Memblokir Apple OS X App Store

19

Menjadi tuan IT perusahaan jahat kita perlu memblokir OS X App Store yang baru. Seperti yang Anda ketahui, pembaruan 10.6.6 menginstal App Store App yang memungkinkan pengguna mengunduh dan menginstal aplikasi tanpa hak admin.

Beberapa saran:

  • Jangan perbarui ke 10.6.6+

  • Gunakan kontrol orangtua

  • Agaknya beberapa kebijakan OD (jika Anda memiliki server OD yang tidak kami miliki)

  • Blokir App store dengan DNS atau Proxy

Tidak memperbarui ke 10.6.6+ sebenarnya bukan solusi jangka panjang karena berisi perbaikan keamanan dan Mac baru akan menyertainya. Memblokir App store di tingkat jaringan tidak menyelesaikan masalah pengguna laptop.

Idealnya preferensi sistem sederhana atau pengeditan plist yang dapat didorong oleh ARD akan menjadi solusi terbaik.

Harap perhatikan pertanyaannya adalah bukankah sebaiknya kita memblokir App store, ini adalah bagaimana kita dapat memblokir App store.

Sebagai pembaruan cepat tampaknya Anda tidak menggunakan akun dengan hak istimewa admin, Anda mungkin perlu memberikan kredensial admin untuk pertama kali Anda mengunduh aplikasi untuk menginstalnya, yang dapat menyelesaikan beberapa masalah. Perilaku yang sangat berbeda dengan peningkatan hak istimewa OS X normal yang meminta admin dan non admin sama.

mac-osx apple Jon Rhoades
sumber
16
"Menjadi tuan perusahaan IT jahat" LOL!
l0c0b0x
Saya tertarik pada ini sendiri. Anda tentu saja dapat menghapus atau mengatur izin pada aplikasi app store (ini hanyalah aplikasi ketika semuanya dikatakan dan dilakukan) tetapi saya tidak berpikir bahwa pendekatan itu akan berkembang. Mungkin akan dilakukan saat memasak sesuatu yang lebih baik.
Rob Moir
1
+1 untuk baris pertama :)
Michael Lowman
Jika Anda benar-benar jahat ... Anda tidak akan memiliki masalah ini.
WernerCD
Jika Anda sudah menggunakan Kontrol Orang Tua, maka Anda sudah dapat membatasi aplikasi mana yang dapat diluncurkan pengguna.
Tegbains

Jawaban:

9

Jika Anda tidak memiliki komputer ini terpasang pada server OpenDirectory (cara yang disukai untuk melakukan ini adalah dengan membatasi peluncuran aplikasi melalui Workgroup Manager) Anda dapat mengatur izin pada aplikasi App Store untuk tidak mengizinkan pengguna untuk menjalankannya:

chmod -R 000 /Applications/AppStore.app

Ini mencegah siapa pun meluncurkan aplikasi. Itu dapat didorong melalui ARD, dapat ditambahkan ke gambar dasar Anda, dan dapat diatur dalam skrip startup.

Saya tidak tahu apa ini akan dilakukan untuk aplikasi lain yang berjalan pada sistem sehingga Anda harus mengujinya terlebih dahulu.

Scott Keck-Warren
sumber
Perhatikan bahwa sejak OS X Mavericks, sudo chflags -R nouchg /Applications/App\ Store.appdiperlukan untuk mengubah App Store.appizin.
DeadEye
6

ITunes Store terhubung pada port HTTP (S) standar, 80 dan 443, jadi saya berasumsi bahwa Mac App Store melakukan hal yang sama.

Berikut ini adalah artikel pangkalan pengetahuan Apple tentang memblokir iTunes store dengan URL: http://support.apple.com/kb/HT3303

Ia mengatakan

Untuk mencegah komputer klien dari terhubung ke iTunes Store, administrator jaringan dapat memblokir host Internet 'itunes.apple.com'.

Dari tcpdump cepat, tampaknya App Store menggunakan URL yang sama ... untuk saat ini.

hackedtobits
sumber
Itu agak mengganggu, khas apel. Saya ingin memblokir app store. Saya tidak ingin memblokir iTunes.
Rob Moir
3

Jalankan sniffer paket. Jalankan App Store. Cari tahu apa alamat yang digunakan oleh Apple App Store. Blokir semua masuk / keluar pada alamat itu, pada port itu, pada firewall perimeter Anda.

Harv
sumber
Seperti yang saya sebutkan, memblokir di tingkat jaringan tidak akan menghentikan pengguna laptop.
Jon Rhoades
@ Jon Rhoades - tidak melihat itu. Bagi mereka, mereka perlu mengelola klien (membutuhkan server OS X, OD, dll.) Atau Anda harus menghapus akses tingkat Admin pada laptop mereka sendiri dan mengedit file / etc / hosts mereka.
Harv
Harv, saya pikir Anda mendapatkan sedikit tunnel-vision dengan metode blok jaringan. Jawaban Scott lebih baik, lebih mudah dikelola, dan lebih terukur.
blueben
@ blueben - tentu. Saya setuju! Kupikir aku akan membuang jawabanku di luar sana kalau-kalau lebih masuk akal dari sudut pandang si penanya.
Harv
Barang bagus!
blueben
3

Anda juga dapat mengedit skema Active Directory Anda sehingga mengandung informasi tambahan yang meniru MCX (mirip dengan Kebijakan Grup). Anda kemudian dapat masuk ke server AD Anda dari Workgroup Manager di mac, mengimpor pengguna / grup AD sebagai catatan yang ditambah, dan memblokir aplikasi. Ini banyak pekerjaan untuk memblokir satu hal, namun dalam jangka panjang itu berarti Anda memiliki satu ton lebih banyak kendali atas mac Anda.

Berikut ini tautan ke webinar Apple yang memandu Anda melalui langkah-langkah dan menjelaskan (lebih baik dan lebih terperinci) apa yang saya bicarakan di atas:

http://seminars.apple.com/seminarsonline/modifying/apple/index.html?s=301

dan ini PDF (tidak yakin apakah ini baru)

http://www.sticts.ch/MacWindows/Modifying_the_Active_Directory_Schema.pdf

Jack Lawrence
sumber