게이트 키퍼 설정이 "AppStore Only"인 경우에도 사용자 지정 웹 사이트에서 응용 프로그램을 다운로드하여 실행할 수 있습니다. 이것은 내 응용 프로그램입니다-서명조차하지 않았습니다.
그 이유는 무엇입니까? 3 가지 Mac 모두에서이 동작을 재현 할 수 있습니다.
게이트 키퍼 설정이 "AppStore Only"인 경우에도 사용자 지정 웹 사이트에서 응용 프로그램을 다운로드하여 실행할 수 있습니다. 이것은 내 응용 프로그램입니다-서명조차하지 않았습니다.
그 이유는 무엇입니까? 3 가지 Mac 모두에서이 동작을 재현 할 수 있습니다.
답변:
관리자는 게이트 키퍼 설정을 변경하거나 완전히 비활성화 할 수 있으므로 관리자가 비준수 (서명되지 않은)를 허용 할 수 있도록 일회성 화이트리스트 대화 상자를 표시 할 때 실제 눈에 해를 끼치 지 않습니다. 또는 비 Mac App Store) 응용 프로그램을 실행하십시오.
이제 관리자가 아닌 사용자가 Gatekeeper를 우회 할 수있는 방법을 찾은 경우, 정책 응용 프로그램을 실행할 수 있도록 구현 오류가 발생한 경우 패치를 적용하면 Apple에 보안 취약점을 신고하여 취약점을 발견 할 수 있습니다.
Apple은 명시 적으로 응용 프로그램을 허용 목록에 추가하는 방법에 대해이 기능을 자세히 설명합니다.
Gatekeeper는 맬웨어 방지가 아니며 차단 목록이 아닙니다. 올바르게 서명 된 응용 프로그램을 처음 시작하거나 Mac App Store 영수증의 유효성을 검사 할 수있는 정책 세트입니다. 관리자가 비준수 소프트웨어의 실행을 명시 적으로 시작한 다음 승인하면 Gatekeeper의 결함을 발견하는 대신 교육 또는 정책 문제가 발생 합니다.
세부적으로, 게이트 키퍼가 방해받지 않고 신속하게 실행할 수 있도록 모든 앱을 화이트리스트에 올리는 데 도움이되는 애플의 도움 관련 부분을 요약했습니다.
미확인 개발자로부터 앱을 열고 Gatekeeper에서 면제하는 방법
인터넷에서 다운로드 한 앱이 최신 버전이고 신뢰할 수있는 출처에서 온 것으로 확신하는 경우 다음 단계에 따라 미확인 개발자로부터 앱을 열 수 있습니다.
중요 사항 : 개발자 ID 서명을 획득하는 과정에서 개발자가 제공 한 일부 Apple 선별 앱은 두 번 클릭하면 "열기"옵션이 표시됩니다.
참고 : 대부분의 경우 Mac의 모든 사용자 계정에 대해이 단계를 한 번만 수행하면됩니다.
- Finder에서 앱 아이콘을 Control- 클릭하거나 마우스 오른쪽 버튼으로 클릭하십시오.
- 상황에 맞는 메뉴 상단에서 열기를 선택하십시오.
- 대화 상자에서 열기를 클릭하십시오. 프롬프트가 표시되면 관리자 이름과 비밀번호를 입력하십시오.
참고 : 여러 게이트 키퍼 대화 상자를 표시하는 앱이있는 경우 게이트 키퍼의 "항상"옵션을 임시로 사용할 수 있습니다. 게이트 키퍼 기능을 다시 사용하려면 이전에 있던 게이트 키퍼 옵션을 복원하십시오.
이 기능을 인식하지 못하는 사용자에게 관리자 이름과 암호를 전달하지 않고 응용 프로그램을 화이트리스트에 추가 할 수있는 사람을 쉽게 제어 할 수 있으며 터미널이나 프로필 관리자 및 JAMF의 Casper와 같은 기타 관리 설정 소프트웨어에서 게이트 키퍼를 관리 할 수도 있습니다. 허용 된 앱 목록을 주기적으로 재설정하기 위해 허용 된 앱 목록을 컴퓨터에서 감사하고 정책 및 습관을 변경하려는 경우이 기능을 수행하는 사람을 확인할 수도 있습니다.
spctl
그래서 spctl --assess -v /Applications/Whatever.app
그것을 허용 또는 거부 않다면 당신을 볼 수 있으며, spctl --remove /Applications/Whatever.app
다시 것 특정 애플리케이션의 "대화 상자"및 상태 도구를 사용하여 시스템에서 모든 앱을 수집하여 사용량을 감사하고 필요할 때 짧은 스크립트로 문제를 해결할 수 있습니다.
SMB를 통해 파일을 다운로드 해도 검역 이 트리거되지 않으며 앱이 검역되지 않으므로 게이트 키퍼 정책이 확인되지 않습니다. 왜 다른 컴퓨터에서 검역소로 표시되는지 잘 모르겠습니다.
언제든지 검역소를 검사하려면 ls -ld@
명령을 사용 하여 com.apple.quarantine 속성을 찾으십시오.
$ ls -ld@ /Applications/TextWrangler.app
drwxrwxr-x@ 3 gordon staff 102 Apr 30 2012 /Applications/TextWrangler.app
com.apple.FinderInfo 32
com.apple.quarantine 57
해당 검역 속성이 앱에 첨부되면 게이트 키퍼 정책이 확인됩니다. 그렇지 않으면 그렇지 않습니다. 흥미로운 질문은 다른 컴퓨터에서 격리 된 이유이며,이 명령을 사용하여 응용 프로그램을 배포 할 때 다양한 지점에서 응용 프로그램을 검사하는 경우 특성이 언제 첨부 되는지 (그리고 왜 첨부되는지) 알아낼 수 있습니다 .
편집 : Apple KB 기사 # HT5290의 "자세한 내용을 보려면 여기를 클릭하십시오"섹션에 이와 관련된 메모가 있습니다 .
중요 : 개발자 ID 서명은 인터넷에서 다운로드 한 앱에 적용됩니다. 인터넷에서 앱을 처음 다운로드하지 않은 경우 파일 서버, 외장 드라이브 또는 광 디스크와 같은 다른 소스의 앱은 제외됩니다.
xattr -d com.apple.quarantine
하면 게이트 키퍼 정책을 위반하더라도 앱 을 열 수 있습니다.
Gatekeeper는 두 번 클릭하여 앱이 실행되는 것을 방지하지만 상황에 맞는 메뉴에서 열기 를 선택하여 앱을 항상 재정의 할 수 있습니다 .
두 번 클릭하여 다운로드 한 서명되지 않은 앱을 실행할 수 있다면 이것은 Gatekeeper의 문제입니다. 파일은 격리 상태를 com.apple.quarantine 이라는 확장 된 속성 에 저장합니다 . 다운로드 한 파일에서 어떤 이유로이 속성을 지우면 Gatekeeper는 다운로드 한 파일을 컴퓨터의 다른 파일과 다르지 않은 것으로 간주합니다. 따라서 Xcode가 설치되어 있으면 프로그램을 다운로드 한 다음 터미널에서 사용 하는 것이 좋은 진단 도구가 될 것을 제안합니다 .xattr -l filename
메뉴에서 열기 명령을 통해 실행하면 설계된 동작입니다. 메뉴에서 프로그램을 실행 한 후에는 게이트 키퍼 설정에 관계없이 두 번 클릭하여 계속 실행할 수 있습니다.