macOS MDM
Last updated
Last updated
Jifunze na zoezi la Udukuzi wa AWS:Mafunzo ya HackTricks ya Mtaalam wa Timu Nyekundu ya AWS (ARTE) Jifunze na zoezi la Udukuzi wa GCP: Mafunzo ya HackTricks ya Mtaalam wa Timu Nyekundu ya GCP (GRTE)
Ili kujifunza kuhusu macOS MDM angalia:
Usimamizi wa Kifaa cha Simu (MDM) hutumiwa kusimamia vifaa vya watumiaji mbalimbali kama simu za mkononi, kompyuta ndogo, na vidonge. Hasa kwa majukwaa ya Apple (iOS, macOS, tvOS), inajumuisha seti ya huduma maalum, APIs, na mazoea. Uendeshaji wa MDM unategemea seva inayofaa ya MDM, ambayo inapatikana kibiashara au chanzo wazi, na lazima iweze kusaidia Itifaki ya MDM. Mambo muhimu ni pamoja na:
Udhibiti uliogawanywa wa vifaa.
Kutegemea kwa seva ya MDM inayofuata itifaki ya MDM.
Uwezo wa seva ya MDM kutuma amri mbalimbali kwa vifaa, kwa mfano, kufuta data kijijini au usakinishaji wa usanidi.
Programu ya Usajili wa Kifaa (DEP) inayotolewa na Apple inasaidia ushirikiano wa Usimamizi wa Kifaa cha Simu (MDM) kwa kurahisisha usanidi wa sifuri kwa vifaa vya iOS, macOS, na tvOS. DEP inasimamia mchakato wa usajili kiotomatiki, kuruhusu vifaa kuwa tayari kutumika mara tu baada ya kufunguliwa, bila kuingilia kati kidogo kutoka kwa mtumiaji au msimamizi. Mambo muhimu ni pamoja na:
Inawezesha vifaa kujiandikisha kiotomatiki kwenye seva ya MDM iliyopangwa mapema baada ya kuanzishwa kwa mara ya kwanza.
Hasa inafaa kwa vifaa vipya, lakini pia inafaa kwa vifaa vinavyopitia upya usanidi.
Inarahisisha usanidi wa haraka, ikifanya vifaa kuwa tayari kutumika kwa haraka katika matumizi ya shirika.
Ni muhimu kutambua kuwa urahisi wa usajili uliotolewa na DEP, ingawa ni faida, inaweza pia kuleta hatari za usalama. Ikiwa hatua za kinga hazitekelezwi ipasavyo kwa usajili wa MDM, wadukuzi wanaweza kutumia mchakato huu uliohaririwa kusajili kifaa chao kwenye seva ya MDM ya shirika, wakijifanya kuwa kifaa cha kampuni.
Onyo la Usalama: Usajili rahisi wa DEP unaweza kuruhusu usajili usiohalali wa kifaa kwenye seva ya MDM ya shirika ikiwa hatua sahihi za kinga hazijawekwa.
Itifaki ya zamani kidogo, iliyoanzishwa kabla ya TLS na HTTPS kuenea.
Hutoa wateja njia iliyostandardi ya kutuma Ombi la Kusaini Cheti (CSR) kwa lengo la kupewa cheti. Mteja atamwomba serveri kumpa cheti kilichosainiwa.
Njia rasmi ya Apple ya kuweka/kutekeleza usanidi wa mfumo.
Muundo wa faili unaweza kuwa na malipo mengi.
Kulingana na orodha za mali (aina ya XML).
"inaweza kusainiwa na kusimbwa ili kuthibitisha asili yao, kuhakikisha usahihi wao, na kulinda maudhui yao." Msingi — Ukurasa 70, Mwongozo wa Usalama wa iOS, Januari 2018.
Mchanganyiko wa APNs (seva za Apple) + RESTful API (seva za muuzaji wa MDM)
Mawasiliano hufanyika kati ya kifaa na seva inayohusiana na bidhaa ya usimamizi wa kifaa
Amri zinazotolewa kutoka kwa MDM kwenda kwa kifaa katika orodha za plist zilizoelezwa
Yote kwa njia ya HTTPS. Seva za MDM zinaweza kuwa (na kawaida) zimefungwa.
Apple inatoa cheti cha APNs kwa muuzaji wa MDM kwa uthibitisho
3 APIs: 1 kwa wauzaji, 1 kwa wauzaji wa MDM, 1 kwa kitambulisho cha kifaa (hakijaelezwa):
Inayoitwa DEP "huduma ya wingu" API. Hii hutumiwa na seva za MDM kuunganisha maelezo ya DEP na vifaa maalum.
API ya DEP inayotumiwa na Wauzaji wa Kitaalam wa Apple kusajili vifaa, kuchunguza hali ya usajili, na kuchunguza hali ya shughuli.
API ya kibinafsi ya DEP isiyojulikana. Hutumiwa na Vifaa vya Apple kuomba maelezo yao ya DEP. Kwenye macOS, binary ya cloudconfigurationd
inahusika na mawasiliano kupitia API hii.
Ya kisasa zaidi na inategemea JSON (tofauti na plist)
Apple inatoa kitambulisho cha OAuth kwa muuzaji wa MDM
DEP "huduma ya wingu" API
RESTful
kusawazisha rekodi za vifaa kutoka Apple kwenda kwa seva ya MDM
kusawazisha "maelezo ya DEP" kwa Apple kutoka kwa seva ya MDM (yaliyotolewa na Apple kwa kifaa baadaye)
Mwakilishi wa DEP ina:
URL ya seva ya muuzaji wa MDM
Vyeti vya kuaminika zaidi kwa URL ya seva (pinning hiari)
Vipimo vingine (k.m. ni skrini zipi za kupuuza katika Msaidizi wa Usanidi)
Vifaa vya Apple vilivyotengenezwa baada ya 2010 kwa ujumla vina nambari za serial zenye herufi na tarakimu 12, na tarakimu tatu za kwanza zikiwakilisha eneo la utengenezaji, zifuatazo mbili zikionyesha mwaka na wiki ya utengenezaji, tarakimu tatu zinazotoa kitambulisho cha kipekee, na tarakimu nne za mwisho zikionyesha namba ya mfano.
Uundaji wa rekodi ya kifaa (Muuzaji, Apple): Rekodi ya kifaa kipya inaundwa
Uteuzi wa rekodi ya kifaa (Mteja): Kifaa kinapewa seva ya MDM
Ufunguo wa rekodi ya kifaa (Muuzaji wa MDM): MDM inasawazisha rekodi za kifaa na kusukuma maelezo ya DEP kwa Apple
Ukaguzi wa DEP (Kifaa): Kifaa kinapata maelezo yake ya DEP
Upatikanaji wa maelezo (Kifaa)
Usanidi wa maelezo (Kifaa) a. pamoja na malipo ya MDM, SCEP na CA ya msingi
Kutolewa kwa amri ya MDM (Kifaa)
Faili /Library/Developer/CommandLineTools/SDKs/MacOSX10.15.sdk/System/Library/PrivateFrameworks/ConfigurationProfiles.framework/ConfigurationProfiles.tbd
inaorodhesha kazi ambazo zinaweza kuchukuliwa kama "hatua" za kiwango cha juu za mchakato wa usajili.
Sehemu hii ya mchakato hutokea wakati mtumiaji anapowasha Mac kwa mara ya kwanza (au baada ya kufuta kabisa)
au wakati wa kutekeleza sudo profiles show -type enrollment
Thibitisha iwapo kifaa kimezimwa DEP
Rekodi ya Uanzishaji ni jina la ndani la DEP "profile"
Inaanza mara tu kifaa kinapounganishwa na Mtandao
Inaendeshwa na CPFetchActivationRecord
Imetekelezwa na cloudconfigurationd
kupitia XPC. "Msaidizi wa Usanidi" (wakati kifaa kinawashwa kwa mara ya kwanza) au amri ya profiles
itawasiliana na kifaa hiki ili kupata rekodi ya uanzishaji.
LaunchDaemon (huendeshwa daima kama root)
Inafuata hatua chache kupata Rekodi ya Uanzishaji iliyotekelezwa na MCTeslaConfigurationFetcher
. Mchakato huu hutumia encryption inayoitwa Absinthe
Pata cheti
Anzisha hali kutoka kwa cheti (NACInit
)
Hutumia data mbalimbali maalum ya kifaa (yaani Namba ya Serial kupitia IOKit
)
Pata ufunguo wa kikao
Thibitisha kikao (NACKeyEstablishment
)
Fanya ombi
TUMA kwa https://iprofiles.apple.com/macProfile ukituma data { "action": "RequestProfileConfiguration", "sn": "" }
Mzigo wa JSON umefichwa kwa kutumia Absinthe (NACSign
)
Maombi yote kupitia HTTPs, vyeti vya mizizi vilivyojengwa hutumiwa
Jibu ni orodha ya JSON yenye data muhimu kama:
url: URL ya mwenyeji wa muuzaji wa MDM kwa wasifu wa uanzishaji
anchor-certs: Safu ya vyeti vya DER vinavyotumiwa kama mizizi ya kuamini
Ombi hutumwa kwa url iliyotolewa katika wasifu wa DEP.
Vyeti vya mizizi hutumiwa kwa kutathmini uaminifu ikiwa imepatikana.
Kumbusho: mali ya anchor_certs ya wasifu wa DEP
Ombi ni .plist rahisi na kitambulisho cha kifaa
Mifano: UDID, toleo la OS.
CMS-iliyosainiwa, DER-iliyofungwa
Imesainiwa kwa kutumia cheti cha kitambulisho cha kifaa (kutoka APNS)
Mnyororo wa vyeti unajumuisha Apple iPhone Device CA iliyomalizika muda
Mara baada ya kupatikana, wasifu huo hujumuishwa kwenye mfumo
Hatua hii huanza moja kwa moja (ikiwa katika msaidizi wa usanidi)
Inaendeshwa na CPInstallActivationProfile
Imetekelezwa na mdmclient kupitia XPC
LaunchDaemon (kama root) au LaunchAgent (kama mtumiaji), kulingana na muktadha
Profaili za usanidi zina malipo mengi ya kusakinisha
Mfumo una usanidi wa msingi wa programu-jalizi kwa kusakinisha profaili
Kila aina ya malipo inahusishwa na programu-jalizi
Inaweza kuwa XPC (katika mfumo) au Cocoa ya kawaida (katika ManagedClient.app)
Mfano:
Malipo ya Cheti hutumia CertificateService.xpc
Kawaida, wasifu wa uanzishaji uliotolewa na muuzaji wa MDM utajumuisha malipo yafuatayo:
com.apple.mdm
: kwa kujiandikisha kifaa katika MDM
com.apple.security.scep
: kutoa kwa usalama cheti cha mteja kwa kifaa.
com.apple.security.pem
: kusakinisha vyeti vya CA vinavyoaminika kwa Kitufe cha Mfumo wa kifaa.
Kusakinisha malipo ya MDM sawa na MDM check-in katika nyaraka
Malipo yana mali muhimu:
URL ya MDM Check-In (CheckInURL
)
URL ya Uchunguzi wa Amri ya MDM (ServerURL
) + mada ya APNs kuchochea
Ili kusakinisha malipo ya MDM, ombi hutumwa kwa CheckInURL
Imetekelezwa katika mdmclient
Malipo ya MDM yanaweza kutegemea malipo mengine
Inaruhusu maombi kuambatishwa kwa vyeti maalum:
Mali: CheckInURLPinningCertificateUUIDs
Mali: ServerURLPinningCertificateUUIDs
Iliyotolewa kupitia malipo ya PEM
Inaruhusu kifaa kupewa cheti cha kitambulisho:
Mali: IdentityCertificateUUID
Iliyotolewa kupitia malipo ya SCEP
Baada ya ukaguzi wa MDM kukamilika, muuzaji anaweza kutoa arifa za itifaki za kutuma kwa kutumia APNs
Baada ya kupokea, inashughulikiwa na mdmclient
Ili kuuliza amri za MDM, ombi hutumwa kwa ServerURL
Inatumia malipo ya MDM yaliyosakinishwa hapo awali:
ServerURLPinningCertificateUUIDs
kwa kuambatisha ombi
IdentityCertificateUUID
kwa cheti cha mteja cha TLS
Kama ilivyotajwa awali, ili kujaribu kujiandikisha kifaa katika shirika inahitajika Namba ya Serial inayomilikiwa na Shirika hilo. Mara kifaa kinapojiandikisha, mashirika kadhaa yataweza kusakinisha data nyeti kwenye kifaa kipya: vyeti, programu, nywila za WiFi, mipangilio ya VPN na kadhalika. Hivyo, hii inaweza kuwa njia hatari kwa wachomaji ikiwa mchakato wa usajili haujalindwa kwa usahihi:
Jifunze & zoezi Udukuzi wa AWS:Mafunzo ya HackTricks AWS Red Team Expert (ARTE) Jifunze & zoezi Udukuzi wa GCP: Mafunzo ya HackTricks GCP Red Team Expert (GRTE)