Installieren der Firmware Passwörter

·

Festlegen eines Firmware-Kennwort sollte ein Muss für Unternehmen und Institutionen, die ein gewisses Maß an Sicherheit erfordern. Die Gründe hierfür sollte ganz klar sein, so dass ich nicht auf diese erklären.

Es gibt ein paar Methoden, die ein Administrator das Firmware-Kennwort verwenden kann, bevor einem Benutzer gehandhabt wird einzurichten (DeployStudio ist die am häufigsten?) oder während der ersten Anmeldung des Benutzers mit einem ersten Boot Applescript mit einem einfachen GUI.

Die Methode, die ich erklären werde hier ist, wie das Passwort festgelegt durch einen einfachen Installer. Der Hauptvorteil dieser sein Vielseitigkeit.

Keine Raketenwissenschaft beteiligt grundsätzlich gehen wir einen Installer zu erstellen, die ein Bash-Skript ausgeführt und enthält eine Kopie von Apples binären setregproptool. ist keine Datei auf dem Computer als den Erhalt der Installer selbst installiert.

Lassen Sie uns in sie graben!

1st brauchen wir eine Kopie des setregproptool zu erhalten . Wir können diese leicht genug zu tun, wenn der Computer in dem Sie arbeiten, ist ein 10.7 oder 10.8 durch die Wiederherstellungs-Partition einbinden und von dort zu kopieren

Hier können Sie ein Verzeichnis erstellen, in dem wir die binäre Speicherung werden, die Skripte und die pkg

cd ; mkdir firmwareInstaller ; cd firmwareInstaller
diskutil mount Recovery HD
hdiutil attach -quiet /Volumes/Recovery HD/com.apple.recovery.boot/BaseSystem.dmg
cp /Volumes/Mac OS X Base System/Applications/Utilities/Firmware Password Utility.app/Contents/Resources/setregproptool .
hdiutil detach /Volumes/Mac OS X Base System/
diskutil unmount Recovery HD

Jetzt im Interesse Überprüfung der Dokumentation, welche Version Sie gerade bekommen und lesen Sie durch die verfügbaren Schalter

sudo ./setregproptool

Ich erhalte diese auf ein 10.8.2

setregproptool v 2.0 (9) Juni 20 2012

Erstellen Sie die beiden Skripte, ein das Firmware-Kennwort und das zweite zu ermöglichen, das gleiche zu deaktivieren. Ich empfehle Ihnen, den Installer und "Uninstaller" paarweise erstellen und immer die Versionsnummern übereinstimmen. Dies ist besonders wichtig, wenn Sie die Firmware-Passwörter in die Zukunft und Versionierung beginnt ändern müssen ein Thema sein.
Der Hauptgrund dafür ist, dass Computermodelle neuer als 2010 erfordern das gleiche Passwort um die Abfrage zu deaktivieren, so dass die "Uninstaller" Version sollten immer die Installer-Version bisher verwendeten übereinstimmen.

Das ist, beispielsweise, Sie erhalten eine brandneue letzten Modell Hälfte Charge von Computern, dann installieren Sie die Firmware-Kennwort Version 1.0. Dann wird die nächste Woche haben Sie die andere Hälfte der Sendung erhalten und das Firmware-Kennwort-Version installieren 1.1. Dann, wenn Sie das Deinstallationsprogramm verwenden 1.0 Ziel werden alle von ihnen nur die erste Hälfte haben sie deaktiviert. Was eine schwierige Erklärung, aber ich hoffe, ist klar,

Auch ist es eine gute Praxis, dass, wenn Sie das Kennwort leer gesetzt, wenn es zu deaktivieren. Auf diese Weise können Problem nicht konfrontiert werden, wenn der Computer muss erneut geschützt werden

touch enable.postflight.sh disable.postflight.sh

enable.postflight.sh könnte so etwas wie dieses

1
2
3
4
5
6
7
8
9
10
11
12
#!/bin/sh
###
# VERSION 1.0 of the password enabler. Use the same version to disable it.
###
# Deactivating the password if it was set. Asuming the password was blank
./setregproptool -d -o “”
sleep 1
# Setting the password and the mode
$setregproptool -m command -p “NewPassword” -o ""
# Logging
echo "The firmware password version 1.0 is now set up!"
exit 0

und disable.postflight.sh könnte sein,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
#!/bin/sh
###
# VERSION 1.0 of the password disabler. Works only if the password was set up using the same version enabler
###
# Setting the password to blank WILL TAKE EFFECT AFTER REBOOT
$setregproptool -p "" -o "NewPassword"
sleep 1
# Disable the prompt for password
$setregproptool -d -o "NewPassword"
# Logging
echo "Firmware password now set to blank and prompt disabled, reboot for the changes to take effect!"
#forget that the password was ever installed. Munki likes this
pkgutil --forget com.mycompany.pkg.firm.pass
exit 0

Solange ein Sie denselben PKG-Namen verwenden können Sie überprüfen, welche Version des Passworts ein Computer hat, indem Sie

pkgutil --info com.mycompany.pkg.firm.pass

Dann nutzen Sie die richtige Uninstaller

das Installations Verpackung sollte einfach genug,

Lassen Sie den Masseneinsatz von Firmware-Passwörter beginnen!

BEARBEITEN: Bitte beachten Sie, dass Leser, wenn ich mein Paket habe ich die große wurde mit Pakete Anwendung. Wenn Sie dies jetzt lesen und Sie verwenden PKGBUILD Ihre Installer zu erstellen, dann müssen Sie Ihre Skripte korrekt benannt werden. Siehe Anmerkungen unten für weitere Informationen