fbpx

Чекліст для адміністратора парку техніки Apple у виборчому штабі. Пункти доволі прості, але якщо не брати їх до уваги можуть ускладнити життя кандидатів або навіть партій. Зображення — виключно для привернення уваги.

Apple system administrator

Apple system administrator

Вимкнути можливість автоматичного оновлення macOS та iOS

Кожен адміністратор або IT-менеджер знає, що у корпоративному секторі оновлення централізовано викатуються тільки після перевірки на кількох одиницях або десятках одиниць «некритичної» техніки.

Уявімо спічрайтера кандидата, у якого під час автоматичного оновлення macOS 10.14.5 заблокувався комп’ютер(приклад цілком реальний).

І справа не у тому, що ми вирішуємо ці питання протягом години. Справа у тому, що ключова людина у критичний момент не може якісно виконати свою роботу через технічний збій. І тим більше заборонити ключовим особам бавитися з «веселими» бета-версіями нових систем macOS Catalina або iOS 13. Просто заборонити оновлення на час кампанії. Але є одне але, і це

Швидко робити оновлення, якщо воно стосується security issues macOS або iOS

Meltdown, Spectre, ZombieLoad та ще десяткі, невідомі пересічному користувачу. Якщо явище з’явилося на перших шпальтах та за день-два вендори викотили патчі — діємо швидко.

  • перевірили наявість бекапів
  • перевірили що backup recovery plan робочий і є як і на що розгорнути дані з бекапу у випадку цеглування пристрою після оновлення
  • мала кров. Запускаємо оновлення на тестову та/або мінімально критичну групу пристроїв
  • зібрали зворотній зв’язок після оновлення, можна прямо у адмін-панелі
  • оновлюємо ключові пристрої
  • зібрали зворотній звязок
  • трохи поспати

Розробити перелік політик та дозволених/заборонених програм на час кампанії

Кілька шифрованих груп у штабному WhatsApp це добре? Добре. Тож у всіх дотичних має бути встановлена останн версія месенджера на macOS або iOS. А якщо хтось робить скріншоти з штабних груп WhatsApp і відразу перкидає їх у Viber це добре? Напевно не дуже. Тож перелік дозволених/заборонених додатків та функцій (AirDrop, iOS Screenshots, Bluetooth, дозвіл/заборона на під’єднання до певних WiFi-мереж, частота заміни паролів, SSO) суттєво зменшать кількість витоків та рівень загроз для кампанії.

Налаштувати нотіфікешени на ключові події/пристрої

  • iPhone номер 1574 вже  2 дні не під’єднувався до WiFi-мережі? Викрали і треба терміново витерти (wipe), спочатку зафіксувавши де його система бачила останній раз,  чи зараз працює «у полі» і треба відправити кандидату останню версію програми-суфлера?
  • Молодший дизайнер на робочий iMac 27″ встановив ломаний Adobe Illustrator з рутрекера, був зламаний та через внутрішню мережу мережу поламали інші комп’ютери з паролями 1 або 1234?
  • дев’ятикласник-син прес-секретарки вирішив перевірити як встановлюється jailbrake на мамін iPhone, який назавтра з дефолтними паролями засвітився у двох кав’ярях з жахливими налаштуваннями гостьової WiFi-мережі?
  • чотири водія встановили на свої iPhone SE безкоштовні VPN-клієнти та радіють, що тепер їх відвідування сайтів дорослого контенту не відслідкує АНБ?

Найшвидше розгортання, керування та впровадження політик безпеки краще за все забезпечить система Apple Business Manager, ABM (працює в Україні з 2019 року) разом з системою Mosyle MDM. Зверніться у форму зворотнього зв’язку щоб отримати додаткову інформацію та 30-денний trial-обліковий запис у Mosyle MDM. Також якщо не вистачає часу на швидке розгортання рішеннь ABM+MDM, є можливість віддалено та швидко перевірити комп’ютери Mac на наявність Malware і Adware. Робота сучасного Apple-системного адміністратора це не бігати по штабу між користувачами чи закривати однотипні тікети у ZenDesk. Зараз платформи macOS/iOS/tvOS є найбільш прогресивниму з точки зору безпечного віддаленого керування політиками. І встрибуючи у ключові для країни перегони з останніми моелями Apple-пристроїв на руках не дуже стратегично залишати ці чудові робочі інструменти без належної уваги IT-менеджерів. Кожна технічна помилка може відправити кандидата у забуття, і тому заслуговує на швидку та всебічну оцінку ризиків і сценаріїв нетралізації.

Якими ще налаштуваннями можемо віддалено керувати?

  • сертифікати Active Directory
  • Allowed/Blocked Apps
  • календар
  • керування налаштуваннями Chrome
  • контакти
  • кешування контенту
  • кастомні команди
  • директорії
  • керування Dock
  • зберігання енергії
  • Exchange
  • кернел екстеншени
  • Finder
  • пароль Firmware
  • налаштування Mail
  • Multi-Cert WiFi
  • мережа
  • політики паролів користувача
  • принтери
  • проксі
  • смарт-картки
  • Software Delay
  • Software Update
  • Time Machine
  • VPN
  • Web Filter

та десятки інших налаштувань, які адміністратор може впровадужвати віддалено. 

Читайте також:

 

Запитання? Пишіть у форму нижче

 

10 + 11 =

0
Tags: ,