AppleがmacOS 10.13 High Sierraでサードパーティ製カーネル拡張KEXTに新しいセキュリティ機能「Secure Kernel Extension Loading(SKEL)」が追加されるのに伴い、システム管理者向けにサポートドキュメントを公開しています。詳細は以下から。
Appleは現地時間2017年08月21日、既に開発者向けに公開していたmacOS 10.13 High Sierraでサードパーティ製カーネル拡張KEXTのロードを抑制する新しいセキュリティ機能「Secure Kernel Extension Loading(以下, SKEL)」について、High Sierraのリリース前にシステム管理者に周知させるため新たにサポートドキュメント”Prepare for changes to kernel extensions in macOS High Sierra“を公開しています。
If you’re a system administrator, use this information to prepare for changes to kernel extensions when you upgrade your business or education institution to macOS High Sierra.
Prepare for changes to kernel extensions in macOS High Sierra – Apple Support
Secure Kernel Extension Loadingとは?
SKELはAppleの証明書を持った開発者の署名がされたカーネル拡張(KEXT:Kernel Extensions)でも、初めてそのKEXTがロードされる場合はユーザーによる承認が必要になる機能で、これにユーザーが気づかず一度KEXTのロードをブロックしていますとKEXTを必要とするアプリが利用できず、
システム環境設定アプリの[セキュリティとプライバシー] → [一般]タブにある「許可」ボタン(30分表示)を押すまでそのKEXTのロードがブロックされ続けます。
SKELに備える
ただし、SKELはmacOS High Sierra前にMacにインストールされていたKEXTや、以前承認されたKEXTの置き換えについては承認無しで利用することが出来る他、エンタープライズ向けにはリカバリーモード+”spctl“コマンドやMDMを利用することによりSKELを無効にする方法があると記載されているので、システム管理者の方はチェックしてみて下さい。
Kernel extensions don’t require authorization if they:
- Were on the Mac before the upgrade to macOS High Sierra.
- Are replacing previously approved extensions.
Prepare for changes to kernel extensions in macOS High Sierra – Apple Support
コメント