macOS MDM
Last updated
Last updated
AWS हैकिंग सीखें और प्रैक्टिस करें:HackTricks प्रशिक्षण AWS रेड टीम एक्सपर्ट (ARTE) GCP हैकिंग सीखें और प्रैक्टिस करें: HackTricks प्रशिक्षण GCP रेड टीम एक्सपर्ट (GRTE)
macOS MDM के बारे में जानने के लिए देखें:
मोबाइल डिवाइस प्रबंधन (MDM) का उपयोग स्मार्टफोन, लैपटॉप और टैबलेट जैसे विभिन्न अंतयज डिवाइसों का प्रबंधन करने के लिए किया जाता है। विशेष रूप से Apple के प्लेटफॉर्मों (iOS, macOS, tvOS) के लिए, इसमें विशेषताएँ, एपीआई और अभ्यास शामिल हैं। MDM का संचालन एक संगत MDM सर्वर पर निर्भर करता है, जो व्यापार में उपलब्ध या ओपन-सोर्स हो सकता है, और MDM Protocol का समर्थन करना चाहिए। मुख्य बिंदुओं में शामिल हैं:
डिवाइसों पर केंद्रीकृत नियंत्रण।
MDM प्रोटोकॉल का पालन करने वाले MDM सर्वर पर निर्भरता।
MDM सर्वर की क्षमता विभिन्न कमांडों को डिवाइसों में भेजने के लिए, उदाहरण के लिए, रिमोट डेटा मिटाना या कॉन्फ़िगरेशन स्थापना।
Apple द्वारा प्रदान किया गया डिवाइस एनरोलमेंट प्रोग्राम (DEP) iOS, macOS और tvOS डिवाइसों के लिए जीर्ण-स्पर्श कॉन्फ़िगरेशन को सुगम बनाता है और मोबाइल डिवाइस प्रबंधन (MDM) का समावेश करता है। DEP एनरोलमेंट प्रक्रिया को स्वचालित करता है, जिससे डिवाइसों को बॉक्स से निकालते ही सक्रिय किया जा सकता है, न्यूनतम उपयोगकर्ता या प्रशासनिक हस्तक्षेप के साथ। महत्वपूर्ण पहलुओं में शामिल हैं:
डिवाइसों को प्रारंभिक सक्रियण के दौरान पूर्व-निर्धारित MDM सर्वर के साथ स्वत: पंजीकरण करने की क्षमता।
मुख्य रूप से नए डिवाइसों के लिए लाभकारी, लेकिन पुनर्कॉन्फ़िगरेशन हो रहे डिवाइसों के लिए भी लागू।
एक सरल सेटअप को सुविधाजनक बनाता है, जिससे डिवाइस त्वरित रूप से संगठनात्मक उपयोग के लिए तैयार हो जाते हैं।
DEP द्वारा प्रदान की गई पंजीकरण की सुविधा, जो लाभकारी है, सुरक्षा जोखिम भी उठा सकती है। यदि MDM पंजीकरण के लिए उचित सुरक्षा उपाय सम्मिलित नहीं किए गए हैं, तो हमलावर इस सुविधाजनक प्रक्रिया का श्रेष्ठीकरण करके अपने डिवाइस को संगठन के MDM सर्वर पर पंजीकृत कर सकते हैं, कॉर्पोरेट डिवाइस के रूप में मुख्यतः छलावा करते हुए।
सुरक्षा चेतावनी: सरलित DEP पंजीकरण संगठन के MDM सर्वर पर अनधिकृत डिवाइस पंजीकरण की संभावना है यदि उचित सुरक्षा उपाय स्थापित नहीं हैं।
एक उत्कृष्ट पुराना प्रोटोकॉल, TLS और HTTPS सार्वजनिक नहीं थे जब यह बनाया गया था।
ग्राहकों को प्रमाणित करने के लिए सर्टिफिकेट प्राप्त करने के उद्देश्य से सर्टिफिकेट साइनिंग अनुरोध (CSR) भेजने का एक मानकीकृत तरीका देता है। ग्राहक सर्वर से साइन किए गए सर्टिफिकेट के लिए सर्वर से अनुरोध करेगा।
Apple का आधिकारिक तरीका सिस्टम कॉन्फ़िगरेशन सेट करने/लागू करने का।
फ़ाइल प्रारूप जिसमें कई payloads हो सकते हैं।
प्रॉपर्टी सूचियों पर आधारित है (वह XML प्रकार का)।
"उनकी मूल की पुष्टि करने, उनकी पूर्णता सुनिश्चित करने और उनकी सामग्री की सुरक्षा करने के लिए साइन और एन्क्रिप्ट किया जा सकता है।" मूलभूत — पृष्ठ 70, iOS सुरक्षा गाइड, जनवरी 2018।
APNs (Apple सर्वर) + RESTful API (MDM वेंडर सर्वर) का संयोजन
संचार एक डिवाइस और एक डिवाइस प्रबंधन उत्पाद से संबंधित सर्वर के बीच होता है
कमांड MDM से डिवाइस में प्लिस्ट-कोडित शब्दकोशों में पहुंचाए जाते हैं
सभी ओवर HTTPS। MDM सर्वर (और सामान्यत: पिन किए जाते हैं) हो सकते हैं।
Apple MDM वेंडर को प्रमाणीकरण के लिए एक APNs सर्टिफिकेट प्रदान करता है
3 एपीआई: 1 रिसेलरों के लिए, 1 MDM वेंडरों के लिए, 1 डिवाइस पहचान के लिए (अनदस्तावेजित):
उसे जिसे DEP "क्लाउड सेवा" एपीआई कहा जाता है। इसका उपयोग MDM सर्वरों द्वारा DEP प्रोफाइलों को विशिष्ट डिवाइसों के साथ संबंधित करने के लिए किया जाता है।
एप्पल अधिकृत रिसेलरों द्वारा उपयोग किया जाने वाला DEP एपीआई डिवाइसों को नामांकित करने, नामांकन स्थिति की जांच करने और लेन-देन स्थिति की जांच करने के लिए।
अनदस्तावेजित निजी DEP एपीआई। इसका उपयोग एप्पल डिवाइसों द्वारा उनके DEP प्रोफ
इस प्रक्रिया का यह हिस्सा जब एक उपयोगकर्ता पहली बार Mac को बूट करता है (या पूरी तरह से साफ करने के बाद) होता है
या sudo profiles show -type enrollment को निष्पादित करते समय
यह निर्धारित करें कि उपकरण DEP सक्षम है
सक्रियण रिकॉर्ड DEP “प्रोफ़ाइल” के लिए आंतरिक नाम है
उपकरण को इंटरनेट से कनेक्ट करते ही प्रारंभ होता है
CPFetchActivationRecord द्वारा चलाया जाता है
cloudconfigurationd द्वारा XPC के माध्यम से कार्यान्वित किया गया है। "सेटअप सहायक" (जब उपकरण पहली बार बूट होता है) या profiles कमांड इस डेमन से सक्रियण रिकॉर्ड प्राप्त करने के लिए संपर्क करेगा।
लॉन्चडेमॉन (हमेशा रूट के रूप में चलता है)
यह MCTeslaConfigurationFetcher द्वारा किए जाने वाले कुछ कदमों का पालन करता है। इस प्रक्रिया में एक एन्क्रिप्शन उपयोग किया जाता है जिसे Absinthe कहा जाता है
प्रमाणपत्र प्राप्त करें
प्रमाणपत्र से स्थिति आरंभ करें (NACInit)
विभिन्न उपकरण-विशेष डेटा का उपयोग करता है (उदा. IOKit के माध्यम से सीरियल नंबर)
सत्र कुंजी प्राप्त करें
सत्र स्थापित करें (NACKeyEstablishment)
अनुरोध करें
डेटा { "action": "RequestProfileConfiguration", "sn": "" } भेजने के लिए https://iprofiles.apple.com/macProfile पोस्ट करें
JSON पेलोड को Absinthe (NACSign) का उपयोग करके एन्क्रिप्ट किया जाता है
सभी अनुरोध HTTPs के माध्यम से, इनबिल्ट-रूट प्रमाणपत्रों का उपयोग किया जाता है
प्रतिक्रिया एक JSON शब्दकोश है जिसमें कुछ महत्वपूर्ण डेटा हैं:
url: सक्रियण प्रोफ़ाइल के लिए MDM वेंडर होस्ट का URL
anchor-certs: विश्वसनीय एंकर के रूप में उपयोग किए जाने वाले DER प्रमाणपत्रों का एक सरणी
DEP प्रोफ़ाइल में प्रदान किए गए url पर अनुरोध भेजा जाता है।
यदि प्रदान किया गया है, तो एंकर प्रमाणपत्र का उपयोग विश्वसनीयता का मूल्यांकन किया जाता है।
याद दिलाना: DEP प्रोफ़ाइल की एंकर_सर्ट्स गुणधर्म
अनुरोध एक साधारण .plist है जिसमें उपकरण पहचान है
उदाहरण: UDID, OS संस्करण।
CMS-साइन किया गया, DER-एन्कोडेड
डिवाइस पहचान प्रमाणपत्र (APNS से) से साइन किया गया है
प्रमाणपत्र श्रृंखला में समाप्त होने वाला एप्पल आईफोन डिवाइस सीए एक्सपायर्ड शामिल है
 (1) (2) (2) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1
