MacSysAdmin 2019


MacSysAdmin 2019 – van 1 t/m 4 oktober. Ook dit jaar mag ik bij dit event aanwezig zijn namens het GLR. Op deze pagina probeer ik per dag de presentaties kort weer te geven. Klik hieronder op de juiste dag om snel op deze pagina te navigeren.
Aangezien er niets openbaar gemaakt mag worden over de sessies die medewerkers van Apple zelf geven, worden die sessies hier uiteraard ook niet beschreven / weer gegeven.

Ma 30 sep

Zoals voorgaande jaren is maandag de reisdag. Deze keer niet al te vroeg. Het vliegtuig vertrok om 12:15 uur en een kleine anderhalf uur later stond ik op GOT, het vliegveld van Gothenburg.

Luchtfoto Nederland
Dag Nederland
Luchtfoto Gothenburg
Hallo Zweden

Di 1 okt

De inschrijving startte vandaag vanaf 9:00 uur en om 10:15 begon de eerste sessie. Uiteraard werd er door Patrik Jerneheim nog stil gestaan bij de grondlegger en de vorig jaar, door kanker overleden, Tycho Sjögren. Zijn wens “The Show Must Go On”, doen we met z’n allen, de hele community, eer aan.
Ook worden de data voor volgend jaar bekend gemaakt.

10 Things Admins should be thinking about
Arek Dreyer, US.

Arek blikte eerst terug naar voorgaande jaren en haalde hier en daar enkele uitspraken aan, waarna hij ze vergeleek met de situatie nu. Al snel stapte hij over op meer dan 10 uitspraken waar een admin aan zou moeten denken. Op vele uitspraken verwees hij echter naar sprekers die nog zouden komen. Al met al een sessie waarbij de focus gelegd werd op de onderwerpen die ons in de aankomende dagen te wachten staan.
Om toch enkele uitspraken te deken volgen er hieronder een aantal.

  • Should I Move to ZSH?
  • Is Imaging really dead?
  • Should I file a bug?
  • Should I disable SIP?
  • Manage per device or per user?
  • What are you trying to accomplish ?
  • When will VMs cost you more time than they save you?
  • Should I be automating this?
  • Should you take admin rights away for your users?
  • What if you don’t want to use an MDM?
  • What happens when you leave?
  • Are you doing to much for your users?
  • Should you bind to AD?

Putting your users at the center
Jason Dettbarn, US (Addigy)

Wat zou de focus van een IT afdeling moeten zijn? Als je kijkt naar wat Apple centraal zet, is daar maar een goed antwoord op mogelijk, namelijk ‘de gebruiker’.

Een aantal aandachtspunten:

  • Security
    Wordt vergroot door o.a. T2 chip, wijzigingen in Gatekeerper, Privacy voorkeuren, realtime monitoring en authenticatie
  • Productivity
    Vanuit Addigy tot op het live system, met mogelijkheden tot op de terminal.
  • Provisioning (het proces van het verstrekken van faciliteiten en permissies aan een persoon)
  • Empowering users (iemand tot iets in staat stellen)
  • Monitoring
  • Community (delen scripts, solutions, …)

Moving to ZSH
Armin Briegel, NL.

Met de komst van Catalina stapt Apple af van de standaard Bash-shell. Vooralsnog zal Bash (Born Again SHell) wel aanwezig blijven in het systeem en bestaande gebruikersaccounts zullen Bash nog steeds als default shell krijgen. Nieuw aangemaakte accounts krijgen echter ZSH (spreek ui: zee-shell) als shell toegewezen krijgen.

Heel veel bestaande scripts zijn gebaseerd op Bash, dus hier en daar zal nog wel wat werk nodig zijn om alles uiteindelijk ZSH compatible te krijgen.

ZSH heeft echter ook heel veel voordelen, waar Armin in zijn presentatie op in gaat. De totale presentatie en een aantal blog-posts over dit onderwerp zijn te vinden op zijn website https://scriptingosx.com/zsh/

Users are people too
Andrina Kelly, CA. (Jamf)

It’s ok to make mistakes. Start with the customer and work back to the technology!

  1. Veel gebruikers vinden een computer nog steeds een ‘mysterieus ding’
  2. We zijn gevoelig voor esthetisch bruikbaarheidseffect
  3. Externe taak factoren bepalen het gebruik
  4. Norma’s concept of learned helplessness

4 uitdagingen en nu?
8 tools om meer feedback van de gebruikers te krijgen

  • Interviews
  • Surveys
  • Field studies
  • Intercept
  • Mental model mapping
  • Usability testing (prototyping)
  • Participatory design (gebruikers mee laten bouwen aan de oplossing)
  • Card sorting

Let op hoe je de vragen stelt (verdiep je in leading questions). 4 tips:

  • Ken je gebruikers
  • Je bent niet hetzelfde als jouw gebruikers (you are not your user)
  • Datgene dat jou leven makkelijker maakt hoeft niet perse ook dat van de gebruiker makkelijker te maken
  • Maak eerst een prototype

Logging, About Needles in the Modern Haystack
Henry Stamerjohann, DE

Landscape

  • “A lot more events from many more sources”
  • Cloud Computing, Linux, Microsoft, …
  • Where, when and what
  • Events worden continue door diverse bronnen gemaakt

Event sources and type

  • OS (Installer, MDM client, launchservices) Software (business apps, other apps., security agents)
  • Written to a file, local db, to backend, …

Event sources and types

  • Identity provider (for example AzureAD)
  • Inventory
  • MDM
  • Security providers (malware detection)

Ship and collect the events

  • Many different sources and formats
  • Collects: agents collect, agents direct, rpc/https, Unified logging, Internal routing, interconnect services with message brokers, webhooks to push event data, API pulling data

Conclusion

  • Better organise event aggregation
  • Consolidate data in event hubs
  • Bring together the admins and the security engineers

Woe 2 okt

Enpoint Protector
Filip Cotfas, RO. (CoSoSys )

CoSoSys is een toonaangevend ontwikkelaar van endpoint centric Data Loss Prevention (DLP) -oplossingen en beveiligingssoftware. Hun Endpoint Protector is een geavanceerde DLP-oplossing die een einde maakt aan onbedoelde datalekken, beschermt tegen kwaadaardige datadiefstal en biedt naadloze controle over mobile devices. Vanwege de platform onafhankelijke mogelijkheden is het de beste oplossing voor bedrijven met hybride OS-netwerken. Endpoint Protector is een pionier in de implementatie van DLP voor macOS en is een van de meest vertrouwde en korrelige oplossingen op de markt, die zero-day-ondersteuning biedt en is gelegaliseerd onder de nieuwe Apple-notarisatievereiste.

DLP is een belangrijk onderwerp vanwege een aantal bedenkingen, waaronder: verlies van data, reglementen en privacy

Wanneer je zoekende bent naar een DLP oplossing, neem dan de volgende aspecten mee in het onderzoek:

  • Zero day support
  • Minimum device performance
  • Impact (footprint)
  • Easy to update
  • Test for kernel panics
  • Feature parity between
  • Operating systems

N.a.v. een vraag uit de zaal betreffende de bescherming van smart-watches werd de volgende verklaring gegeven: “Op dit moment wordt een smart watch nog niet als endpoint gezien, al is het wel een mobile device”. Vooralsnog geen bescherming dus door Endpoint Protector.

Single Sign On APP Extensions
Joel Rennich, US.

No user ever …

Joel nam ons mee door de informatie die Apple tijdens de WWDC 2019 bekend heeft gemaakt over SSO-extensions. De video “What’s New in Managing Apple Devices” is via de website van Apple te bekijken. Het deel over SSO begint op 32 min en 35 seconden.

Vervolgens gaf Joel een live demo met iOS 13 en SSO.

Security awereness
Kim Burton, US.

Beveiligingsbewustzijn is een belangrijke vaardigheid voor elk team: een bedrijf met beveiligingskennis beschermt zijn klanten, de werknemers beschermen het bedrijf en zij nemen die kennis mee naar huis om hun gemeenschappen te beschermen. Maar hoe moedigen we dat bewustzijn aan en hoe maken we dat mogelijk?
Kim bespreekt de ontwikkeling van een positieve beveiligingscultuur en de ontwikkeling van een beveiligingseducatieprogramma. Met het programma van Duo Security als een voorbeeld, raakt het publiek ook vertrouwd met ideeën en methoden die succesvol zijn geweest bij Duo, in de hoop dat door het delen van deze praktijken meer teams vol vertrouwen kunnen werken aan het ontwikkelen van de beveiligingskennis van hun team.

Free tools and activities to foster security awareness & education

A subtle code-signing issue
Patrick Wardle, US.

Een hacker die controle over een systeem wil zal proberen om malware op het systeem te krijgen waarmee dan kernel extensions geladen worden of bijvoorbeeld een keylogger of andere too geïnstalleerd wordt. In deze gevallen zal de gebruiker echter toestemming moeten geven door op een knop in een security pop-up te klikken. Ook bij het activeren van de microfoon of de webcam zal de gebruiker dit moeten toestaan. Toegang tot locatie, messages, contacten of zelfs met een cronjob vanuit de terminal activeert de security pop-up

Het is dus zeer interessant voor hackers om te interfereren met de pop-ups en automatisch op deze alerts te klikken. Dit noemen we ook wel een synthetic click. Op die manier kunnen allerlei waarschuwingen omzeild worden.

Uiteraard heeft Apple ervoor gezorgd dat het niet zomaar mogelijk is om dat uit te voeren. Zo wordt een specifieke database (tcc.db) bijgehouden welke apps wat mogen doen. Al seen hacker die lijst aangepast krijgt, heeft ie alsnog een full allow. Maar zo simpel is het niet.

Het bleek echter wel mogelijk een flag mee te geven aan een gemodificeerde app (die de toestemming al had) waarmee de opdracht gegeven werd om geen controle uit te voeren (Do not check) waardoor er alsnog een bypass ontstond. Dit werd in een demo getoond.

Uiteraard moet dat gebeuren zonder dat de user het merkt. Een gebruiker zou het anders niet vertrouwen als de muis ‘automatisch’ zou bewegen en op “ja” of “toestaan” zou klikken. Ook daar is over nagedacht:

  • Dimmen van het scherm voor een korte tijd en in dat moment de synthetic click laten uitvoeren.
  • Wachten tot user niet meer actief is (daar is een event type voor) en dan de synthetic click laten uitvoeren.
  • Wachten tot the scherm in slaapstand gaat (gaat eerst naar 50% en dan naar een volledige dim) vervolgens kan de hacker tussenbeide komen.

SoftRaid: High performance Storage
Tim Standing, US.

Tim praatte ons, zoals elk jaar, weer bij over de ontwikkelingen bij en in SoftRAID.

Softraid features

  • Protects before you use a disk (certifying)
  • While you are using it (parameters die veranderen voordat een disk het af laat weten worden door logsystemen opgemerkt, verzameld en verwerkt. Hierdoor is een accurate voorspelling op falen van een disk mogelijk
  • After a disk fails

Whats new in softraid

  • OWC in Belgium (distributie in Europa)
  • OWC in Taiwan
  • Softrais 5.8 (Catalina) and support fot 2 new ThunderBay minis
  • Collecting statistics (opt-in)

Upcoming in softraid

  • Version 6
  • SoftRAID for Windows
  • Thunderbay 8

(Security) Research to improve the world
Ed Marczak, US.

Vorig jaar eindigde Ed zijn sessie met het verhaal dat elke dag een uur oefenen je binnen een maand iets nieuws leert. Om dat te bewijzen heeft hij jongleren gekozen, omdat dat niet in zijn comfortzone past. Vandaag liet hij zien dat hij dat al aardig onder de knie heeft. De intro deed hij al jonglerend op het podium.

Al de links en onderwerpen van zijn sessie zijn online te vinden.

Every team should be empowered to research

  • trust
  • communication
  • user-driven research
  • Open mindedness
  • Empathy
  • Unconstrained thinking
  • Openly sharing our findings

SHARE with the community: It doesn’t have to be original, but it has to be your work!

Do 3 okt

MoreWare
Jörgen Olsson, SE.

Het onderzoekswerk van een instelling is waardevol. Voor de faculteit kan het hun levenswerk zijn. Hoe bescherm je de gegevens zonder faculteit en personeel te belasten?

Code42 Next-Gen Data Loss Protection (DLP) biedt gegevensbescherming die is ontworpen voor de unieke uitdagingen van onderwijsinstellingen. De oplossing beschermt automatisch en continu elk bestand op elk apparaat, dus wat er ook gebeurt, je hebt altijd toegang tot de gegevens, zodat je aan de voorschriften kunt blijven en waardevolle onderzoeksgegevens kunt bewaren. Wanneer gegevens worden beïnvloed door verlies, lekken of misbruik, helpt Code42 Next-Gen DLP je om te onderzoeken wat er is gebeurd en om snel alle getroffen bestanden te herstellen.
In deze sessie laat Jörgen zien hoe dat in z’n werk gaat.

Als voorbeeld vertelde Jörgen het verhaal van een phd student Olaf Winter. Bezig met het laatste jaar van zijn studie archeologie heeft hij al zijn onderzoeken, presentaties en ervaringen (4 x naar Nieuw Zeeland geweest) op zijn laptop staan. Goed nagedacht maakte Olaf een back-up naar een disk op de universiteit en nog eenmaal naar een disk bij hem thuis.

Een paar maanden voordat hij zijn studie zou afronden faalde zijn disk thuis. Deze werd niet vervangen. Na zijn laatste bezoek aan Nieuw Zeeland en vlak voor zijn eindpresentatie nam Olaf zijn spullen van de universiteit mee naar huis, zodat hij de laatste hand kon leggen aan zijn verantwoording. Onderweg naar zijn gezin haalde hij een fles wijn om zijn terugkomst te vieren. Tijdens de enkele minuten in de winkel werd er helaas ingebroken in zijn auto. Zijn tas met daarin zijn laptop en back-up disk werd meegenomen. Vier jaar werk ‘down the drain’. Dit voorbeeld laat wederom zien dat data-loss een groot probleem kan zijn.

Een collega van Jörgen geeft daarna een korte demo van Code42, waarin de mogelijkheden getoond worden. Daarbij hanteren ze een andere benadering dan de meeste software pakketten. De nadruk bij hun DLP oplossing ligt niet bij prevention, maar protection.

  • Geen policies, geen blocking. Ze werken niet, kosten veel tijd en je haalt het doel niet. Het gaat om het beschermen van de data, niet om het werknemers zo moeilijk mogelijk te maken.
  • Er wordt gekeken hoe data zich binnen en buiten de organisatie beweegt.

A blast from the past
Charles Edge, US.

Weten hoe we hier zijn gekomen, toont ons waar we naartoe gaan. Hoe meer dingen veranderen, hoe meer ze hetzelfde blijven. Welke Apple-device beheeropties hadden we in 1985? Hoe zijn die in de loop der jaren geëvolueerd?

Welke benamingen hebben we gebruikten welke gebruiken we vandaag nog? Welke factoren hebben ertoe geleid dat we van de oude naar de nieuwe manier zijn gegaan? Wat kunnen trends van de afgelopen 30+ jaar ons vertellen over wat we kunnen verwachten en hoe we onze implementaties kunnen plannen om een beetje toekomstbestendig te zijn, zodat we niet zo veel werk per jaar hoeven te doen?

Charles nam ons aan de hand van een tijdlijn mee langs diverse versies van System 1 tot OS X 10.6 en MacOS 10.15

Keypoint:

  • Access to the Kernel seemed cool – until it didn’t
  • The management philosophy hasn’t changed since 1985, bu privacy concerns have
  • The pace isn’t that fast for a mobile OS
  • The iOS-ification of the Mac is good but the Hacker Ethic is strong with some

An insider’s look at APU
Sal Soghoian, US.

Met behulp van voorbeelden uit de veranderingen in de autoindustrie laat Sal zien dat het eigenlijk met computers niet anders is. Er ontstaat een move naar diensten (‘CaaS – Car as a Service?).

Op veel fronten worden Apple devices gebruikt en Apple heeft bewust partners in die wereld gezocht. Denk aan IBM, Deloitte, Salesforge, GE, SAP, Accenture en Cisco.

In veel van die branches (o.a. luchtvaart, gezondheidszorg, kleinhandel, handhaving, bankieren en financiën) is het van groot belang dat enrollment en updates veilig en consistent uitgevoerd worden.

Deployment challenges

  • Setup / maintenance are time and labor intensive
  • Processes are difficult to scale
  • Location and network restrictions
  • Large content transfers / updates
  • Lifecycle management
  • Human factor (Accidental administrators)

Apple Provisioning Utility kan daar een rol in (gaan) spelen. Technische details zijn hier te vinden.

AutoPKG
Greg Neagle, US. (DisneyAnimation)

Naast de programmeur van het open source project Munki, werkt Greg ook mee aan AutoPKG. In deze sessie bespreekt hij, naast de nieuwe features in de laatste versie (o.a. ondersteuning Catalina, meeleveren Python) ook welke aspecten betreffende security in acht genomen moeten worden.

Voor eigen recipes geldt:

  • Fases of deployments (munki catalogs) » test deployments
  • httpS URLs gebruiken
  • CodeSignatureVerifier

Voor gebruik van recipes van derden (inmiddels bijna 8000!, waarvan 2600+ unieke recipes) geldt:

  • Auditing: autopkg -audit (manuele controle blijft nodig)
  • Vanaf 2013 zijn er geen kwaadaardige recipes geweest, maar reviewing is en blijft een goed idee
  • Trusting other people’s recipes
  • Parent Recipe Trust
  • Hashes gebruiken om override te maken – notification of changes

Alle resources genoemd in de sessie zijn hier te vinden.

Gelukkig was er ook nog tijd om de trailer van de nieuwste film waaraan Disney werkt te bekijken: Frozen II

Accelerate your enrollment testing
Kevin M White, US.

Kevin liet, aan de hand van een demo zien, hoe je sneller een testomgeving weer terug naar default kunt zetten. Zeker interessant voor diegenen die daar mee bezig zijn. De video’s van deze sessies zullen beschikbaar komen, zodat de sessie stap voor stap bekeken kan worden.

macOS RecoveryApple Approved30+ minutes
createinstallmediaApple Approved20+ minutes
startosinstallApple Approved10+ minutes
Mac Deploy Stick (MDS)Best Mac hack ever?see above
tmutil snapshotBuilt-in but problematic2+ minutes
AutoDMG + Target modeMostly fast and reliable2+ minutes

Tip » Bij gebruik Createinstallmedia –downloadassets (flag zetten)

Jamf

Nog wat extra linkjes:

Vr 4 okt

VMWare
Dan Sanford, US.

Dan vertelde en liet aan de hand van een vooraf opgenomen screenvideo zien hoe Zero-Touch ingezet wordt bij VMWare. Ongeveer de helft van alle werknemers heeft daar gekozen voor een Mac, de andere helft voor Windows en een heel klein percentage voor Linux.

Nieuwe hardware wordt door de werknemer zelf besteld en wordt dan ook afgeleverd bij de persoon zelf. De doos heeft een aangepaste bovenzijde, waarop een welkomstmededeling staat voor de nieuwe werknemer. Achterop staan instructies om de eerste initiële setup, zoals het aanmaken van het eerste account, uit te kunnen voeren. Vervolgens wordt met behulp van Munki allerlei apps geïnstalleerd, profielen geladen en certificaten in keychain geplaatst.
Duurt ca. 30 minuten, 6GB aan data en de gebruiker kan aan het werk.

Embracing the adventure with MicroMDM
Graham Gilbert, UK. and Brett Demetris, US.

Airbnb heeft een van de grootste implementaties van MicroMDM, waarmee het elke dag helpt bij het beheren en implementeren van Macs. Maar het gebruik van een open source MDM is niet zonder uitdagingen.
Beide heren hebben ons laten zien hoe ze aan de slag zijn gegaan met MicroMDM, enkele van de uitdagingen die ze tegenkwamen en enkele van de tools die ze schreven om hun MicroMDM-implementatie te ondersteunen en (misschien) ons helpen beslissen of wij met ons mee willen doen aan het MicroMDM-avontuur.

Zoals te zien op de foto zijn er nogal wat componenten die van invloed zijn op het correct functioneren van een MDM. Met MicroMDM ben je niet alleen de consument, maar ook je eigen leverancier. Inmiddels zijn er heel wat tegenslagen geweest en door schade en schande en heel veel testen, lezen, vragen en uitpluizen werkt het inmiddels zoals men zou mogen verwachten. In ieder geval tot de volgende uitdaging?
Conclusie: Een eigen MDM vendor zijn valt niet mee.

What is going on with software
– Duncan McCracken, AU.

De afgelopen jaren zijn we met software overgegaan op een paradigmaverschuiving, snelle releasecycli zijn de norm voor bijna alles.
Wat doen we in dit landschap dat zowel voordelen als moeilijkheden oplevert voor de sysadmin?
We zullen in het goede, het slechte en het ronduit lelijke duiken, om enkele van de mogelijke technieken te bekijken die u kunt gebruiken om uw (en uw eindgebruiker) ervaring te verbeteren.

What are the changes?

  • Faster release cycles
  • Licensing models (subscription based)
  • Vulnerabilities

What’s driving change?

  • Perception
  • Development methodology
  • The last change

What are the effects?

  • The role of the sysadmin changed
  • It is necessary to empower the users

The benching …

  • End users are the beta testers
  • Inconsistent information
  • Lack of historical data
  • (Potentially) catastrophic bugs
  • (Lack of) Volume licensing
  • Developer guidelines
  • Unfit deployment mechanisms

Demo waarin Duncan laat zien dat er veel fouten gemaakt worden in bijv. Installatiescripts

Have vendors forgotten?

  • The platform
  • The users
  • The admins

Are vendors listening?

  • Some are
  • Those who aren’t should

What can you do?

  • Suck it up?
  • Provide a buffer
  • Test, test, test
  • Make noise?
  • MacAdmins slack
  • External forum
  • Account managers