Diyelim ki yeni bir bilgisayar almak için yerel Apple Store’a gittiniz ve kendinize yeni bir MacBook Pro satın aldınız. Bu bilgisayarın kurulumu yapılırken karşınıza Create Your Computer Account ekranı geldiğinde o ekrana girdiğiniz kullanıcı adı ve şifre, sizi o bilgisayardaki tek lokal Administrator kullanıcı yapar.
Kişisel bilgisayarınızı, o bilgisayardaki tek yetkili kullanıcı olarak sizin kullanmanız ve bunu da Administrator yetkili kullanıcınız ile yapmanız genel olarak pek sorun oluşturmaz.
Ama iş kurumsal kullanıma gelince birçok şirket bunu tercih etmez. Şirketler, çalışanlarının kullandıkları bilgisayarları çeşitli merkezi yönetim sistemleri ile yönetirler. Ve kullanıcıların Administrator yetkileri ile bilgisayarlarını kullanmaları, sistem yöneticilerinin uygulayacağı politikalar ile çelişkili durumlar yaratabilir. Bu nedenle kurumsal şirketlerde genellikle Standart kullanıcı seçeneği tercih edilir. Çünkü tüm kullanıcıların Standart User yetkisinde olması kurumsal olarak kullanılan bilgisayarların ve içindeki verilerinin güvenliği için önemlidir.
Standart yetkili kullanıcılar;
- Terminal üzerinde sudo ile başlayan komutları kullanamazlar
- Birçok önemli sistem tercihi ayarını değiştiremezler
- .pkg olarak bulunan ve Installer uygulamasının kullanılmasını gerektiren uygulamaları yükleyemezler
- Filevault (tam disk şifreleme) açık olan bilgisayarlarda Recovery Partition üzerinde herhangi bir işlem yapamazlar
- Yeni kullanıcı ekleyemez ve kullanıcı silemezler.
Bu liste daha da uzatılabilir. Bütün bunlar tabi ki güvenlik ve gizlilik için çok önemli detaylardır. Ama diğer taraftan bazı şirketler de bu yola girmek yerine kullanıcılarını biraz daha özgür bırakmayı tercih edebilirler. Ve kullanıcıların daha rahat olabilmeleri adına onları Administrator olarak bırakabilirler.
Yönetilen bir ortamda kullanıcıların Administrator olmaları, onların kendi bilgisayarlarını tıpkı bir son kullanıcı gibi kullanabilecekleri anlamına gelmiyor. Eğer şirket bir MDM (Mobile Device Management) ürünü kullanıyorsa Administrator kullanıcıları da çeşitli kilit konularda kısıtlayabileceği geniş bir yelpaze bulunur. Bu yazımızda bu kısıtlamalar arasından sadece uygulama yüklemeyi ele alacağız.
Peki nasıl?
Bir Admin kullanıcının bilgisayara AppStore üzerinden veya herhangi bir yerden uygulama yüklemesini engelleyebilirsiniz.
Bu işlem temel olarak sırtını Apple’ın Gatekeeper teknolojisine dayıyor. Bunu küçük bir örnek ile özetleyelim. Herhangi bir merkezi yönetim sistemi ile yönetilmeyen kişisel bilgisayarınızda bile Privacy & Security seçenekleri arasında bulunan Allow Applications From seçeneğini sadece AppStore olarak değiştirecek olursanız, örneğin Google Chromeweb tarayıcıyı bilgisayarınıza yükleyemezsiniz. Çünkü Chrome, AppStore’dan değil, Google’ın web sitesi üzerinden indirebildiğiniz bir uygulamadır. googlechrome.dmg dosyasını bilgisayarınıza indirebilirsiniz ancak indirilmiş .dmgdosyasını veya onun içinden çıkarılmış olan Google Chrome.app uygulamasını açamazsınız. Karşınıza şunun gibi bir uyarı gelir.
MDM ile Neler Yapabiliriz?
Bunun MDM implementasyonuna için, kullandığınız MDM’de Configuration Profile’lar arasında Privacy & Securitybölümünü veya Gatekeeper ayarlarını inceleyebilirsiniz. Aşağıda Jamf Pro (v11.11.2) için ve Kandji (November 2024 release) için yapılan ayarları görebilirsiniz.
Burada her iki ekran görüntüsünde de iki ayrı ayar yapılmış durumda;
- İzin verilen uygulamalar sadece AppStore ile sınırlandırılmış
- Admin yetkisi ile Gatekeeper ayarlarının geçici olarak bypass edilebilmesi engellenmiş
Bu koşulda bir kullanıcı Admin dahi olsa AppStore dışında herhangi bir kaynaktan uygulama yükleyemez duruma getirilmiş oluyor. Eğer AppStore’dan da uygulama yükleyebilmenin önünü kesmek istiyorsanız Privacy & Security ve Gatekeeper ayarının dışında ikinci bir kısıtlama daha uygulamanız gerekecektir.
Yukarıda Jamf Pro ve Kandji’den alınmış ekran görüntüleri aynı kullanıcının AppStore erişimini de kısıtlıyor.
Bu ayarlar ile birlikte kullanıcı Gatekeeper ile önce tek uygulama yükleme kaynağı olarak AppStore’a yönlendiriliyor. AppStore erişiminin kapatılması ile buradan da bir uygulama yükleyemez konuma geçmiş oluyor.
