Apple、macOS High Sierraで導入されるカーネル拡張KEXTの新しいセキュリティ「SKEL」についてシステム管理者向けにサポートドキュメントを公開。

スポンサーリンク

 AppleがmacOS 10.13 High Sierraでサードパーティ製カーネル拡張KEXTに新しいセキュリティ機能「Secure Kernel Extension Loading(SKEL)」が追加されるのに伴い、システム管理者向けにサポートドキュメントを公開しています。詳細は以下から。

macOS 10.13 High Sierraのインストーラーアイコン。

 Appleは現地時間2017年08月21日、既に開発者向けに公開していたmacOS 10.13 High Sierraでサードパーティ製カーネル拡張KEXTのロードを抑制する新しいセキュリティ機能「Secure Kernel Extension Loading(以下, SKEL)」について、High Sierraのリリース前にシステム管理者に周知させるため新たにサポートドキュメント”Prepare for changes to kernel extensions in macOS High Sierra“を公開しています。

Prepare for changes to kernel extensions in macOS High Sierra

If you’re a system administrator, use this information to prepare for changes to kernel extensions when you upgrade your business or education institution to macOS High Sierra.

Prepare for changes to kernel extensions in macOS High Sierra – Apple Support

Secure Kernel Extension Loadingとは?

 SKELはAppleの証明書を持った開発者の署名がされたカーネル拡張(KEXT:Kernel Extensions)でも、初めてそのKEXTがロードされる場合はユーザーによる承認が必要になる機能で、これにユーザーが気づかず一度KEXTのロードをブロックしていますとKEXTを必要とするアプリが利用できず、

Secure Kernel Extension Loadingの許可設定。

システム環境設定アプリの[セキュリティとプライバシー] → [一般]タブにある「許可」ボタン(30分表示)を押すまでそのKEXTのロードがブロックされ続けます

SKELに備える

 ただし、SKELはmacOS High Sierra前にMacにインストールされていたKEXTや、以前承認されたKEXTの置き換えについては承認無しで利用することが出来る他、エンタープライズ向けにはリカバリーモード+”spctl“コマンドやMDMを利用することによりSKELを無効にする方法があると記載されているので、システム管理者の方はチェックしてみて下さい。

macOS 10.13 High Sierraでアップデートされたspctlコマンド

Kernel extensions don’t require authorization if they:

  • Were on the Mac before the upgrade to macOS High Sierra.
  • Are replacing previously approved extensions.

Prepare for changes to kernel extensions in macOS High Sierra – Apple Support

SKELの有効/無効の設定はNVRAMのリセットにより元の状態(SKEL有効)に戻るそうです。