Liste sûre des extensions de noyau

Pour améliorer la sécurité d’un ordinateur, le chargement des extensions de noyau installées avec ou après l’installation de macOS 10.13 ou version ultérieure nécessite le consentement de l’utilisateur. Il s’agit du chargement des extensions de noyau approuvées par l’utilisateur. Tous les utilisateurs peuvent approuver une extension de noyau, même ceux qui ne disposent pas des privilèges d’administrateur.

Les extensions de noyau ne nécessitent pas d’autorisation si elles répondent à certains des critères suivants :

  • Les extensions de noyau étaient présentes sur l’ordinateur avant la mise à niveau vers macOS 10.13 ou version ultérieure.

  • Les extensions de noyau remplacent des extensions approuvées précédemment.

  • Le chargement des extensions de noyau est autorisé sans le consentement de l’utilisateur via la commande spctl lors du démarrage de la fonctionnalité de récupération macOS.

  • Les extensions de noyau sont installées sur un ordinateur enrôlé dans la gestion des appareils mobiles (MDM).

  • Le chargement des extensions de noyau est autorisé via la configuration MDM. À partir de macOS High Sierra 10.13.2, vous pouvez utiliser la configuration MDM pour créer une liste d’extensions de noyau qui se chargeront sans le consentement de l’utilisateur. Cette option requiert un ordinateur avec macOS 10.13.2 ou version ultérieure, enrôlé dans MDM via l’enrôlement automatisé des appareils (anciennement DEP) ou dont l’enrôlement dans MDM a été approuvé par l’utilisateur.

Avant de pouvoir mettre les extensions de noyau sur liste sûre, vous devez trouver l’identifiant d’équipe et l’identifiant de bundle de chaque extension de noyau concernée.

Recherche de l’identifiant d’équipe et de l’identifiant de bundle

  1. Réinstallez complètement macOS 10.13, puis installez les extensions de noyau dont vous avez besoin.
  2. À l’invite, cliquez sur OK.
  3. Accédez à Préférences Système > Sécurité et confidentialité et cliquez sur Autoriser.
  4. Une fois que toutes vos extensions de noyau sont chargées, ouvrez Terminal et exécutez la commande suivante :
    sqlite3 /var/db/SystemPolicyConfiguration/KextPolicy
  5. Exécutez la commande suivante :
    SELECT * FROM kext_policy;

L’identifiant d’équipe et l’identifiant de bundle s’affichent pour chaque extension, ainsi que le nom d’affichage du développeur. Notez que l’identifiant d’équipe est le premier élément de la liste. Vous aurez besoin de tous les identifiants pour les extensions que vous voulez mettre sur liste sûre.

Mise sur liste sûre des extensions de noyau dans Jamf School

  1. Dans Jamf School, accédez à Profils dans la barre latérale.
  2. Créez un nouveau profil macOS et configurez le périmètre du profil aux appareils enrôlés via un enrôlement approuvé par l’utilisateur. Pour informations, voir Profils d’appareil.
  3. En utilisant l’entité Chargement des extensions de noyau, cliquez sur Configurer.
  4. Saisissez tous les identifiants d’équipe et/ou identifiants de bundle que vous voulez mettre sur liste sûre. Une extension de noyau peut être mise sur liste sûre en indiquant l’un des éléments suivants :

    • L’identifiant d’équipe qui a signé l’extension de noyau. Par exemple : EG7KH642X6

    • L’identifiant d’équipe et l’identifiant de bundle d’une extension de noyau spécifique, séparés par une virgule. Par exemple : EG7KH642X6 et com.vmware.kext.vmnet,com.vmware.kext.vmci

    • Uniquement l’identifiant de bundle d’une extension de noyau spécifique et non signée, comme indiqué sur l’image ci-dessous.