macOS MDM
了解macOS MDM的相关内容:
基础知识
MDM(移动设备管理)概述
移动设备管理(MDM)用于管理智能手机、笔记本电脑和平板电脑等各种终端用户设备。特别是对于苹果的平台(iOS、macOS、tvOS),它涉及一组专门的功能、API和实践。MDM的运作依赖于一个兼容的MDM服务器,可以是商业可用的或开源的,并且必须支持MDM协议。关键点包括:
对设备的集中控制。
依赖于遵循MDM协议的MDM服务器。
MDM服务器能够向设备发送各种命令,例如远程数据擦除或配置安装。
DEP(设备注册计划)基础知识
由苹果提供的设备注册计划(DEP)通过为iOS、macOS和tvOS设备提供零触摸配置,简化了移动设备管理(MDM)的集成。DEP自动化了注册过程,使设备可以在开箱即用时运行,几乎不需要用户或管理员干预。基本方面包括:
允许设备在初始激活时自动注册到预定义的MDM服务器。
主要适用于全新设备,但也适用于正在重新配置的设备。
简化设置,使设备迅速准备好供组织使用。
安全考虑
需要注意的是,DEP提供的便捷注册方式虽然有益,但也可能带来安全风险。如果对MDM注册未充分实施保护措施,攻击者可能利用这一简化流程,在组织的MDM服务器上注册其设备,伪装成企业设备。
安全警报:简化的DEP注册可能允许未经授权的设备注册到组织的MDM服务器,如果没有适当的保护措施。
SCEP(简单证书注册协议)是什么?
一种相对较旧的协议,在TLS和HTTPS普及之前创建。
为客户端提供了一种标准化的方式发送证书签名请求(CSR)以获得证书。客户端将要求服务器给他签名的证书。
什么是配置文件(也称为mobileconfigs)?
苹果官方的设置/强制系统配置的方式。
可以包含多个有效负载的文件格式。
基于属性列表(XML类型)。
“可以签名和加密以验证其来源、确保其完整性并保护其内容。” 基础知识 — iOS安全指南,2018年1月。
协议
MDM
APNs(苹果服务器)+ RESTful API(MDM供应商服务器)的组合
通信发生在与设备管理产品相关的设备和服务器之间
从MDM传递到设备的命令以plist编码的字典
全部通过HTTPS。MDM服务器可以(通常)进行固定。
苹果授予MDM供应商一个APNs证书用于身份验证
DEP
3个API:1用于经销商,1用于MDM供应商,1用于设备标识(未记录):
所谓的DEP“云服务”API。MDM服务器使用此API将DEP配置文件与特定设备关联。
由苹果授权经销商使用的DEP API用于注册设备、检查注册状态和检查交易状态。
未记录的私有DEP API。苹果设备使用此API请求其DEP配置文件。在macOS上,
cloudconfigurationd二进制文件负责通过此API进行通信。更现代化,基于JSON(而不是plist)
苹果向MDM供应商授予一个OAuth令牌
DEP“云服务”API
RESTful
从苹果同步设备记录到MDM服务器
将“DEP配置文件”从MDM服务器同步到苹果(稍后由苹果传递给设备)
DEP“配置文件”包含:
MDM供应商服务器URL
用于服务器URL的额外受信任证书(可选固定)
额外设置(例如在设置助手中跳过哪些屏幕)
序列号
2010年后生产的苹果设备通常具有12个字符的字母数字序列号,前三位代表制造地点,接下来的两位表示制造年份和周数,接下来的三位提供唯一标识符,最后四位表示型号号码。
macOS Serial Number注册和管理步骤
设备记录创建(经销商、苹果):为新设备创建记录
设备记录分配(客户):将设备分配给MDM服务器
设备记录同步(MDM供应商):MDM同步设备记录并将DEP配置文件推送到苹果
DEP签到(设备):设备获取其DEP配置文件
配置文件检索(设备)
配置文件安装(设备) a. 包括MDM、SCEP和根CA有效负载
MDM命令发出(设备)
文件/Library/Developer/CommandLineTools/SDKs/MacOSX10.15.sdk/System/Library/PrivateFrameworks/ConfigurationProfiles.framework/ConfigurationProfiles.tbd导出的函数可以被视为注册过程的高级“步骤”。
步骤4:DEP签到 - 获取激活记录
此过程发生在用户首次启动Mac(或完全擦除后)
或执行sudo profiles show -type enrollment
确定设备是否启用DEP
激活记录是DEP“配置文件”的内部名称
一旦设备连接到互联网,即开始
由**
CPFetchActivationRecord**驱动通过XPC由**
cloudconfigurationd实现。“设置助手”(设备首次启动时)或profiles命令将联系此守护程序**以检索激活记录。LaunchDaemon(始终以root身份运行)
它遵循由**MCTeslaConfigurationFetcher执行的几个获取激活记录的步骤。此过程使用一种称为Absinthe**的加密
检索证书
从证书初始化状态(
NACInit)使用各种设备特定数据(例如通过
IOKit获取的序列号)检索会话密钥
建立会话(
NACKeyEstablishment)发送请求
发送到https://iprofiles.apple.com/macProfile发送数据
{ "action": "RequestProfileConfiguration", "sn": "" }JSON有效负载使用Absinthe进行加密(
NACSign)所有请求均通过HTTPS,使用内置根证书
响应是一个包含一些重要数据的JSON字典,例如:
url:激活配置文件的MDM供应商主机的URL
anchor-certs:用作受信任锚点的DER证书数组
步骤5:配置文件检索
发送请求到DEP配置文件中提供的URL。
如果提供,将使用锚点证书来评估信任。
提醒:DEP配置文件的anchor_certs属性
请求是一个包含设备标识的简单.plist
示例:UDID、OS版本。
CMS签名,DER编码
使用**设备身份证书(来自APNS)**进行签名
证书链包括已过期的Apple iPhone设备CA
步骤6:配置文件安装
检索后,配置文件存储在系统上
如果在设置助手中,此步骤将自动开始
由**
CPInstallActivationProfile**驱动由mdmclient通过XPC实现
LaunchDaemon(作为root)或LaunchAgent(作为用户),取决于上下文
配置文件具有多个要安装的有效负载
框架具有基于插件的架构用于安装配置文件
每种有效负载类型与插件相关联
可以是XPC(在框架中)或经典的Cocoa(在ManagedClient.app中)
例如:
证书有效负载使用CertificateService.xpc
通常,由MDM供应商提供的激活配置文件将包含以下有效负载:
com.apple.mdm:用于在MDM中注册设备com.apple.security.scep:用于向设备安全地提供客户端证书。com.apple.security.pem:将受信任的CA证书安装到设备的系统钥匙串中。安装MDM有效负载相当于文档中的MDM签到
有效负载包含关键属性:
MDM签到URL(
CheckInURL)MDM命令轮询URL(
ServerURL)+ 触发它的APNs主题要安装MDM有效负载,将请求发送到**
CheckInURL**由**
mdmclient**实现MDM有效负载可能依赖于其他有效负载
允许请求固定到特定证书:
属性:
CheckInURLPinningCertificateUUIDs属性:
ServerURLPinningCertificateUUIDs通过PEM有效负载交付
允许设备具有身份证书:
属性:IdentityCertificateUUID
通过SCEP有效负载交付
步骤7:监听MDM命令
在MDM签到完成后,供应商可以使用APNs发出推送通知
收到后,由**
mdmclient**处理为了轮询MDM命令,将请求发送到ServerURL
利用先前安装的MDM有效负载:
**
ServerURLPinningCertificateUUIDs**用于固定请求**
IdentityCertificateUUID**用于TLS客户端证书
攻击
将设备注册到其他组织
如前所述,为了尝试将设备注册到组织中,只需要一个属于该组织的序列号。一旦设备注册,多个组织将在新设备上安装敏感数据:证书、应用程序、WiFi密码、VPN配置等等。因此,如果注册过程未受到正确保护,这可能是攻击者的危险入口点:
Enrolling Devices in Other Organisations最后更新于
