Blocage de l'App Store d'Apple OS X

Étant les méchants suzerains de l'informatique d'entreprise, nous devons bloquer le nouvel OS X App Store. Comme vous le savez peut-être, la mise à jour 10.6.6 installe l'application App Store qui permet aux utilisateurs de télécharger et d'installer des applications sans privilèges d'administrateur.

Quelques suggestions:

• Ne pas mettre à jour vers 10.6.6+

• Utilisez le contrôle parental

• Vraisemblablement une politique OD (si vous avez un serveur OD que nous n'avons pas)

• Bloquer l'App Store par DNS ou proxy

Ne pas mettre à jour vers 10.6.6+ n'est pas vraiment une solution à long terme car il contient des correctifs de sécurité et de nouveaux Mac seront de toute façon fournis avec. Le blocage de l'App Store au niveau du réseau ne résout pas les utilisateurs d'ordinateurs portables.

Idéalement, une préférence système simple ou l'édition d'un plist qui peut être poussé par ARD serait la meilleure solution.

Veuillez noter que la question n'est pas de savoir si nous devons bloquer l'App Store, mais comment nous pouvons bloquer l'App Store.

Comme mise à jour rapide, il semble que si vous n'utilisez pas de compte avec des privilèges d'administrateur, vous devrez peut-être fournir des informations d'identification d'administrateur pour la première fois que vous téléchargez une application pour l'installer, ce qui peut résoudre une partie du problème. Comportement très différent de l'élévation normale des privilèges sous OS X qui demandent aux administrateurs comme aux non-administrateurs.

Si ces ordinateurs ne sont pas connectés à un serveur OpenDirectory (la façon préférée de le faire est de restreindre le lancement de l'application via Workgroup Manager), vous pouvez définir les autorisations sur l'application App Store pour ne pas autoriser les utilisateurs à l'exécuter:

chmod -R 000 /Applications/AppStore.app 

Cela empêche quiconque de lancer l'application. Il peut être poussé via ARD, peut être ajouté à votre image de base et peut être défini dans un script de démarrage.

Je n'ai aucune idée de ce que cela fera aux autres applications exécutées sur le système, vous devez donc le tester en premier.

L'iTunes Store se connecte sur les ports HTTP (S) standard, 80 et 443, donc je suppose que le Mac App Store fait de même.

Voici l'article de la base de connaissances Apple sur le blocage de l'iTunes Store par URL: http://support.apple.com/kb/HT3303

Ça dit

Pour empêcher les ordinateurs clients de se connecter à l'iTunes Store, les administrateurs réseau peuvent bloquer l'hôte Internet «itunes.apple.com».

D'un rapide tcpdump, il semble que l'App Store utilise la même URL ... pour l'instant.

Exécutez un renifleur de paquets. Exécutez App Store. Découvrez quelles sont les adresses utilisées par l'App Store d'Apple. Bloquer tous les entrants / sortants sur cette adresse, sur ce port, sur votre pare-feu de périmètre.

Vous pouvez également modifier votre schéma Active Directory afin qu'il contienne des informations supplémentaires qui émulent MCX (similaire aux stratégies de groupe). Vous pouvez ensuite vous connecter à votre serveur AD à partir de Workgroup Manager sur un Mac, importer des utilisateurs / groupes AD en tant qu'enregistrements augmentés et bloquer l'application. Il faut beaucoup de travail pour bloquer une chose, mais à long terme, cela signifie que vous avez encore plus de contrôle sur vos macs.

Voici un lien vers un webinaire Apple qui vous guide à travers les étapes et explique (mieux et plus en détail) ce dont je parlais ci-dessus:

http://seminars.apple.com/seminarsonline/modifying/apple/index.html?s=301

et voici un PDF (je ne sais pas s'il est récent)

http://www.sticts.ch/MacWindows/Modifying_the_Active_Directory_Schema.pdf