Bloqueo de la tienda de aplicaciones Apple OS X

19

Siendo los malvados señores corporativos de TI necesitamos bloquear el nuevo OS X App Store. Como puede saber, la actualización 10.6.6 instala la aplicación App Store, que permite a los usuarios descargar e instalar aplicaciones sin privilegios de administrador.

Algunas sugerencias:

  • No actualice a 10.6.6+

  • Usar controles parentales

  • Presumiblemente alguna política OD (si tiene un servidor OD que nosotros no tenemos)

  • Bloquee la tienda de aplicaciones por DNS o Proxy

No actualizar a 10.6.6+ no es realmente una solución a largo plazo, ya que contiene correcciones de seguridad y las nuevas Mac vendrán con ella de todos modos. Bloquear la tienda de aplicaciones a nivel de red no resuelve a los usuarios de computadoras portátiles.

Idealmente, una simple preferencia del sistema o la edición de un plist que ARD pueda eliminar sería la mejor solución.

Tenga en cuenta que la pregunta no es si debemos bloquear la tienda de aplicaciones, es cómo podemos bloquear la tienda de aplicaciones.


Como una actualización rápida, parece que no está utilizando una cuenta con privilegios de administrador, es posible que deba proporcionar credenciales de administrador la primera vez que descargue una aplicación para instalarla, lo que puede resolver parte del problema. Comportamiento muy diferente a la elevación normal de privilegios de OS X que solicitan a los administradores y no administradores por igual.

Jon Rhoades
fuente
16
"Siendo los malvados señores corporativos de TI" LOL!
l0c0b0x
Estoy interesado en esto yo mismo. Por supuesto, puede eliminar o establecer permisos en la aplicación de la tienda de aplicaciones (es solo una aplicación cuando todo está dicho y hecho), pero no creo que ese enfoque vaya a escalar. Quizás lo haga mientras cocina algo mejor.
Rob Moir
1
+1 para la primera línea :)
Michael Lowman
Si fueras realmente malvado ... no tendrías este problema.
WernerCD
Si ya está utilizando el Control parental, puede restringir qué aplicaciones pueden iniciar los usuarios.
tegbains

Respuestas:

9

Si no tiene estas computadoras conectadas a un servidor OpenDirectory (la forma preferida de hacerlo es restringir el inicio de la aplicación a través de Workgroup Manager), puede configurar los permisos en la aplicación App Store para no permitir que los usuarios la ejecuten:

chmod -R 000 /Applications/AppStore.app 

Esto evita que cualquiera inicie la aplicación. Se puede expulsar a través de ARD, se puede agregar a su imagen base y se puede configurar en un script de inicio.

No tengo idea de lo que esto hará a otras aplicaciones que se ejecutan en el sistema, por lo que debe probarlo primero.

Scott Keck-Warren
fuente
Tenga en cuenta que desde OS X Mavericks, sudo chflags -R nouchg /Applications/App\ Store.appse requiere cambiar los App Store.apppermisos.
DeadEye
6

ITunes Store se conecta a los puertos HTTP (S) estándar, 80 y 443, por lo que supongo que Mac App Store hace lo mismo.

Aquí está el artículo de la base de conocimiento de Apple sobre el bloqueo de la tienda de iTunes por URL: http://support.apple.com/kb/HT3303

Dice

Para evitar que las computadoras cliente se conecten a iTunes Store, los administradores de red pueden bloquear el host de Internet 'itunes.apple.com'.

Desde un rápido tcpdump, parece que la App Store usa la misma URL ... por ahora.

hackedtobits
fuente
Eso es bastante molesto, la típica manzana. Quiero bloquear la tienda de aplicaciones. No quiero bloquear iTunes.
Rob Moir
3

Ejecute un sniffer de paquetes. Ejecute App Store. Descubre cuáles son las direcciones que usa la App Store de Apple. Bloquee todas las entradas / salidas en esa dirección, en ese puerto, en su firewall perimetral.

Harv
fuente
Como mencioné, el bloqueo a nivel de red no detendrá a los usuarios de computadoras portátiles.
Jon Rhoades
@Jon Rhoades: no vi eso. Para ellos, tendrían que ser clientes administrados (que requieren un servidor OS X, OD, etc.) o tendrían que quitarles el acceso de nivel de administrador en sus propias computadoras portátiles y editar sus archivos / etc / hosts.
Harv
Harv, creo que estás obteniendo una pequeña visión de túnel con el método de bloqueo de red. La respuesta de Scott es mejor, más fácil de administrar y más escalable.
blueben
@blueben: claro. ¡Estoy de acuerdo! Pensé en arrojar mi respuesta por si tenía más sentido desde la perspectiva del autor de la pregunta.
Harv
¡Buen material!
blueben
3

También puede editar su esquema de Active Directory para que contenga información adicional que emule MCX (similar a las Políticas de grupo). Luego, puede iniciar sesión en su servidor de AD desde Workgroup Manager en una Mac, importar usuarios / grupos de AD como registros aumentados y bloquear la aplicación. Bloquear una cosa es mucho trabajo, sin embargo, a la larga significa que tienes mucho más control sobre tus Mac.

Aquí hay un enlace a un seminario web de Apple que lo guía a través de los pasos y explica (mejor y con mayor detalle) de lo que estaba hablando anteriormente:

http://seminars.apple.com/seminarsonline/modifying/apple/index.html?s=301

y aquí hay un PDF (no estoy seguro si es reciente)

http://www.sticts.ch/MacWindows/Modifying_the_Active_Directory_Schema.pdf

Jack Lawrence
fuente