Segurança no mundo Apple: gerenciamento de usuários (Parental Controls)

Parental Controls do Mac OS X

Aos leitores da série “Segurança no mundo Apple”: depois de alguns dias “fora do ar”, informo que estou retomando os artigos a partir de hoje porém com uma periodicidade diferenciada. Os posts irão ao ar nas terças-feiras, quintas-feiras e sábados (três vezes por semana, portanto), o que estenderá um pouco o nosso cronograma porém contemplando os 48 artigos sobre segurança prometidos no início do projeto. Agradeço à todos os comentários e emails de elogios e força, são vocês o meu combustível para continuar nesta jornada.

Como visto em artigos anteriores, tudo no OS X (diretórios, documentos, aplicativos, o próprio desktop, unidades de disco, usuários…) é tratado como objeto, nos possibilitando a criação e o gerenciamento de políticas de acesso e execução para cada item do sistema. Essa visão de objeto fica ainda mais clara para quem conhece a linguagem de automação criada pela Apple, chamada AppleScript. No artigo de hoje falaremos sobre gerenciamento de usuários, um conceito comum no mundo corporativo trazido pela Apple para dentro do ambiente familiar.

No início da década de 1990, a Apple desenvolveu um software chamado “At Ease” — capaz de simplificar o ambiente de trabalho para novos usuários Mac e para crianças. Mais tarde o software ganhou novos recursos, permitindo que um administrador criasse restrições sobre quais programas e documentos os usuários teriam acesso. O gerenciamento de usuários locais teve sua origem moderna através do painel de usuários do Mac OS 9. A partir do Mac OS X 10.2, a funcionalidade foi reintroduzida com o nome de Capabilities; no OS X 10.3 foi renomeada para “Limitations”, e no OS X 10.4 para Parental Controls, nome que segue até hoje.

Parental Controls é um recurso disponível no OS X capaz de criar políticas (regras) restritivas para cada usuário padrão (standard) criado no sistema local. Estas políticas são criadas apenas pelos usuários administrativos, e abrangem:

  • Controle de acesso ao sistema baseado em horário (exemplo: é negado logar ou permanecer logado no sistema a partir das 18h30 e aos finais de semana);
  • Quais sites serão permitidos ou negados o acesso (ainda abrange a visualização dos logs de acesso);
  • Quais aplicativos poderão ser executados pelo usuário;
  • Com quem o usuário poderá se comunicar através do Mail e do iChat;
  • Se o Dock poderá ser modificado;
  • Se o usuário poderá trocar a senha ou até mesmo gravar CDs/DVDs;
  • Ocultar palavras impróprias no dicionário do sistema;
  • e se o usuário irá utilizar o Finder simplificado (que é uma versão minimalista do Finder, excelente para quem está começando no mundo Apple).

Podem ser criadas políticas específicas para cada usuário padrão do sistema. Para ter acesso à ferramenta de Controles Parentais, clique sobre o Menu Apple (), abra as Preferências do Sistema (System Preferences) e dirija-se ao Parental Controls. Após habilitado, você poderá gerenciar as políticas através do painel ou de um outro computador na mesma rede.

Parental Controls do Mac OS X

O universo de políticas é muito vasto dentro do OS X, permitindo a você gerenciar desde opções como preferências do Safari (exemplo: se o navegador terá o Java habilitado por padrão) ou até mesmo scripts que serão executados no login do usuário. O Parental Controls é uma excelente ferramenta, porém os recursos são específicos para ambientes pequenos ou familiares. Para expandir esse gerenciamento, você pode utilizar a ferramenta Workgroup Manager baixada gratuitamente no pacote Server Admin Tools (escolha de acordo com a versão do seu sistema operacional).

Compreendendo tecnicamente: o OS X possui um serviço de diretorio e autenticação desenvolvido pela Apple chamado Open Directory, responsável pelo armazenamento das informações de gerenciamento, contas de usuário, grupos e computadores. Cada sistema possui uma base LDAP e pode ser administrada localmente utilizando um usuário administrativo. Para isso, utilize a ferramenta Workgroup Manager para conectar à base local (⌘+D), em seguida clique sobre o cadeado no canto superior direito para se autenticar como administrador da base. Agora, é só selecionar na lista um usuário ou grupo e clicar sobre o ícone Preferences. Na aba Overview você tem uma lista de políticas pré-definidas que podem ser habilitadas — sempre siga a ideia: habilitar para restringir, onde Once será aplicada apenas uma única vez e Always será aplicada todas as vezes na etapa de login.

Uma dica bem interessante é que você pode importar preferências de aplicativos Apple ou de terceiros instalados no sistema e criar suas próprias políticas utilizando essas opções: na aba Details, que fica ao lado de Overview, clique sobre o botão + para importá-las. Você pode selecionar o próprio app (/Applications/), em que ele importará as preferências padrão ou importar diretamente o arquivo de preferência criado na Library da pasta Home do usuário logado (~/Library/Preferences/), em que ele importará as preferências com customizações feitas pelo usuário. Não se assuste se na aba Details existir alguma preferência definida por outra ferramenta (exemplo: Parental Controls). Para os administradores de ambientes corporativos a Apple disponibiliza um arquivo contendo várias preferências do sistema e de aplicações nativas (/System/Library/CoreServices/ManagedClient), basta importá-lo para definir as suas políticas de acordo com as preferências.

Workgroup Manager no Mac OS X

Quer visualizar o arquivo de preferências (plist) armazenado no Open Directory que contém as políticas que estão implementadas para um determinado usuário? Abra o Terminal e digite:

[code lang=”cpp”]dscl /Local/Default -read /Users/$(whoami) MCXSettings[/code]

Onde: $(whoami) apresenta o usuário logado no momento, substitua para o login do usuário desejado. Se o retorno for “No such key: MCXSettings”, significa que não existem políticas implementadas para o usuário.

Ficou interessado em como implementar estas e outras políticas dentro do seu ambiente corporativo? Conheça mais sobre o Profile Manager, um novo recurso do Lion Server que permite criar políticas para OS X e iOS (iPhone, iPad e iPod touch). Mais informações podem ser encontradas no treinamento oficial OS X Server Essentials [PDF].

Posts relacionados

Comentários