Bloqueando a Apple OS X App Store

19

Sendo os maus senhores de TI corporativos, precisamos bloquear a nova OS X App Store. Como você deve saber, a atualização 10.6.6 instala o App Store App, que permite aos usuários baixar e instalar aplicativos sem privilégios de administrador.

Algumas sugestões:

  • Não atualize para 10.6.6+

  • Use o controle dos pais

  • Presumivelmente, alguma política de OD (se você tiver um servidor OD, o que não temos)

  • Bloquear a App Store por DNS ou Proxy

Não atualizar para 10.6.6+ não é realmente uma solução de longo prazo, pois contém correções de segurança e novos Macs virão com ela de qualquer maneira. Bloquear a App Store no nível da rede não resolve os usuários de laptops.

Idealmente, uma simples preferência do sistema ou a edição de uma lista que pode ser enviada pelo ARD seria a melhor solução.

Observe que a questão não é se devemos bloquear a App Store, é como podemos bloquear a App Store.

Como uma atualização rápida, parece que você não está usando uma conta com privilégios de administrador, pode ser necessário fornecer credenciais de administrador na primeira vez em que baixar um aplicativo para instalá-lo, o que pode resolver alguns dos problemas. Comportamento muito diferente da elevação normal de privilégios do OS X, que solicita administradores e não administradores.

mac-osx apple Jon Rhoades
fonte
16
"Sendo o mal corporativo que domina a TI" LOL!
L0c0b0x
Eu mesmo estou interessado nisso. É claro que você pode excluir ou definir permissões no aplicativo da loja de aplicativos (é apenas um aplicativo quando tudo estiver dito e feito), mas não acho que essa abordagem seja dimensionada. Talvez funcione enquanto cozinha algo melhor.
9788 Robolir
1
+1 para a primeira linha :)
Michael Lowman
Se você fosse verdadeiramente mau ... você não teria esse problema.
WernerCD
Se você já usa o Controle dos Pais, já pode restringir quais aplicativos os usuários podem iniciar.
precisa saber é o seguinte

Respostas:

9

Se você não tiver esse computador conectado a um servidor OpenDirectory (a maneira preferida de fazer isso é restringir a inicialização do aplicativo por meio do Workgroup Manager), defina as permissões no aplicativo App Store para não permitir que os usuários o executem:

chmod -R 000 /Applications/AppStore.app

Isso impede que alguém inicie o aplicativo. Ele pode ser enviado por meio do ARD, adicionado à sua imagem de base e definido em um script de inicialização.

Não tenho idéia do que isso fará com outros aplicativos em execução no sistema, portanto você deve testá-lo primeiro.

Scott Keck-Warren
fonte
Observe que, desde o OS X Mavericks, sudo chflags -R nouchg /Applications/App\ Store.appé necessário alterar as App Store.apppermissões.
Deadeye
6

A iTunes Store se conecta nas portas HTTP (S) padrão, 80 e 443, então presumo que a Mac App Store faça o mesmo.

Aqui está o artigo da base de conhecimento da Apple sobre como bloquear a loja do iTunes por URL: http://support.apple.com/kb/HT3303

Diz

Para impedir que os computadores clientes se conectem à iTunes Store, os administradores de rede podem bloquear o host da Internet 'itunes.apple.com'.

De um tcpdump rápido, parece que a App Store usa o mesmo URL ... por enquanto.

hackedtobits
fonte
Isso é uma maçã típica e muito chata. Eu quero bloquear a loja de aplicativos. Eu não quero bloquear o itunes.
precisa saber é o seguinte
3

Execute um farejador de pacotes. Execute a App Store. Descubra quais são os endereços que a Apple App Store usa. Bloqueie todas as entradas / saídas nesse endereço, nessa porta e no seu firewall de perímetro.

Harv
fonte
Como mencionei, o bloqueio no nível da rede não impedirá os usuários de laptops.
precisa saber é o seguinte
@ Jon Rhoades - não vi isso. Para eles, eles precisariam ser clientes gerenciados (exigindo servidor OS X, OD, etc.) ou seria necessário retirar o acesso no nível de administrador em seus próprios laptops e editar seus arquivos / etc / hosts.
Harv
Harv, acho que você está tendo uma pequena visão de túnel com o método de bloqueio de rede. A resposta de Scott é melhor, mais fácil de gerenciar e mais escalável.
blueben
@blueben - com certeza. Concordo! Pensei em lançar minha resposta lá fora, caso isso fizesse mais sentido da perspectiva do solicitante.
Harv
Coisa boa!
blueben
3

Você também pode editar seu esquema do Active Directory para que ele contenha informações extras que emulem o MCX (semelhante às Diretivas de Grupo). Em seguida, você pode fazer login no servidor AD no Workgroup Manager em um mac, importar usuários / grupos do AD como registros aumentados e bloquear o aplicativo. É muito trabalhoso bloquear uma coisa, no entanto, a longo prazo, significa que você tem muito mais controle sobre seus macs.

Aqui está um link para um webinar da Apple que mostra as etapas e explica (melhor e com mais detalhes) o que eu estava falando acima:

http://seminars.apple.com/seminarsonline/modifying/apple/index.html?s=301

e aqui está um PDF (não tenho certeza se é recente)

http://www.sticts.ch/MacWindows/Modifying_the_Active_Directory_Schema.pdf

Jack Lawrence
fonte