może rozwiązać niektóre problemy. Zupełnie inne zachowanie niż normalne podniesienie uprawnień OS X, które pytają zarówno administratorów, jak i nieadministratorów.

Jon Rhoades
źródło
16
„Będąc złym korporacyjnym panem IT” LOL!
l0c0b0x
Sam się tym interesuję. Możesz oczywiście usunąć lub ustawić uprawnienia w aplikacji App Store (jest to tylko aplikacja, gdy wszystko jest powiedziane i zrobione), ale nie sądzę, że to podejście się skaluje. Może zrobi to podczas gotowania czegoś lepszego.
Rob Moir
1
+1 za pierwszą linię :)
Michael Lowman
Gdybyście byli naprawdę źli ... nie mielibyście tego problemu.
WernerCD
Jeśli używasz już Kontroli rodzicielskiej, możesz już ograniczyć aplikacje, które użytkownicy mogą uruchamiać.
tegbains,

Odpowiedzi:

9

Jeśli nie masz tego komputera podłączonego do serwera OpenDirectory (preferowanym sposobem jest ograniczenie uruchamiania aplikacji za pomocą Workgroup Manager), możesz ustawić uprawnienia aplikacji App Store, aby użytkownicy nie mogli jej uruchamiać:

chmod -R 000 /Applications/AppStore.app 

Dzięki temu nikt nie uruchomi aplikacji. Można go wypchnąć przez ARD, można dodać do obrazu podstawowego i ustawić w skrypcie startowym.

Nie mam pojęcia, co to zrobi z innymi aplikacjami działającymi w systemie, więc powinieneś to najpierw przetestować.

Scott Keck-Warren
źródło
Należy pamiętać, że od wersji OS X Mavericks sudo chflags -R nouchg /Applications/App\ Store.appwymagana jest zmiana App Store.appuprawnień.
DeadEye
6

ITunes Store łączy się ze standardowymi portami HTTP (S), 80 i 443, więc zakładam, że Mac App Store robi to samo.

Oto artykuł z bazy wiedzy Apple na temat blokowania sklepu iTunes przez URL: http://support.apple.com/kb/HT3303

To mówi

Aby zapobiec łączeniu się komputerów klienckich ze sklepem iTunes Store, administratorzy sieci mogą zablokować hosta internetowego „itunes.apple.com”.

Z szybkiego tcpdump wygląda na to, że App Store używa na razie tego samego adresu URL ...

hackedtobits
źródło
To raczej irytujące, typowe jabłko. Chcę zablokować sklep z aplikacjami. Nie chcę blokować iTunes.
Rob Moir
3

Uruchom sniffer pakietów. Uruchom App Store. Dowiedz się, jakich adresów używa Apple App Store. Zablokuj wszystkie przychodzące / wychodzące pod tym adresem, na tym porcie, na zaporze sieciowej.

Harv
źródło
Jak wspomniałem, blokowanie na poziomie sieci nie powstrzyma użytkowników laptopów.
Jon Rhoades
@Jon Rhoades - tego nie widziałem. W ich przypadku musieliby być albo zarządzanymi klientami (wymagającymi serwera OS X, OD, itp.), Albo musiałbyś pozbawić ich dostępu na poziomie administratora na ich własnych laptopach i edytować pliki / etc / hosts.
Harv
Harv, myślę, że masz małą wizję tunelu dzięki metodzie blokowania sieci. Odpowiedź Scotta jest lepsza, łatwiejsza w zarządzaniu i bardziej skalowalna.
blueben,
@blueben - jasne. Zgadzam się! Pomyślałem, że rzuciłbym tam moją odpowiedź, na wypadek gdyby miało to sens z punktu widzenia pytającego.
Harv
Dobry towar!
blueben,
3

Możesz także edytować schemat usługi Active Directory, tak aby zawierał dodatkowe informacje emulujące MCX (podobne do zasad grupy). Następnie możesz zalogować się do serwera AD z Workgroup Manager na komputerze Mac, zaimportować użytkowników / grupy AD jako rozszerzone rekordy i zablokować aplikację. Blokowanie jednej rzeczy wymaga dużo pracy, ale na dłuższą metę oznacza to, że masz o wiele większą kontrolę nad swoimi komputerami Mac.

Oto link do webinaru Apple, który przeprowadzi cię przez kolejne kroki i wyjaśni (lepiej i bardziej szczegółowo) o czym mówiłem powyżej:

http://seminars.apple.com/seminarsonline/modifying/apple/index.html?s=301

a oto plik PDF (nie jestem pewien, czy jest aktualny)

http://www.sticts.ch/MacWindows/Modifying_the_Active_Directory_Schema.pdf

Jack Lawrence
źródło