Ich kann Anwendungen von benutzerdefinierten Websites herunterladen und ausführen, auch wenn sich meine Gatekeeper-Einstellungen auf "Nur AppStore" befinden. Dies ist meine Bewerbung - sie ist nicht einmal unterschrieben.
Was könnte der Grund dafür sein? Ich kann dieses Verhalten auf allen meinen 3 Macs reproduzieren.
macos
gatekeeper
JasonGenX
quelle
quelle
Antworten:
Dies ist eine Status-by-Design-Funktion, bei der ein Administrator Gatekeeper jederzeit überschreiben und eine Anwendung öffnen kann, indem er mit der rechten Maustaste auf die App im Finder klickt.
Ein Administrator kann auch die Gatekeeper-Einstellungen ändern oder ganz deaktivieren, sodass die Anzeige eines einmaligen Dialogfelds mit einer weißen Liste (zumindest in meinen Augen) keinen wirklichen Schaden anrichtet, um sicherzustellen, dass der Administrator beabsichtigt, eine nicht konforme (nicht signierte) Einstellung zuzulassen oder Nicht-Mac App Store) Anwendung ausführen.
Wenn Sie nun einen Weg gefunden haben, wie ein Benutzer ohne Administratorrechte Gatekeeper umgehen kann, würde ich erwarten, dass eine Sicherheitslücke bei Apple eingereicht wird, um eine Gutschrift für das Auffinden einer Lücke zu erhalten, sobald sie einen Implementierungsfehler behoben haben, der die Ausführung von Apps außerhalb der Richtlinie ermöglicht.
Apple dokumentiert diese Funktion ausführlich, um eine Anwendung explizit auf die weiße Liste zu setzen.
Gatekeeper ist kein Malware-Schutz und keine schwarze Liste. Es handelt sich um eine Reihe von Richtlinien, die den ersten Start ordnungsgemäß signierter Anwendungen und / oder die Validierung von Mac App Store-Belegen ermöglichen. Wenn ein Administrator explizit die Ausführung nicht konformer Software startet und dann genehmigt, liegt ein Bildungs- oder Richtlinienproblem vor , anstatt einen Fehler in Gatekeeper aufzudecken.
Im Detail habe ich die relevanten Abschnitte der Apple-Hilfe in der weißen Liste aller Apps zusammengefasst (und größtenteils kopiert), damit Gatekeeper sie ungehindert und unaufgefordert ausführen kann:
Sie können einfach steuern, wer Anwendungen auf die weiße Liste setzen kann, indem Sie Benutzernamen, die diese Funktionalität nicht kennen, nicht mit Administratorbenutzernamen und -kennwörtern versorgen. Außerdem können Sie Gatekeeper über das Terminal oder den Profilmanager und andere verwaltete Einstellungssoftware wie Casper von JAMF verwalten. Sie können Ihre Computer auch auf Software prüfen, die auf der weißen Liste steht, um die Liste der zulässigen Apps regelmäßig zurückzusetzen und festzustellen, wer diese Funktion ausübt, falls Sie Richtlinien und Gewohnheiten ändern möchten.
quelle
spctl
sospctl --assess -v /Applications/Whatever.app
würden Ihnen zeigen , wenn es erlaubt oder abgelehnt undspctl --remove /Applications/Whatever.app
würden zurückgesetzt den "Dialog" und den Status für eine bestimmte Anwendung. Ich verwende ein Tool, um alle Apps auf Systemen zu sammeln, damit ich die Nutzung überwachen und bei Bedarf mit einem kurzen Skript korrigieren kann.Das Herunterladen einer Datei über SMB löst keine Quarantäne aus. Da die App nicht unter Quarantäne gestellt wird, wird die Gatekeeper-Richtlinie nie überprüft. Ich bin nicht sicher, warum es auf Ihren anderen Computern als unter Quarantäne gestellt markiert ist ...
Verwenden Sie den
ls -ld@
Befehl, um zu jedem Zeitpunkt nach Quarantäne zu suchen, und suchen Sie nach dem Attribut com.apple.quarantine:Wenn dieses Quarantäneattribut an die App angehängt ist, wird die Gatekeeper-Richtlinie überprüft. Wenn nicht, wird es nicht. Die interessante Frage ist, warum es auf Ihren anderen Computern unter Quarantäne gestellt wurde. Wenn Sie diesen Befehl verwenden, um die Anwendung an verschiedenen Stellen beim Verteilen zu überprüfen, können Sie herausfinden, wann das Attribut angehängt wird (und warum es angehängt wird).
BEARBEITEN: Diesen Hinweis finden Sie im Abschnitt "Klicken Sie hier, um weitere Informationen zu erhalten" in Apples KB-Artikel # HT5290 :
quelle
xattr -d com.apple.quarantine
können Sie sie öffnen, auch wenn sie gegen die Gatekeeper-Richtlinie verstößt.Wenn Sie diese versteckte Einstellung aktiviert haben, wird auch Gatekeeper deaktiviert:
Oder OS X ermöglicht das Öffnen aller Anwendungen unabhängig von der Einstellung in den Systemeinstellungen.
quelle
Gatekeeper verhindert, dass Apps durch Doppelklick ausgeführt werden. Sie können sie jedoch jederzeit überschreiben, indem Sie im Kontextmenü die Option Öffnen auswählen .
Wenn Sie heruntergeladene nicht signierte Apps durch Doppelklicken ausführen können, ist dies ein Problem mit Gatekeeper. Dateien speichern ihren Quarantänestatus in einem erweiterten Attribut namens com.apple.quarantine . Wenn dieses Attribut aus irgendeinem Grund aus Ihren heruntergeladenen Dateien gelöscht wird, behandelt Gatekeeper heruntergeladene Dateien so, dass sie sich nicht von anderen Dateien auf Ihrem Computer unterscheiden. Daher würde ich vorschlagen, dass das Herunterladen eines Programms und die anschließende Verwendung
xattr -l filename
in Terminal ein gutes Diagnosetool ist, wenn Sie Xcode installiert haben.Wenn Sie sie über den Befehl Öffnen in einem Menü ausführen, ist dies das entworfene Verhalten. Beachten Sie, dass ein einmal ausgeführtes Programm über das Menü für immer aktiviert werden kann, unabhängig von Ihren Gatekeeper-Einstellungen.
quelle