Gerenciamento de Mac sem permissão e segurança

2

Eu estava passando por alguma literatura sobre o gerenciamento de laptops do OS X e fiz algumas perguntas sobre cenários de uso ao usar os MacBooks. Perguntei a alguém mais experiente do que se o meu Mac fosse possível se eu visitasse outro site para uma conferência ou se eu acessasse uma rede wifi em um café local com políticas de um OS X Server com grupo de trabalho gerente (seja legítimo para o site ou alguém executando uma versão do OS X Server em hardware que ele escondeu em algum lugar na rede), que aparentemente poderia ser configurado para fazer coisas como limitar meu acesso ao Finder ou impor outro gerenciamento inteligente recursos.

Ele disse que é realmente possível que aconteça como seria atribuído através do servidor DHCP e o servidor OS X assumiria que meu Mac é um convidado e poderia distribuir restrições e, aparentemente, meu Mac aceitará sem problemas me ou dando-me uma opção, ao contrário do Windows, que eu acredito que precisaria ser associado a um domínio antes de se tornar "gerenciado" pelo Active Directory.

Então, minha pergunta é como administradores de rede e administradores de sistemas com usuários viajando com MacBooks, existe uma maneira de proteger razoavelmente seus usuários de terem suas máquinas seqüestradas sem recorrer a apenas desligar a rede o tempo todo? Ou isso não é muito um risco de segurança? Que ameaça isso representa para os guerreiros da estrada em seus negócios?

    
por Bart Silverstrim 15.04.2010 / 04:41

1 resposta

0

Seu amigo está potencialmente correto:

Se o seu Mac estiver configurado para ligar para obter seu caminho de pesquisa de diretório automaticamente, ele poderá se vincular a um servidor LDAP fornecido por DHCP. O perigo aqui é que root é root, o MacBook não percebe que não é a conta root de seu diretório LDAP "doméstico" e o trata felizmente como se fosse.

Se você definir o caminho de pesquisa de diretório como customizado, ele se ligará apenas aos servidores LDAP que você especificou e evitará totalmente o problema.

Além disso, como você mencionou, se você não precisa de LDAP - por exemplo, se você autenticar em um domínio do Windows AD ou apenas tiver uma conta local, você pode desmarcar a caixa LDAP v3.

Consulte o capítulo 2 do Guia de administração do OpenDirectory para obter mais informações.

    
por 15.04.2010 / 05:36