Blockieren Sie bestimmte Apps auf macOS

Gibt es eine Möglichkeit, eine Liste bestimmter Apps unter macOS zu blockieren?

Ich habe nach Lösungen wie Cisdem gesucht, aber es gibt einige Lücken in der Funktionsweise, die mir nicht gefallen.

  1. Sofern Sie nicht auch den Aktivitätsmonitor, das Terminal und die Systemeinstellungen blockieren, können Sie den Cisdem-Prozess einfach beenden oder einen neuen Benutzer erstellen, um ihn zu umgehen.
  2. Sie müssen den Aktivitätsmonitor, das Terminal und die Systemeinstellungen blockieren, damit es gut funktioniert.

Ich möchte verhindern, dass eine App auf meinem Mac ausgeführt oder sogar installiert wird. Die App kann über den App Store und das Web installiert werden. Ich bin mir nicht sicher, wie ich vorgehen soll. Die Aktivierung der Kindersicherung funktioniert nicht, da Administratorrechte erforderlich sind.

Die spezifische App, die ich blockieren möchte, ist Apple Configurator.

Irgendwelche Ideen?

Antworten (1)

Verwenden Sie Gatekeeper, um den Zugriff auf Anwendungen zu kontrollieren

Sie können spctl(Gatekeeper) verwenden, um Listen genehmigter und nicht genehmigter Apps zu erstellen.

Angenommen, Sie möchten Mail zulassen, aber Chrome blockieren.

sudo spctl --add --label "ApprovedApps" /Applications/Mail.app 
sudo spctl --add --label "DeniedApps" /Applications/Chrome.app

Der obige Befehl "kennzeichnet" Mail und Chrome als "Genehmigt" bzw. "Abgelehnt" (Sie können Ihre eigenen Deskriptoren verwenden).

Um Apps zu aktivieren/deaktivieren, geben Sie nun die Befehle aus:

sudo spctl --enable --label "ApprovedApps" 
sudo spctl --disable --label "DeniedApps"

Dies hat den Vorteil, dass Sie zum Hinzufügen einer weiteren App zu einer der beiden Listen nur das entsprechende Label hinzufügen müssen:

sudo spctl --add --label "ApprovedApps" /Applications/Another.app

Außerdem können Sie die Ausführung von Code aus dem Mac App Store verbieten (zu finden in der spctlManpage - man spctl).

spctl --disable --label "Mac App Store"

Dadurch wird verhindert, dass jemand eine App aus dem App Store herunterlädt und installiert/ausführt.

Umgang mit Admins/sudoers

Wie in den Kommentaren erwähnt, kann ein anderer Administrator alles rückgängig machen, was ein Administrator tun kann. Die Verwendung spctlerfordert root, aber das Bearbeiten der sudoers-Datei, um den Zugriff auf einen bestimmten Befehl einzuschränken, kann andere Benutzer/Administratoren daran hindern, Ihre Änderungen rückgängig zu machen.

Siehe Wie kann man verhindern, dass sudo-Benutzer bestimmte Befehle ausführen? Einzelheiten zum Konfigurieren einer „Whitelist mit Ausnahme“ in Ihrer sudoersDatei.

Um beispielsweise dem Benutzer Sam Zugriff auf alle Befehle außer spctl zu gewähren , würden Sie die sudoers-Datei einfügen:

sam ALL = ALL, !/usr/sbin/spctl

Nun, dies ist eine "schnelle und schmutzige" Methode, um den Zugriff auf zu verhindern, spctlaber letztendlich ist es nicht effektiv, denn wenn der andere Administrator Ihre Strategie erkennt, muss er / sie nur den Befehl umbenennen und er hat Zugriff.

Aus der sudoersManpage:

Wenn ein Benutzer über sudo ALL verfügt, hindert ihn im Allgemeinen nichts daran, sein eigenes Programm zu erstellen, das ihm eine Root-Shell gibt (oder seine eigene Kopie einer Shell erstellt), unabhängig von einem `!' Elemente in der Benutzerspezifikation.

Um es wirklich zu sperren, müssten Sie entweder den anderen Benutzer dazu zwingen, suein anderer Benutzer (dh Operator) zu sein, oder eine Whitelist mit zulässigen Befehlen erstellen, die standardmäßig alles andere blockiert. Dies ist jedoch zeitaufwändig und ziemlich gefährlich, da Sie Personen von kritischen Funktionen ausschließen können.

Nett! Das ist genau das, wonach ich gesucht habe. Gut gemacht. Ich danke dir sehr!
Wirklich großartige Antwort Allan - Ich glaube nicht, dass dies möglich wäre, um den Dateizugriff zu verhindern oder das Senden eines Sigkill-Signals zu stoppen - oder? apple.stackexchange.com/questions/332124/…
@bmike - Habe gerade diesen Kommentar gesehen. thx für die netten worte. Was sigkill betrifft, glaube ich nicht, dass Sie das verhindern könnten, da Sie technisch gesehen Ihre eigenen Prozesse beenden können.
Das klingt alles großartig, aber es funktioniert einfach nicht für mich (am 10.14.3). Die Änderungen gelten, aber ich kann weiterhin die Apps starten, die ich "abgelehnt" habe. Gatekeeper ist aktiviert.
Funktioniert bei mir auch nicht (am 10.14.1).
Blockieren Sie bestimmte Apps auf macOS
AntwortenHierDatenschutz-Bestimmungen1y, 0v