Lista aprobada de extensiones del núcleo

Para mejorar la seguridad de un ordenador, la carga de extensiones del núcleo instaladas con o después de la instalación de macOS 10.13 o posterior requiere el consentimiento del usuario. Esto se conoce como carga de extensiones del núcleo aprobadas por el usuario. Cualquier usuario puede aprobar una extensión del núcleo, incluso sin privilegios de administrador.

Las extensiones del núcleo no requieren autorización si cumplen los siguientes criterios:

  • Las extensiones del núcleo estaban en el ordenador antes de la actualización a macOS 10.13 o posterior.

  • Las extensiones del núcleo sustituyen a extensiones aprobadas anteriormente.

  • Se utiliza el comando spctl al arrancar con Recuperación de macOS para permitir la carga de las extensiones del núcleo sin el consentimiento del usuario.

  • Las extensiones del núcleo están instaladas en un ordenador inscrito en un sistema de gestión de dispositivos móviles (MDM).

  • Se utiliza una configuración MDM para permitir la carga de las extensiones del núcleo. A partir de macOS High Sierra 10.13.2, puedes usar MDM para especificar una lista de extensiones del núcleo que se cargarán sin consentimiento del usuario. Esta opción requiere un ordenador con macOS 10.13.2 o posterior inscrito con MDM mediante Inscripción Automatizada de Dispositivos (antes DEP) o cuya inscripción MDM esté aprobada por el usuario.

Antes de poder incluir en la lista aprobada extensiones del núcleo, debes encontrar el identificador de equipo y el identificador de paquete de cada extensión del núcleo que quieres incluir en la lista aprobada.

Cómo encontrar el «Team Identifier» (Identificador de equipo) y el «Bundler Identifier» (Identificador de paquete)

  1. En una instalación nueva de macOS 10.13, instala todas las extensiones del núcleo que necesites.
  2. Cuando el sistema lo pida, haz clic en Aceptar.
  3. Accede a Preferencias del Sistema > Seguridad y privacidad y haz clic en Permitir.
  4. Una vez cargadas todas tus extensiones del núcleo, abre Terminal y ejecuta el siguiente comando:
    sqlite3 /var/db/SystemPolicyConfiguration/KextPolicy
  5. Ejecuta el siguiente comando:
    SELECT * FROM kext_policy;

Verás el ID de equipo y el ID de paquete de cada extensión, así como el nombre visible del desarrollador. Ten en cuenta que el ID de equipo es el primer ítem de la lista. Necesitarás los identificadores de todas las extensiones que quieras incluir en la lista aprobada.

Inclusión en lista aprobada de extensiones del núcleo en Jamf School

  1. En Jamf School, accede a Perfiles en la barra lateral.
  2. Crea un nuevo perfil de macOS y asigna el perfil al ámbito de los dispositivos inscritos con aprobación del usuario. Si quieres información, consulta Perfiles de dispositivo.
  3. En la carga útil Carga de extensiones del núcleo, haz clic en Configurar.
  4. Introduce todos los «Team ID» (ID de equipo) y «Bundle ID» (ID de paquete) que quieres incluir en la lista aprobada. Puedes especificar una de las siguientes opciones para incluir en la lista aprobada una extensión del núcleo:
    • El «Team Identifier» (Identificador de equipo) que firmó la extensión del núcleo. Por ejemplo: EG7KH642X6

    • El Identificador de equipo y Identificador de paquete)de una extensión del núcleo específica, separados por una coma. Por ejemplo: EG7KH642X6 y com.vmware.kext.vmnet,com.vmware.kext.vmci

    • Solo el Identificador del paquete de una extensión del núcleo específica y no firmada, como se muestra en la siguiente imagen.