У цьому матеріалі ми надаємо базовий чекліст для адміністратора парку техніки Apple. Пункти доволі прості, але якщо не брати їх до уваги —можуть ускладнити життя окремих працівників та цілих компаній. Зображення виключно для привернення уваги.
Apple system administrator
Вимкнути можливість автоматичного оновлення macOS та iOS
Кожен адміністратор або IT-менеджер знає, що у корпоративному секторі оновлення централізовано викатуються тільки після перевірки на кількох одиницях або десятках одиниць «некритичної» техніки.
Уявімо спічрайтера кандидата, у якого під час автоматичного оновлення macOS 10.14.5 заблокувався комп’ютер(приклад цілком реальний).
І справа не у тому, що ми вирішуємо ці питання протягом години. Справа у тому, що ключова людина у критичний момент не може якісно виконати свою роботу через технічний збій. І тим більше заборонити ключовим особам бавитися з «веселими» бета-версіями нових систем macOS Catalina або iOS 13. Просто заборонити оновлення на час кампанії. Але є одне але, і це
Швидко робити оновлення, якщо воно стосується security issues macOS або iOS
Meltdown, Spectre, ZombieLoad та ще десяткі, невідомі пересічному користувачу. Якщо явище з’явилося на перших шпальтах та за день-два вендори викотили патчі — діємо швидко.
- перевірили наявість бекапів
- перевірили що backup recovery plan робочий і є як і на що розгорнути дані з бекапу у випадку цеглування пристрою після оновлення
- мала кров. Запускаємо оновлення на тестову та/або мінімально критичну групу пристроїв
- зібрали зворотній зв’язок після оновлення, можна прямо у адмін-панелі
- оновлюємо ключові пристрої
- зібрали зворотній звязок
- трохи поспати
Розробити перелік політик та дозволених/заборонених програм на час кампанії
Кілька шифрованих груп у штабному WhatsApp це добре? Добре. Тож у всіх дотичних має бути встановлена останн версія месенджера на macOS або iOS. А якщо хтось робить скріншоти з штабних груп WhatsApp і відразу перкидає їх у Viber це добре? Напевно не дуже. Тож перелік дозволених/заборонених додатків та функцій (AirDrop, iOS Screenshots, Bluetooth, дозвіл/заборона на під’єднання до певних WiFi-мереж, частота заміни паролів, SSO) суттєво зменшать кількість витоків та рівень загроз для кампанії.
Налаштувати нотіфікешени на ключові події/пристрої
- iPhone номер 1574 вже 2 дні не під’єднувався до WiFi-мережі? Викрали і треба терміново витерти (wipe), спочатку зафіксувавши де його система бачила останній раз, чи зараз працює «у полі» і треба відправити кандидату останню версію програми-суфлера?
- Молодший дизайнер на робочий iMac 27″ встановив ломаний Adobe Illustrator з рутрекера, був зламаний та через внутрішню мережу мережу поламали інші комп’ютери з паролями 1 або 1234?
- дев’ятикласник-син прес-секретарки вирішив перевірити як встановлюється jailbrake на мамін iPhone, який назавтра з дефолтними паролями засвітився у двох кав’ярях з жахливими налаштуваннями гостьової WiFi-мережі?
- чотири водія встановили на свої iPhone SE безкоштовні VPN-клієнти та радіють, що тепер їх відвідування сайтів дорослого контенту не відслідкує АНБ?
Найшвидше розгортання, керування та впровадження політик безпеки краще за все забезпечить система Apple Business Manager, ABM (працює в Україні з 2019 року) разом з системою Mosyle MDM. Зверніться у форму зворотнього зв’язку щоб отримати додаткову інформацію та 30-денний trial-обліковий запис у Mosyle MDM. Також якщо не вистачає часу на швидке розгортання рішеннь ABM+MDM, є можливість віддалено та швидко перевірити комп’ютери Mac на наявність Malware і Adware. Робота сучасного Apple-системного адміністратора це не бігати по штабу між користувачами чи закривати однотипні тікети у ZenDesk. Зараз платформи macOS/iOS/tvOS є найбільш прогресивниму з точки зору безпечного віддаленого керування політиками. І встрибуючи у ключові для країни перегони з останніми моелями Apple-пристроїв на руках не дуже стратегично залишати ці чудові робочі інструменти без належної уваги IT-менеджерів. Кожна технічна помилка може відправити кандидата у забуття, і тому заслуговує на швидку та всебічну оцінку ризиків і сценаріїв нетралізації.
Якими ще налаштуваннями можемо віддалено керувати?
- сертифікати Active Directory
- Allowed/Blocked Apps
- календар
- керування налаштуваннями Chrome
- контакти
- кешування контенту
- кастомні команди
- директорії
- керування Dock
- зберігання енергії
- Exchange
- кернел екстеншени
- Finder
- пароль Firmware
- налаштування Mail
- Multi-Cert WiFi
- мережа
- політики паролів користувача
- принтери
- проксі
- смарт-картки
- Software Delay
- Software Update
- Time Machine
- VPN
- Web Filter
та десятки інших налаштувань, які адміністратор може впровадужвати віддалено.
Компанія iLand спеціалізується на консалтингу та впровадженні політик безпеки для парку техніки Apple для бізнесу, громадських об’єднань та державних установ. Якщо у вас виникли запитання — зв’яжіться з нами зараз через форму зворотнього зв’язку.
Читайте також:
- Apple-системний адміністратор: основні інструменти роботи
- корисні ресурси для Apple-системного адміністратора
- навчальні курси з адміністрування macOS та iOS для IT-персоналу
Запитання? Пишіть у форму нижче
