新款M1芯片MacBook Pro笔记本如何禁用USB接口?系统为MacOS Big Sur
网上查的更改文件名等老方法已无用,有知道的吗?
MacBook Pro (2020 and later)
问题被标记为
最佳回复
简单说:使用“描述文件”目前来说是唯一一个“可能”的简单可行方案。
看上去+听上去简单,但是,依然有诸多问题,要具体问题具体分析,下面看看情况的“复杂性”:
确认需求
首先,咱先明确“禁用USB接口”的准确内涵和外延是什么?
网上的那些方法描述,基本都是针对的 “USB 存储设备”的,主要是为了数据安全,防止被意外泄露。但是,你的需求到底是不是要禁止 USB 接口的外接存储设备?这包好多个意思,比如:
- 如果有的机型有内置的 SD 读卡器,是禁止从读卡器读写外卡,还是不禁止?从上面说的最初的本意,其实是该禁止的。但是使用场景和需求不同,内涵也不尽相同。
- 是否禁止所有通过 USB 连接的设备,而不仅仅是存储设备,比如鼠标键盘摄像头等等?也就是外延到多大。
从技术和操作来说,明确了上面的细节,才好对症下药(但是不一定有药)
就一般“禁用USB接口”的用意来说,主要是为了数据安全,所以,后面所讨论的都是基于:禁止除了下面列出的之外的所有外部存储设备:
- CD、DVD 和蓝光播放和读写设备
- 磁盘映像
- 内置硬盘
- 网络盘(共享)
设备分类
如果是企业或教育机构设备,企业加入了 苹果的ABM商务管理,而且设备也被纳入了管理,而且也使用了 MDM 管理,那么使用 MDM 的功能(现代商业化的 MDM 都有这个功能),可以实现楼主的禁用。
如果是企业设备,但是没有实行上面的措施,那么和个人用户一个道理,可以继续向下看。
对于个人用户来说,也可以使用商用的 MDM 系统,免费和收费的服务都有。的目前来说,免费商业系统可能只有 jamf 的 Jamf Now 了, 它提供最初的 3 个设备免费,之后多的设备就要收费了。
当然,也可以不适用任何 MDM 系统,继续往下看。
描述文件安装
个人用户来说,不使用其它 MDM 系统,而使用手动方式也是可以的,也就是前面说的“描述文件”。其实 MDM 系统也是把特定的描述文件部署到目标机器,而达到目的的。而手动安装也可以达到相同的目的。
咱先说具体操作,后面再做解释和说明:
0> 一定要在一个管理员身份的账户登录中,进行下面操作。
1> 把后面这个网址的文件,全文本复制并保存到桌面,文件名为“External Storage Disabler.mobileconfig”:https://github.com/Tonyliu2ca/Mac-Admin-Scripts/blob/master/Configuration_Profiles/External%20Storage%20Disabler.mobileconfig
2> 右击这个文件,选择打开方式是“ProfileHelper.app”,如下图:
3> 注意右上角的消息提示出现后:
4> 进入系统偏好设置,如果以前没有安装过,你会发现多出来了一个“描述文件”的设置项。进入后,选择左侧的“External Storage Disabler”,后在右侧栏中选择“安装”,按照提示操作并输入管理员密码,如下图:
5> 安装成功后,如下图所示:
6> 重新启动一次后,检查插入 U 盘,应该没有反应,如果无效,请继续往下看
解释分析
- 现在问题来了,根据 Apple 的MDM 的文档来说,它应该是有效的,但是在线的 Developer 文档说它被舍弃了,应该是在macOS 11之后的版本会被弃用。但是,关键是没有说用什么方法来替代这个属性设置。难道说,以后就不再支持了?
- 另外,根据实测,11.3的系统依然可用,但是在另外一个 MDM 管理的 10.15.7 上却不起作用。明天重装一下干净的 10.15 和 10.14 试试,应该是管用的。
- 还有,就是这样安装的描述文件可以被“轻易地”移除:只要是管理员就可以删除它。所以,除非其它用户都不是本地管理员,那么这个方法并不那么“有效”。不过,想想当初移除 kext 的方法,别人也是一样可以“轻松”地把 kext 复制回去的,对不对呢?限制都是可以被解除,本质上两者区别不大。
- 如果是受管理的企业/教育设备,在 MDM 中可以强制这个规则的实施,而且禁止客户端任何用户删除它,即便是管理员权限的。这就是受管理设备通过 MDM 管理的一个巨大优势。
- 对于防止移除,也是可以有其它方式警示的或者阻止的,就是需要更多的手段,这里不进一步讨论。
就想到这么多。
明天尝试下,虽说道理上没问题,但是还是要尝试才会踏实。
