我目前正在使用8191作为MDM有效负载(com.apple.mdm)所需的'AccessRights'变量。
现在使用此功能时,用户会收到以下消息:
管理员可以收集个人数据,添加/删除帐户和 限制,列出,安装和管理应用程序,以及远程擦除数据 在你的iPhone上
告诉他/她MDM服务器可以远程擦除设备。现在我不希望MDM服务器能够执行此操作。
例如,当我将AccessRights更改为4161时,消息将更改为:
管理员可以收集个人数据,并列出,安装和 管理iPhone上的应用程序
现在我找不到任何对此AccessRights变量及其值的引用。任何人都可以告诉我价值实际代表什么?
答案 0 :(得分:2)
Visput的“移动设备管理协议参考”的打印屏幕为AccessRights提供了所需的数值。然而,由于Apple机密材料的性质,这个答案仍然是上下文,从中吸取的经验教训以及所述材料可能受非保密协议约束。
首先,移动设备管理(MDM)为您提供了一些功能,这些功能被组织成一组称为配置文件的设置 - 实际管理功能,包括方便的配置,自助服务工具和增强的保护等功能。
这些配置文件只是XML文件,允许您分发配置信息。 配置文件属性为属性列表格式。
From the document描述了配置文件中的密钥并提供了生成的XML有效负载的示例,PayloadContent是其中一个密钥。它也是你所说的包含AccessRights属性的那个。
PayloadContent [optional]是一个有效负载字典数组(有效负载对象)。不 如果IsEncrypted为真,则显示。
文档指定这些是所有有效负载通用的有效负载字典键:PayloadType,PayloadVersion,PayloadIdentifier,PayloadUUID,PayloadDisplayName,PayloadDescription,PayloadOrganization。
除了上面的标准有效负载密钥,每个有效负载类型包含特定于该有效负载类型的密钥。
您正在使用PayloadType“com.apple.mdm”并正在查找MDM有效负载的特定于有效负载的密钥。
对于mdm有效负载密钥的所有引用,我看起来很长很难。我只能找到几个AccessRights值的地方,公众可以获得的官方文档中没有。
我能找到的最接近的是Inside the mdm protocol (pdf)。一个项目,其目标是不创建简单的交钥匙独立MDM服务器,也不探测协议中的弱点或隐藏功能,而只是记录尽可能多的协议。
从这份文件:
不幸的是,底层协议的文档从未出现过 免费提供。显然,销售MDM服务器的第三方是 Apple提供了对文档的访问权限,但事实并非如此 适用于研究人员或小型开发商店。这个 阻碍企业利用MDM进行风险分析。为了帮助这样的风险 评估,并促进和鼓励未来的研究,这个项目诞生了。
现在我认为该文档对于理解MDM非常有用。在访问权限上,它提供表示GUI工具的打印屏幕的图像页面8,该GUI工具将访问权限呈现为复选框。至于生成的值,你最好的机会是google:
<key>AccessRights</key>
<integer>8191</integer>
我还在某处发现了价值2047。 我还在Apple iOS设备的Security Configuration Recommendations from the NSA中找到了访问权限。在页16,您具有远程管理员的访问权限:
以下设置控制允许MDM服务器的内容 从iOS设备查询。对于企业所有, 企业控制的设备,允许企业管理员 查询尽可能多的信息是合适的。一些MDM 产品可能只是默认包含这些访问权限和提供 用于从设备中检索较少信息的选项。
它继续实际列出复选框,其中也在前一个指南中说明。与xml生成的数据/ ID无关。
我最接近实际身份证的是this mdm-settings.xml ,它列举了访问规则以及iOS6设备上使用的其他一些数据。
您最好的改变是联系苹果支持并询问详细信息。
由于Apple机密材料的性质,您要查找的信息可能受到保密协议的约束。上述文档基于Developer Preview
中提供的数据