Установить пароли микропрограммы

Настройка пароля встроенного программного обеспечения должна быть обязательной для предприятий и учреждений, которые требуют определенного уровня безопасности. Причины для этого должны быть совершенно очевидны, так что я не буду объяснять на них.

Есть несколько методов, которые администратор может использовать для установки пароля прошивки перед тем обрабатывается пользователь (DeployStudio является наиболее распространенным?) или при первом входе этого пользователя с использованием первой загрузки AppleScript с помощью простого графического интерфейса пользователя.

Метод, который я буду объяснять здесь, как установить пароль с помощью простой установки. Основное преимущество этого будучи универсальностью.

Нет ракетостроение участие в основном мы собираемся создать инсталлятор, который работает Баш скрипт и хранит копию бинарного setregproptool от Apple. Файл не установлен на компьютере, отличном от получения самого инсталлятора.

Давайте углубиться в него!

1го мы должны получить копию setregproptool . Мы можем сделать это достаточно легко, если компьютер, в котором вы работаете является 10.7 или 10.8 путем установки раздела восстановления и скопировать его оттуда

Давайте создадим каталог, где мы будем хранить бинарное, скрипты и упак

cd ; mkdir firmwareInstaller ; cd firmwareInstaller
diskutil mount Recovery HD
hdiutil attach -quiet /Volumes/Recovery HD/com.apple.recovery.boot/BaseSystem.dmg
cp /Volumes/Mac OS X Base System/Applications/Utilities/Firmware Password Utility.app/Contents/Resources/setregproptool .
hdiutil detach /Volumes/Mac OS X Base System/
diskutil unmount Recovery HD

Теперь для документирования проверки, какую версию вы только что получили и прочитать доступные переключатели

sudo ./setregproptool

Я получаю это на 10.8.2

Создайте два сценария, один для включения пароля прошивки и второй, чтобы отключить то же самое. Я настоятельно рекомендую вам создать инсталлятор и деинсталлятор «» в парах и всегда совпадают с номерами версий. Это особенно важно, если вы должны изменить пароли прошивки в будущем и управление версиями начинают быть проблемой.
Основная причина этого заключается в том, что компьютерные модели новее 2010 требуют такой же пароль, чтобы отключить запрос, так что «деинсталлятор» версия всегда должна совпадать с версией установки использовался ранее.

Это, например, Вы получаете новую бренд недавней модели половины партии компьютеров, Затем вы устанавливаете вашу версию прошивки пароля 1.0. Затем на следующей неделе вы получите другую половину отгрузки и установить версию прошивки пароля 1.1. Затем, если вы используете деинсталлятор 1.0 чтобы предназначаться все из них только первая половина будет иметь его выключенным. Что трудно объяснить, но я надеюсь, ясно

Кроме того, это хорошая практика, когда вы установите пароль пустым, если его отключить. Таким образом, вы не будете сталкиваться с проблемой, если компьютер должен быть защищен снова

touch enable.postflight.sh disable.postflight.sh

enable.postflight.sh может быть что-то вроде этого

1
2
3
4
5
6
7
8
9
10
11
12
#!/bin/sh
###
# VERSION 1.0 of the password enabler. Use the same version to disable it.
###
# Deactivating the password if it was set. Asuming the password was blank
./setregproptool -d -o “”
sleep 1
# Setting the password and the mode
$setregproptool -m command -p “NewPassword” -o ""
# Logging
echo "The firmware password version 1.0 is now set up!"
exit 0

и disable.postflight.sh может быть

1
2
3
4
5
6
7
8
9
10
11
12
13
14
#!/bin/sh
###
# VERSION 1.0 of the password disabler. Works only if the password was set up using the same version enabler
###
# Setting the password to blank WILL TAKE EFFECT AFTER REBOOT
$setregproptool -p "" -o "NewPassword"
sleep 1
# Disable the prompt for password
$setregproptool -d -o "NewPassword"
# Logging
echo "Firmware password now set to blank and prompt disabled, reboot for the changes to take effect!"
#forget that the password was ever installed. Munki likes this
pkgutil --forget com.mycompany.pkg.firm.pass
exit 0

Как долго вы используете один и то же PKG имя, вы можете проверить, какую версию пароля компьютер имеет, запустив

pkgutil --info com.mycompany.pkg.firm.pass

Затем с помощью правильного деинсталлятор

Упаковка установки должно быть достаточно легко

Пусть масса развертывания паролей микропрограмм начать!

РЕДАКТИРОВАТЬ: читатель, пожалуйста, обратите внимание, что, когда я создал свой пакет, я использовал большое пакеты заявление. Если вы читаете это сейчас, и вы используете PKGBUILD для создания инсталляторов, то ваши скрипты должны быть правильно названы. Смотрите комментарии ниже для получения дополнительной информации

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *