macOS MDM
macOS MDM के बारे में जानने के लिए देखें:
मूलभूत
MDM (मोबाइल डिवाइस प्रबंधन) अवलोकन
मोबाइल डिवाइस प्रबंधन (MDM) का उपयोग स्मार्टफोन, लैपटॉप और टैबलेट जैसे विभिन्न अंतयज डिवाइसों का प्रबंधन करने के लिए किया जाता है। विशेष रूप से Apple के प्लेटफॉर्मों (iOS, macOS, tvOS) के लिए, इसमें विशेषताएँ, एपीआई और अभ्यास शामिल हैं। MDM का संचालन एक संगत MDM सर्वर पर निर्भर करता है, जो व्यापार में उपलब्ध या ओपन-सोर्स हो सकता है, और MDM Protocol का समर्थन करना चाहिए। मुख्य बिंदुओं में शामिल हैं:
डिवाइसों पर केंद्रीकृत नियंत्रण।
MDM प्रोटोकॉल का पालन करने वाले MDM सर्वर पर निर्भरता।
MDM सर्वर की क्षमता विभिन्न कमांडों को डिवाइसों में भेजने के लिए, उदाहरण के लिए, रिमोट डेटा मिटाना या कॉन्फ़िगरेशन स्थापना।
DEP (डिवाइस एनरोलमेंट प्रोग्राम) की मूलभूत जानकारी
Apple द्वारा प्रदान किया गया डिवाइस एनरोलमेंट प्रोग्राम (DEP) iOS, macOS और tvOS डिवाइसों के लिए जीर्ण-स्पर्श कॉन्फ़िगरेशन को सुगम बनाता है और मोबाइल डिवाइस प्रबंधन (MDM) का समावेश करता है। DEP एनरोलमेंट प्रक्रिया को स्वचालित करता है, जिससे डिवाइसों को बॉक्स से निकालते ही सक्रिय किया जा सकता है, न्यूनतम उपयोगकर्ता या प्रशासनिक हस्तक्षेप के साथ। महत्वपूर्ण पहलुओं में शामिल हैं:
डिवाइसों को प्रारंभिक सक्रियण के दौरान पूर्व-निर्धारित MDM सर्वर के साथ स्वत: पंजीकरण करने की क्षमता।
मुख्य रूप से नए डिवाइसों के लिए लाभकारी, लेकिन पुनर्कॉन्फ़िगरेशन हो रहे डिवाइसों के लिए भी लागू।
एक सरल सेटअप को सुविधाजनक बनाता है, जिससे डिवाइस त्वरित रूप से संगठनात्मक उपयोग के लिए तैयार हो जाते हैं।
सुरक्षा विचार
DEP द्वारा प्रदान की गई पंजीकरण की सुविधा, जो लाभकारी है, सुरक्षा जोखिम भी उठा सकती है। यदि MDM पंजीकरण के लिए उचित सुरक्षा उपाय सम्मिलित नहीं किए गए हैं, तो हमलावर इस सुविधाजनक प्रक्रिया का श्रेष्ठीकरण करके अपने डिवाइस को संगठन के MDM सर्वर पर पंजीकृत कर सकते हैं, कॉर्पोरेट डिवाइस के रूप में मुख्यतः छलावा करते हुए।
सुरक्षा चेतावनी: सरलित DEP पंजीकरण संगठन के MDM सर्वर पर अनधिकृत डिवाइस पंजीकरण की संभावना है यदि उचित सुरक्षा उपाय स्थापित नहीं हैं।
SCEP (सिम्पल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल) क्या है?
एक उत्कृष्ट पुराना प्रोटोकॉल, TLS और HTTPS सार्वजनिक नहीं थे जब यह बनाया गया था।
ग्राहकों को प्रमाणित करने के लिए सर्टिफिकेट प्राप्त करने के उद्देश्य से सर्टिफिकेट साइनिंग अनुरोध (CSR) भेजने का एक मानकीकृत तरीका देता है। ग्राहक सर्वर से साइन किए गए सर्टिफिकेट के लिए सर्वर से अनुरोध करेगा।
कॉन्फ़िगरेशन प्रोफाइल क्या हैं (जिसे मोबाइलकॉन्फिग्स कहा जाता है)?
Apple का आधिकारिक तरीका सिस्टम कॉन्फ़िगरेशन सेट करने/लागू करने का।
फ़ाइल प्रारूप जिसमें कई payloads हो सकते हैं।
प्रॉपर्टी सूचियों पर आधारित है (वह XML प्रकार का)।
"उनकी मूल की पुष्टि करने, उनकी पूर्णता सुनिश्चित करने और उनकी सामग्री की सुरक्षा करने के लिए साइन और एन्क्रिप्ट किया जा सकता है।" मूलभूत — पृष्ठ 70, iOS सुरक्षा गाइड, जनवरी 2018।
प्रोटोकॉल
MDM
APNs (Apple सर्वर) + RESTful API (MDM वेंडर सर्वर) का संयोजन
संचार एक डिवाइस और एक डिवाइस प्रबंधन उत्पाद से संबंधित सर्वर के बीच होता है
कमांड MDM से डिवाइस में प्लिस्ट-कोडित शब्दकोशों में पहुंचाए जाते हैं
सभी ओवर HTTPS। MDM सर्वर (और सामान्यत: पिन किए जाते हैं) हो सकते हैं।
Apple MDM वेंडर को प्रमाणीकरण के लिए एक APNs सर्टिफिकेट प्रदान करता है
DEP
3 एपीआई: 1 रिसेलरों के लिए, 1 MDM वेंडरों के लिए, 1 डिवाइस पहचान के लिए (अनदस्तावेजित):
उसे जिसे DEP "क्लाउड सेवा" एपीआई कहा जाता है। इसका उपयोग MDM सर्वरों द्वारा DEP प्रोफाइलों को विशिष्ट डिवाइसों के साथ संबंधित करने के लिए किया जाता है।
एप्पल अधिकृत रिसेलरों द्वारा उपयोग किया जाने वाला DEP एपीआई डिवाइसों को नामांकित करने, नामांकन स्थिति की जांच करने और लेन-देन स्थिति की जांच करने के लिए।
अनदस्तावेजित निजी DEP एपीआई। इसका उपयोग एप्पल डिवाइसों द्वारा उनके DEP प्रोफ
चरण 4: DEP चेक-इन - सक्रियण रिकॉर्ड प्राप्त करना
इस प्रक्रिया का यह हिस्सा जब एक उपयोगकर्ता पहली बार Mac को बूट करता है (या पूरी तरह से साफ करने के बाद) होता है
या sudo profiles show -type enrollment को निष्पादित करते समय
यह निर्धारित करें कि उपकरण DEP सक्षम है
सक्रियण रिकॉर्ड DEP “प्रोफ़ाइल” के लिए आंतरिक नाम है
उपकरण को इंटरनेट से कनेक्ट करते ही प्रारंभ होता है
CPFetchActivationRecordद्वारा चलाया जाता हैcloudconfigurationdद्वारा XPC के माध्यम से कार्यान्वित किया गया है। "सेटअप सहायक" (जब उपकरण पहली बार बूट होता है) याprofilesकमांड इस डेमन से सक्रियण रिकॉर्ड प्राप्त करने के लिए संपर्क करेगा।लॉन्चडेमॉन (हमेशा रूट के रूप में चलता है)
यह MCTeslaConfigurationFetcher द्वारा किए जाने वाले कुछ कदमों का पालन करता है। इस प्रक्रिया में एक एन्क्रिप्शन उपयोग किया जाता है जिसे Absinthe कहा जाता है
प्रमाणपत्र प्राप्त करें
प्रमाणपत्र से स्थिति आरंभ करें (
NACInit)विभिन्न उपकरण-विशेष डेटा का उपयोग करता है (उदा.
IOKitके माध्यम से सीरियल नंबर)सत्र कुंजी प्राप्त करें
सत्र स्थापित करें (
NACKeyEstablishment)अनुरोध करें
डेटा
{ "action": "RequestProfileConfiguration", "sn": "" }भेजने के लिए https://iprofiles.apple.com/macProfile पोस्ट करेंJSON पेलोड को Absinthe (
NACSign) का उपयोग करके एन्क्रिप्ट किया जाता हैसभी अनुरोध HTTPs के माध्यम से, इनबिल्ट-रूट प्रमाणपत्रों का उपयोग किया जाता है
प्रतिक्रिया एक JSON शब्दकोश है जिसमें कुछ महत्वपूर्ण डेटा हैं:
url: सक्रियण प्रोफ़ाइल के लिए MDM वेंडर होस्ट का URL
anchor-certs: विश्वसनीय एंकर के रूप में उपयोग किए जाने वाले DER प्रमाणपत्रों का एक सरणी
चरण 5: प्रोफ़ाइल प्राप्ति
DEP प्रोफ़ाइल में प्रदान किए गए url पर अनुरोध भेजा जाता है।
यदि प्रदान किया गया है, तो एंकर प्रमाणपत्र का उपयोग विश्वसनीयता का मूल्यांकन किया जाता है।
याद दिलाना: DEP प्रोफ़ाइल की एंकर_सर्ट्स गुणधर्म
अनुरोध एक साधारण .plist है जिसमें उपकरण पहचान है
उदाहरण: UDID, OS संस्करण।
CMS-साइन किया गया, DER-एन्कोडेड
डिवाइस पहचान प्रमाणपत्र (APNS से) से साइन किया गया है
प्रमाणपत्र श्रृंखला में समाप्त होने वाला एप्पल आईफोन डिवाइस सीए एक्सपायर्ड शामिल है
 (1) (2) (2) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1
Last updated
