У нас скопилось много интересного рабочего материала, о котором отлично было бы написать пару тысяч знаков текста (как советуют SEO специалисты), но на это постоянно не хватает времени…
В данной заметке мы коротко расскажем о блокировке Вашего любимого макбук MDM (Mobile Device Management Protocol - далее MDM) профилем, а так же объясним почему это огромная головная боль и куча нервов для владельца. Расскажем как определить, что ваш macbook “оснащен и вознагражден” данным профилем и как можно с ним бороться.
часть первая - # пришествие
В один прекрасный день в правом верхнем углу экрана вы видите простое и обычное на первый взгляд уведомление, которое ничем не отличается от миллиона других PUSH-уведомлений - это предложение установить MDM профиль. Для желающих изучить технические аспекты данного профиля - ссылка на Mobile Device Management (MDM) Protocol.
Вы можете отказаться от установки выбрав соответствующий пункт меню, но от Вас ничего уже не зависит. Профиль загружен с серверов самой apple и ей уже известно, что именно нужно установить на ваш macbook, но Вы даже не предполагаете что это за программы, и почему именно Вы…
Любой ответ на вопрос об установке мдм профиля будет проигнорирован и профиль появиться в системных настройках. Вы можете просмотреть его и изучить возможности установленного сертификата для Вашего компьютера, а возможностей может быть очень и очень много. От самых безобидных, до пугающих.
Самое неприятное, что установку данного “дополнения” к системе можно было просто не заметить среди кучи всплывающих PUSH-сообщений и узнать о наличии профиля по началу действий, и сказочных превращений происходящих в операционной системе без вашего ведома.
Это тоже самое, что отдать пароль администратора macbook постороннему человеку и наблюдать за его действиями.
часть вторая - # мистика
Профиль MDM - это мощная и отлично зарекомендованная технология, используемая apple на iphone и ipad, а недавнего времени (начало 2017 года) и на Mac OS sierra и более старших версиях ОС. Эта технология позволяет (в зависимости от установленного сертификата и особенностей MDM конфигурации) делать с устройством различные манипуляции. И всё это через сервера самой apple.
Кратко описать основное назначение MDM профилей можно так - это управление принадлежащими компании устройствами, централизованное регулярное обновление и настройка устройств на базе iOS и Mac os, защита данных на этих устройствах при увольнении сотрудника или же краже либо утрате устройства.
Что же может произойти такого страшно с вашим macbook при блокировке mdm профилем?
Всё это зависит от установленного профиля.
Самое безобидное:
- удаленная принудительная установка приложений и программ (по скрипту)
- удаленное управление вашим macbook
- отправка сообщений на ваш macbook (PUSH и т.д.)
-
удаление программ
Это и есть МИСТИКА! Хотя на самом деле ничего мистического в этом нет. Просто Ваш макбук принадлежит, по документам, компании, которая и установила при помощи серверов apple Вам MDM профиль. Узнать владельца сертификата можно в настройках профиля и при желании связаться с ним для выяснения причины блокировки.
У нас недавно был случай, когда добросовестный покупатель с коробкой (но без чека из istore, а с чеком из обычного магазина) получил эту настройку. Так, что возникновение блокировки и причин ее появления - это еще отдельный вопрос.
А теперь перейдем к худшему)… и реальности, как будут развиваться события после установки MDM профиля.
часть третья - # реальность
После установки мдм профиля в соответствии с его настройками и сертификатом с серверов apple будут получены пакеты прописанных в скрипте программ. Они будут установлены…
Наличие профиля на вашем компьютере будет отмечено у владельца сертификата и он будет точно знать состояние (блокировки), а так же установленное программное обеспечение на вашем macbook. И дальше macbook продолжает работать в обычном режиме. На этом всё и заканчивается… да! У некоторых владельцев), но не у всех…
Основной сценарий выглядит так:
- установка MDM профиля (PUSH- сообщение, сертификат)
- установка пакета программ прописанных в скрипте профиля
- загрузка остальных настроек профиля и сертификатов
- некоторое время…
-
блокировка
a) принудительная перезагрузка и папка на экране (данные стерты - простым стиранием)
b) принудительная перезагрузка и блокировка паролем efi + удаление данных
с) блокировка загрузки PIN-кодом
d) блокировка при попытке установить систему без MDM (pin, пароль)
e) криптование диска firevault (Вы не знаете пароля…)
f) и так далее - варианты зависят от конфигурации профиля и желания усложнить вам жизнь администратором владельца сертификата МДМ профиля.
часть четвертая - # лечение
Избавление от этой напасти зависит, опять же, от настроек профиля, от того, что конкретно прописано в возможностях управления компьютером и от этапа на котором Вы обратились в наш сервисный центр.
Есть два пути решения:
-
официальный СЦ apple (нужен чек из официально магазина istore на данный macbook и коробка)
-
сервисный центр - мы рекомендуем выбирать СЦ АЗБУКА НОУТБУКОВ - не сочтите за рекламу)
-
Мы можем предложить снять ЛЮБУЮ блокировку Вашего apple macbook с СОХРАНЕНИЕМ заводского серийного номера и конфигурации компьютера (соответствующим таковым значениям на коробке от данного устройства).
Мы удаляем данные виды блокировок:
-
iCloud lock (pin, пароль). Необходимое время - 30 минут
-
efi (pin, пароль). Необходимое время - 30 минут
-
MDM профиль (MDM lock и все с ним связанное). Необходимое время - зависит от настроек профиля и состояния текущей блокировки.
-
Блокировка SSD паролем учетной записи пользователя (root).
Мы производим разблокировку macbook pro (air), mac mini, iMac любых моделей и любого года выпуска. Мы делаем удаление MDM профиля.
Все работы выполняются в нашем сервисном центре программатором собственной разработки без пайки и излишнего вмешательства. Плата macbook остается в заводском виде.
Мы даем гарантию от повторной блокировки и всегда готовы помочь в интересных и неординарных случаях.
Для сервисных центров:
Мы готовы предложить решения по удаленному сотрудничеству и снятию любых блокировок ноутбуков apple, а так же корректной сборке образов efi и smc.