Blockieren Sie bestimmte Apps unter macOS

15

Gibt es eine Möglichkeit, eine Liste bestimmter Apps unter macOS zu blockieren?

Ich habe nach Lösungen wie Cisdem gesucht, aber es gibt einige Lücken in der Funktionsweise, die ich nicht mag.

  1. Sofern Sie nicht auch die Aktivitätsüberwachung, das Terminal und die Systemeinstellungen blockieren, können Sie den Cisdem-Prozess einfach beenden oder einen neuen Benutzer erstellen, um ihn zu umgehen.
  2. Sie müssen die Aktivitätsmonitor-, Terminal- und Systemeinstellungen blockieren, damit sie ordnungsgemäß funktionieren.

Ich möchte verhindern, dass eine App ausgeführt wird oder sogar auf meinem Mac installiert wird. Die App kann über den App Store und das Internet installiert werden. Ich bin mir nicht sicher, wie ich das anstellen soll. Das Aktivieren der Kindersicherung funktioniert nicht, da Administratorrechte erforderlich sind.

Die spezielle App, die ich blockieren möchte, ist Apple Configurator.

Irgendwelche Ideen?

Zeltbau
quelle

Antworten:

14

Verwenden Sie Gatekeeper, um den Zugriff auf Anwendungen zu steuern

Mit spctl(Gatekeeper) können Sie Listen genehmigter und nicht genehmigter Apps erstellen.

Angenommen, Sie möchten Mail zulassen, aber Chrome blockieren.

sudo spctl --add --label "ApprovedApps" /Applications/Mail.app 
sudo spctl --add --label "DeniedApps" /Applications/Chrome.app

Mit dem obigen Befehl werden Mail und Chrome als "Genehmigt" bzw. "Verweigert" "gekennzeichnet" (Sie können Ihre eigenen Deskriptoren verwenden).

Um Apps zu aktivieren / deaktivieren, geben Sie jetzt die folgenden Befehle ein:

sudo spctl --enable --label "ApprovedApps" 
sudo spctl --disable --label "DeniedApps" 

Dies hat den Vorteil, dass Sie zum Hinzufügen einer weiteren App zu einer der beiden Listen nur die entsprechende Bezeichnung hinzufügen müssen:

sudo spctl --add --label "ApprovedApps" /Applications/Another.app

Darüber hinaus können Sie die Ausführung von Code aus dem Mac App Store verbieten ( spctlsiehe Manpage - man spctl).

spctl --disable --label "Mac App Store"

Dadurch wird verhindert, dass jemand eine App aus dem App Store herunterlädt und installiert / ausführt.

Umgang mit Admins /sudoers

Wie in den Kommentaren angegeben, kann ein Administrator alles, was ein Administrator tun kann, rückgängig machen. Die Verwendung spctlerfordert root, aber das Bearbeiten der sudoers-Datei, um den Zugriff auf einen bestimmten Befehl einzuschränken, kann verhindern, dass andere Benutzer / Administratoren Ihre Änderungen rückgängig machen.

Siehe Wie kann verhindert werden, dass Sudo-Benutzer bestimmte Befehle ausführen? Einzelheiten zum Konfigurieren einer "Whitelist mit Ausnahme" in Ihrer sudoersDatei.

Um dem Benutzer Sam beispielsweise den Zugriff auf alle Befehle außer zu ermöglichen spctl , müssen Sie Folgendes in die sudoers-Datei einfügen:

sam ALL = ALL, !/usr/sbin/spctl

Dies ist eine "schnelle und schmutzige" Methode, um den Zugriff auf zu verhindern. spctlLetztendlich ist sie jedoch nicht effektiv, da der andere Administrator, wenn er mit Ihrer Strategie vertraut ist, nur den Befehl umbenennen muss und Zugriff hat.

Von der sudoersManpage:

Wenn ein Benutzer sudo ALL hat, hindert ihn nichts daran, ein eigenes Programm zu erstellen, das ihm eine Root-Shell gibt (oder eine eigene Kopie einer Shell erstellt), unabhängig von einem "!" Elemente in der Benutzerspezifikation.

Um es wirklich zu sperren, müssten Sie entweder den anderen Benutzer suals einen anderen Benutzer (dh einen anderen Operator) zwingen oder eine Whitelist mit zulässigen Befehlen erstellen, die standardmäßig alles andere blockieren. Dies ist jedoch zeitaufwändig und ziemlich gefährlich, da Sie Personen von kritischen Funktionen ausschließen können.

Allan
quelle
Nett! Genau das habe ich gesucht. Gut gemacht. Ich danke dir sehr!
Zeltbau
Wirklich großartige Antwort Allan - ich glaube nicht, dass dies möglich wäre, um den Dateizugriff zu verhindern oder ein Sigkill-Signal nicht mehr zu senden - oder? apple.stackexchange.com/questions/332124/…
bmike
@bmike - Hab gerade diesen Kommentar gesehen. Danke für die freundlichen Worte. Was Sigkill betrifft, glaube ich nicht, dass Sie dies verhindern könnten, da Sie technisch gesehen Ihre eigenen Prozesse beenden können.
Allan
2
Das klingt alles großartig, aber es funktioniert einfach nicht für mich (am 10.14.3). Die Änderungen gelten, aber ich kann die Apps, die ich "abgelehnt" habe, trotzdem starten. Gatekeeper ist aktiviert.
BSUK
Funktioniert auch bei mir nicht (am 10.14.1).
Student