Instalowanie oprogramowania sprzętowego haseł

Konfigurowanie hasła firmware powinna być obowiązkowa dla firm i instytucji, które wymagają pewnego poziomu bezpieczeństwa. Powody, dla których powinno to być oczywiste, więc nie będę tłumaczyć na nich.

Istnieje kilka metod, które administrator może użyć do skonfigurowania hasła firmware przed obsługiwane użytkownikowi (DeployStudio jest najczęstszą?) lub podczas pierwszego logowania danego użytkownika za pomocą pierwszego rozruchu AppleScript z prostym GUI.

Metoda mam zamiar wyjaśnić tutaj jest jak ustawić hasło za pomocą prostego instalatora. Główną zaletą tej istoty wszechstronność.

Nie rocket science zaangażowany w zasadzie mamy zamiar stworzyć instalator, który uruchamia skrypt bash i przechowuje kopię binarną setregproptool Apple. Brak pliku jest zainstalowany na komputerze innym niż otrzymania samego instalatora.

Spójrzmy prawdzie w nią kopać!

1st musimy otrzymać kopię setregproptool . Możemy to zrobić dość łatwo, jeśli w komputerze, w którym pracujesz jest 10.7 lub 10.8 poprzez zamontowanie partycji odzyskiwania i skopiowanie go stamtąd

Pozwala stworzyć katalog, w którym będziemy przechowywać binarny, skrypty i pkg

cd ; mkdir firmwareInstaller ; cd firmwareInstaller
diskutil mount Recovery HD
hdiutil attach -quiet /Volumes/Recovery HD/com.apple.recovery.boot/BaseSystem.dmg
cp /Volumes/Mac OS X Base System/Applications/Utilities/Firmware Password Utility.app/Contents/Resources/setregproptool .
hdiutil detach /Volumes/Mac OS X Base System/
diskutil unmount Recovery HD

Teraz ze względu na dokumentowanie sprawdzenie wersji po prostu dostał i zapoznać się z dostępnymi przełącznikami

sudo ./setregproptool

Dostaję to na 10.8.2

setregproptool v 2.0 (9) czerwca 20 2012

Tworzenie dwóch skryptów, jeden za umożliwienie hasło firmware, a drugi, aby wyłączyć ten sam. Gorąco polecam utworzyć instalatora i „uninstaller” w parach i zawsze dopasować numery wersji. Jest to specjalnie krytyczny, jeśli są wymagane do zmiany hasła oprogramowania sprzętowego w przyszłości i wersjonowanie zaczyna być problemem.
Głównym powodem jest to, że modele komputerowe nowsze niż 2010 wymaga to samo hasło, aby wyłączyć monit, więc „uninstaller” wersja powinna zawsze odpowiadać wersji instalatora używany poprzednio.

To jest, na przykład, pojawić nowiutki niedawno modelu pół partię komputerów, następnie zainstalowaniu firmware w wersji hasło 1.0. Wtedy w przyszłym tygodniu pojawi się drugą połowę przesyłki i zainstalować wersję firmware hasło 1.1. Następnie w przypadku korzystania z deinstalatora 1.0 kierować wszystkie z nich tylko pierwsza połowa będzie miała ona wyłączona. Co trudny wyjaśnienie, ale mam nadzieję, że jest jasne,

Również jest to dobra praktyka, że ​​po ustawieniu hasła do wykroju po wyłączeniu go. W ten sposób nie staną przed problemem, czy komputer musi być chronione ponownie

touch enable.postflight.sh disable.postflight.sh

enable.postflight.sh może być coś takiego

1
2
3
4
5
6
7
8
9
10
11
12
#!/bin/sh
###
# VERSION 1.0 of the password enabler. Use the same version to disable it.
###
# Deactivating the password if it was set. Asuming the password was blank
./setregproptool -d -o “”
sleep 1
# Setting the password and the mode
$setregproptool -m command -p “NewPassword” -o ""
# Logging
echo "The firmware password version 1.0 is now set up!"
exit 0

i disable.postflight.sh może być

1
2
3
4
5
6
7
8
9
10
11
12
13
14
#!/bin/sh
###
# VERSION 1.0 of the password disabler. Works only if the password was set up using the same version enabler
###
# Setting the password to blank WILL TAKE EFFECT AFTER REBOOT
$setregproptool -p "" -o "NewPassword"
sleep 1
# Disable the prompt for password
$setregproptool -d -o "NewPassword"
# Logging
echo "Firmware password now set to blank and prompt disabled, reboot for the changes to take effect!"
#forget that the password was ever installed. Munki likes this
pkgutil --forget com.mycompany.pkg.firm.pass
exit 0

Jak długo używasz tej samej nazwie pkg można sprawdzić, jaka wersja hasła komputer ma uruchamiając

pkgutil --info com.mycompany.pkg.firm.pass

Następnie używać odpowiedniego deinstalatora

Pakowanie instalatora powinna być dość łatwe

Niech masa wdrożenie oprogramowania rozpocząć haseł!

EDYTOWAĆ: Czytnik należy pamiętać, że gdy tworzę pakiet używałem wielki pakiety podanie. Jeśli czytasz to teraz i skorzystać PKGBUILD do tworzenia instalatorów następnie skrypty muszą być prawidłowo nazwany. Zobacz komentarze poniżej, aby uzyskać więcej informacji