Gestionarea accesului accesoriilor la dispozitivele Apple
Gestionarea computerelor Mac
Securitatea accesoriilor (cunoscută drept modul Restricționat) pentru macOS este menită să protejeze clienții de atacurile directe prin accesoriile cu cablu. Pentru computerele laptop Mac cu cip Apple care utilizează macOS 13 sau o versiune ulterioară, configurația implicită constă în a-i solicita utilizatorului să permită noile accesorii. Utilizatorul are patru opțiuni în Configurări sistem pentru a permite conectarea accesoriilor:
Solicită întotdeauna
Solicitare pentru accesoriile noi
Automat când Mac-ul este deblocat
Întotdeauna
Dacă un utilizator atașează un accesoriu necunoscut (Thunderbolt, USB sau - în macOS 13.3 sau versiuni ulterioare - carduri SD cu capacitate extinsă “SDXC”) pe un Mac blocat, i se solicită să deblocheze Mac‑ul. Accesoriile aprobate se pot conecta la un Mac blocat timp de cel mult 3 zile de la ultima blocare a Mac-ului. Orice accesoriu atașat după 3 zile va declanșa solicitarea “Deblocați pentru a utiliza accesoriile”.
Ocolirea autorizării utilizatorului ar putea fi necesară pentru unele medii. Soluțiile MDM pot controla acest comportament folosind restricția allowUSBRestrictedMode existentă pentru a permite mereu accesoriile.
Notă: Aceste conexiuni nu se aplică adaptoarelor de alimentare, monitoarelor non-Thunderbolt, huburilor aprobate, smart cardurilor asociate sau unui Mac aflat în “Asistent de configurare” sau care a fost pornit din recoveryOS.
Gestionarea dispozitivelor iPhone și iPad
Gestionarea computerelor gazdă cu care se poate asocia un iPhone și un iPad este importantă din motive de securitate și comoditate a utilizatorului. De exemplu, abilitatea de cuplare în siguranță la stații de self-service pentru actualizarea de software sau partajarea conexiunii la internet a unui computer Mac necesită o relație de încredere între dispozitivul iPhone sau iPad și computerul gazdă.
Asocierea dispozitivului este efectuată în general de către utilizator atunci când conectează dispozitivul la un computer gazdă prin cablu USB (sau, dacă un model iPad acceptă, un cablu Thunderbolt). Apare o fereastră de dialog pe dispozitivul utilizatorului care întreabă dacă dorește să stabilească o relație de încredere cu computerul.
Utilizatorului i se solicită apoi să introducă codul de acces pentru a confirma decizia. Toate conectările ulterioare cu același computer gazdă sunt automat considerate de încredere de acum înainte. Utilizatorii pot elimina relațiile de încredere de asociere accesând Configurări > General > Resetare > Resetați localizare și intimitate sau ștergând dispozitivul. În plus, aceste înregistrări de încredere sunt eliminate dacă nu sunt utilizate timp de 30 de zile.
Gestionarea MDM a asocierii gazdei
Un administrator poate gestiona capacitatea dispozitivelor Apple supervizate de a acorda manual încredere computerelor gazdă cu restricția Permiteți asocierea cu gazde non-Apple Configurator. Dezactivând abilitatea de asociere a gazdei (și distribuind identitățile corecte de supervizare către dispozitivele acestora), administratorul se asigură că doar computerele de încredere care dețin un certificat valid de gazdă de supervizare au permisiunea de accesare a dispozitivelor iPhone și iPad în cauză prin USB (sau prin Thunderbolt, în cazul unui model iPad compatibil). Dacă niciun certificat gazdă de supervizare nu a fost configurat pe computerul gazdă, este dezactivată toată asocierea.
Notă: Configurarea pentru înscrierea dispozitivului Apple allow_pairing a fost nerecomandată cu iOS 13 și iPadOS 13.1. În schimb, administratorii ar trebui să utilizeze pe viitor îndrumarea de mai sus, deoarece oferă mai multă flexibilitate, permițând în continuare asocierea la gazdele de încredere. De asemenea, aceasta permite schimbarea configurărilor de asociere la gazde, fără a fi necesară ștergerea iPhone‑ului sau iPad‑ului.
Securizarea fluxurilor de lucru de restaurare neasociate
În iOS 14.5 și iPadOS 14.5 sau versiunile ulterioare, un computer gazdă neasociat nu poate reporni un dispozitiv în recoveryOS (denumit și mod de recuperare) și nu‑l poate restaura fără o interacțiune fizică locală. Înaintea acestei modificări, un utilizator neautorizat ar fi putut șterge și restaura dispozitivul unui utilizator, fără a interacționa direct cu dispozitivul iPhone sau iPad. Acesta avea nevoie doar de o conexiune prin USB (sau prin Thunderbolt, în cazul unui model iPad compatibil), de exemplu, oferită ca opțiune de încărcare la dispozitivul vizat și la un computer.
Restricționarea inițializării externe pentru recuperarea unui iPhone sau iPad
În mod implicit, iOS 14.5 și iPadOS 14.5 sau versiunile ulterioare restricționează această capacitate de recuperare la computerele gazdă care au fost anterior considerate de încredere. Administratorii care doresc să elimine acest comportament mai sigur pot activa restricția Permiterea trecerii unui dispozitiv iOS sau iPadOS în Mod recuperare de pe o gazdă neasociată.
Utilizarea adaptoarelor Ethernet cu un iPhone sau iPad
Un iPhone sau iPad cu un adaptor Ethernet compatibil menține o conexiune activă la o rețea conectată, chiar înainte ca dispozitivul să fie deblocat inițial, dacă dispozitivul are restricția dezactivată. Această abordare este utilă când dispozitivul trebuie să primească o comandă MDM atunci când rețelele Wi-Fi și celulare sunt indisponibile, iar dispozitivul nu a fost deblocat de când a fost pornit din starea de oprire sau a fost repornit (de exemplu, când un utilizator și-a uitat codul de acces și MDM încearcă să îl degajeze).
Configurarea modului restricționat pe iPhone și iPad poate fi gestionată de către:
Administratorul MDM cu restricția Mod restricționat USB. Pentru aceasta, este necesar ca dispozitivul să fie supervizat.
Utilizator în Configurări > Touch/Face ID și cod de acces > Accesorii.