Ili kujifunza kuhusu macOS MDM angalia:

• https://www.youtube.com/watch?v=ku8jZe-MHUU

• https://duo.com/labs/research/mdm-me-maybe

Misingi

Muhtasari wa MDM (Usimamizi wa Kifaa cha Simu)

Usimamizi wa Kifaa cha Simu (MDM) hutumiwa kusimamia vifaa vya mwisho kama simu za mkononi, kompyuta ndogo, na vidonge. Hasa kwa majukwaa ya Apple (iOS, macOS, tvOS), inajumuisha seti ya huduma maalum, APIs, na mazoea. Uendeshaji wa MDM unategemea seva ya MDM inayofaa, ambayo inapatikana kibiashara au chanzo wazi, na lazima iweze kusaidia Itifaki ya MDM. Mambo muhimu ni pamoja na:

• Udhibiti uliogawanywa juu ya vifaa.

• Kuategemea seva ya MDM inayofuata itifaki ya MDM.

• Uwezo wa seva ya MDM kutuma amri mbalimbali kwa vifaa, kwa mfano, kufuta data kijijini au usanidi wa ufungaji.

Misingi ya DEP (Programu ya Usajili wa Kifaa)

Programu ya Usajili wa Kifaa (DEP) inayotolewa na Apple inarahisisha ushirikishaji wa Usimamizi wa Kifaa cha Simu (MDM) kwa kufanikisha usanidi wa kugusa sifuri kwa vifaa vya iOS, macOS, na tvOS. DEP inaharakisha mchakato wa usajili, kuruhusu vifaa kuwa tayari mara tu kutoka kwenye sanduku, bila ushiriki mdogo wa mtumiaji au utawala. Mambo muhimu ni pamoja na:

• Inawezesha vifaa kujiandikisha kiotomatiki kwenye seva ya MDM iliyopangwa mapema baada ya kuanzishwa kwa mara ya kwanza.

• Hasa inafaa kwa vifaa vipya, lakini pia inafaa kwa vifaa vinavyopitia upya usanidi.

• Inarahisisha usanidi wa moja kwa moja, ikifanya vifaa kuwa tayari kwa matumizi ya shirika haraka.

Uzingatiaji wa Usalama

Ni muhimu kutambua kuwa urahisi wa usajili uliotolewa na DEP, ingawa ni faida, inaweza pia kuleta hatari za usalama. Ikiwa hatua za kinga hazitekelezwi ipasavyo kwa usajili wa MDM, wadukuzi wanaweza kutumia mchakato huu uliohaririwa kusajili kifaa chao kwenye seva ya MDM ya shirika, wakijifanya kuwa kifaa cha kampuni.

Misingi Ni nini SCEP (Itifaki ya Usajili Rahisi wa Cheti)?

• Itifaki ya zamani, iliyoanzishwa kabla ya TLS na HTTPS kuenea.

• Hutoa wateja njia iliyostandardi ya kutuma Ombi la Kusaini Cheti (CSR) kwa lengo la kupewa cheti. Mteja atamwomba serveri kumpa cheti kilichosainiwa.

Ni nini Mipangilio ya Usanidi (inayoitwa mobileconfigs)?

• Njia rasmi ya Apple ya kuweka/kutekeleza usanidi wa mfumo.

• Muundo wa faili unaweza kuwa na malipo mengi.

• Kulingana na orodha za mali (aina ya XML).

• "inaweza kusainiwa na kusimbwa ili kuthibitisha asili yao, kuhakikisha usahihi wao, na kulinda maudhui yao." Misingi — Ukurasa 70, Mwongozo wa Usalama wa iOS, Januari 2018.

Itifaki

MDM

• Mchanganyiko wa APNs (seva za Apple) + RESTful API (seva za wauzaji wa MDM)

• Mawasiliano hufanyika kati ya kifaa na seva inayohusiana na bidhaa ya usimamizi wa kifaa

• Amri zinazotolewa kutoka kwa MDM kwenda kwa kifaa katika maandishi ya plist yaliyoorodheshwa

• Yote juu ya HTTPS. Seva za MDM zinaweza kuwa (na kawaida) zimefungwa.

• Apple inatoa cheti cha APNs kwa muuzaji wa MDM kwa uthibitisho

DEP

• API 3: 1 kwa wauzaji, 1 kwa wauzaji wa MDM, 1 kwa kitambulisho cha kifaa (hakijaelezwa):

• Inayoitwa API ya "huduma ya wingu" ya DEP. Hii hutumiwa na seva za MDM kuunganisha maelezo ya DEP na vifaa maalum.

• API ya DEP inayotumiwa na Wauzaji wa Kitaalam wa Apple kujiandikisha vifaa, kuchunguza hali ya usajili, na kuchunguza hali ya shughuli.

• API ya kibinafsi ya DEP isiyoelezwa. Hutumiwa na Vifaa vya Apple kuomba maelezo yao ya DEP. Kwenye macOS, binary ya cloudconfigurationd inahusika na mawasiliano kupitia API hii.

• Zaidi ya kisasa na inategemea JSON (tofauti na plist)

• Apple inatoa kitambulisho cha OAuth kwa muuzaji wa MDM

API ya "huduma ya wingu" ya DEP

• RESTful

• kusawazisha rekodi za vifaa kutoka Apple kwenda kwa seva ya MDM

• kusawazisha "maelezo ya DEP" kwa Apple kutoka kwa seva ya MDM (yaliyotolewa na Apple kwa kifaa baadaye)

• Mwakilishi wa DEP ina:

• URL ya seva ya muuzaji wa MDM

• Vyeti vya kuaminika zaidi kwa URL ya seva (pinning hiari)

• Mipangilio ya ziada (k.m. ni skrini zipi za kupita katika Msaidizi wa Usanidi)

Nambari ya Serial

Vifaa vya Apple vilivyotengenezwa baada ya 2010 kwa ujumla vina nambari za serial zenye herufi na tarakimu 12, na herufi tatu za kwanza zikiwakilisha eneo la utengenezaji, zifuatazo mbili zikionyesha mwaka na wiki ya utengenezaji, tarakimu tatu zinazotoa kitambulisho cha kipekee, na tarakimu nne za mwisho zikionyesha namba ya mfano.

Hatua za usajili na usimamizi

1. Uundaji wa rekodi ya kifaa (Muuza, Apple): Rekodi ya kifaa kipya inaundwa

2. Kugawanya rekodi ya kifaa (Mteja): Kifaa kinapewa seva ya MDM

3. Kusawazisha rekodi ya kifaa (Muuzaji wa MDM): MDM inasawazisha rekodi za kifaa na kusukuma maelezo ya DEP kwa Apple

4. Ukaguzi wa DEP (Kifaa): Kifaa kinapata maelezo yake ya DEP

5. Upatikanaji wa maelezo (Kifaa)

6. Usanidi wa maelezo (Kifaa) a. pamoja na malipo ya MDM, SCEP na CA ya msingi

7. Kutolewa kwa amri ya MDM (Kifaa)

Faili /Library/Developer/CommandLineTools/SDKs/MacOSX10.15.sdk/System/Library/PrivateFrameworks/ConfigurationProfiles.framework/ConfigurationProfiles.tbd inaorodhesha kazi ambazo zinaweza kuchukuliwa kama "hatua" za kiwango cha juu za mchakato wa usajili.

Hatua ya 4: Ukaguzi wa DEP - Kupata Rekodi ya Uanzishaji

Sehemu hii ya mchakato hutokea wakati mtumiaji anapowasha Mac kwa mara ya kwanza (au baada ya kufuta kabisa)

au wakati wa kutekeleza sudo profiles show -type enrollment

• Thibitisha iwapo kifaa kimeamilishwa kwa DEP

• Rekodi ya Uanzishaji ni jina la ndani la DEP "profile"

• Inaanza mara tu kifaa kinapounganishwa na Mtandao

• Inaendeshwa na CPFetchActivationRecord

• Imetekelezwa na cloudconfigurationd kupitia XPC. "Msaidizi wa Usanidi" (wakati kifaa kinawashwa kwa mara ya kwanza) au amri ya profiles itawasiliana na kifaa hiki ili kupata rekodi ya uanzishaji.

• LaunchDaemon (huendeshwa kila wakati kama root)

Inafuata hatua chache kupata Rekodi ya Uanzishaji iliyotekelezwa na MCTeslaConfigurationFetcher. Mchakato huu hutumia encryption inayoitwa Absinthe

1. Pata cheti

2. PATA https://iprofiles.apple.com/resource/certificate.cer

3. Anzisha hali kutoka kwa cheti (NACInit)

4. Hutumia data mbalimbali maalum ya kifaa (yaani Namba ya Serial kupitia IOKit)

5. Pata ufunguo wa kikao

6. POST https://iprofiles.apple.com/session

7. Thibitisha kikao (NACKeyEstablishment)

8. Fanya ombi

9. POST kwa https://iprofiles.apple.com/macProfile ukituma data { "action": "RequestProfileConfiguration", "sn": "" }

10. Mzigo wa JSON umefichwa kwa kutumia Absinthe (NACSign)

11. Maombi yote kupitia HTTPs, vyeti vya mizizi vilivyojengwa hutumiwa

Jibu ni kamusi ya JSON na data muhimu kama:

• url: URL ya mwenyeji wa muuzaji wa MDM kwa wasifu wa uanzishaji

• anchor-certs: Safu ya vyeti vya DER vinavyotumiwa kama mizizi ya kuaminiwa

Hatua ya 5: Upatikanaji wa Wasifu

• Ombi linalotumwa kwa url iliyotolewa katika wasifu wa DEP.

• Vyeti vya mizizi hutumiwa kwa kutathmini uaminifu ikiwa imepatikana.

• Kumbusho: mali ya anchor_certs ya wasifu wa DEP

• Ombi ni .plist rahisi na utambulisho wa kifaa

• Mifano: UDID, toleo la OS.

• CMS-iliyosainiwa, DER-iliyofungwa

• Imesainiwa kwa kutumia cheti cha utambulisho wa kifaa (kutoka APNS)

• Mnyororo wa vyeti unajumuisha Apple iPhone Device CA iliyomalizika muda

Hatua ya 6: Usanidi wa Wasifu

• Mara baada ya kupatikana, wasifu huo hujumuishwa kwenye mfumo

• Hatua hii huanza moja kwa moja (ikiwa ni katika msaidizi wa usanidi)

• Inaendeshwa na CPInstallActivationProfile

• Imetekelezwa na mdmclient kupitia XPC

• LaunchDaemon (kama root) au LaunchAgent (kama mtumiaji), kulingana na muktadha

• Profaili za usanidi zina malipo mengi ya kusakinisha

• Mfumo una usanidi wa msingi wa programu-jalizi kwa kusakinisha profaili

• Kila aina ya malipo inahusishwa na programu-jalizi

• Inaweza kuwa XPC (katika mfumo) au Cocoa ya kawaida (katika ManagedClient.app)

• Mfano:

• Malipo ya Cheti hutumia CertificateService.xpc

Kawaida, wasifu wa uanzishaji uliotolewa na muuzaji wa MDM utajumuisha malipo yafuatayo:

• com.apple.mdm: kwa kujiandikisha kifaa kwa MDM

• com.apple.security.scep: kutoa kwa usalama cheti cha mteja kwa kifaa.

• com.apple.security.pem: kwa kusakinisha vyeti vya CA vinavyoaminika kwenye Kitufe cha Mfumo wa kifaa.

• Kusakinisha malipo ya MDM sawa na ukaguzi wa MDM katika nyaraka

• Malipo yana mali muhimu:

• URL ya Ukaguzi wa MDM (CheckInURL)

• URL ya Uchunguzi wa Amri ya MDM (ServerURL) + mada ya APNs kuchochea

• Ili kusakinisha malipo ya MDM, ombi hutumwa kwa CheckInURL

• Imetekelezwa katika mdmclient

• Malipo ya MDM yanaweza kutegemea malipo mengine

• Inaruhusu maombi kuambatishwa kwa vyeti maalum:

• Mali: CheckInURLPinningCertificateUUIDs

• Mali: ServerURLPinningCertificateUUIDs

• Inayotolewa kupitia malipo ya PEM

• Inaruhusu kifaa kupewa cheti cha utambulisho:

• Mali: IdentityCertificateUUID

• Inayotolewa kupitia malipo ya SCEP

Hatua ya 7: Kusikiliza Amri za MDM

• Baada ya ukaguzi wa MDM kukamilika, muuzaji anaweza kutoa arifa za itifaki kwa kutumia APNs

• Baada ya kupokea, inashughulikiwa na mdmclient

• Ili kuuliza amri za MDM, ombi hutumwa kwa ServerURL

• Inatumia malipo ya MDM yaliyosakinishwa hapo awali:

• ServerURLPinningCertificateUUIDs kwa kuambatisha ombi

• IdentityCertificateUUID kwa cheti cha mteja cha TLS

Mashambulizi

Kujiandikisha Kifaa katika Mashirika Mengine

Kama ilivyotajwa awali, ili kujaribu kujiandikisha kifaa katika shirika inahitajika Namba ya Serial inayomilikiwa na Shirika hilo. Mara baada ya kifaa kujiandikisha, mashirika kadhaa yataweza kusakinisha data nyeti kwenye kifaa kipya: vyeti, programu, nywila za WiFi, mazingira ya VPN na kadhalika. Hivyo, hii inaweza kuwa njia hatari kwa wachomaji ikiwa mchakato wa usajili haujalindwa kwa usahihi: