A Heimdal kiadta a macOS Production (PROD) Agent 3.5.8 verziót, amely jelentős előrelépést jelent a macOS‑es jogosultságkezelés és platform‑szintű biztonság területén. A kiadás középpontjában egy régóta várt funkció áll: a Revoke Existing Local Admin Rights, amely elhozza a Windows környezetben már bevált PEDM (Privilege Elevation and Delegation Management) képességeket macOS‑re is.
Egységes, cross‑platform biztonsági megközelítés
A 3.5.8‑as verzió tovább erősíti a Heimdal cross‑OS stratégiáját: ugyanazok az alapvető biztonsági elvek és kontrollmechanizmusok érhetők el Windows és macOS környezetben is. Ennek eredménye az egységesebb működés, egyszerűbb szabálykezelés és csökkentett támadási felület – platformtól függetlenül.
Revoke Existing Local Admin Rights – mit old meg?
A macOS rendszerek egyik gyakori problémája a tartós local admin jogosultságok túlzott használata. Ezek jelentős kockázatot jelentenek egy kompromittált felhasználói fiók esetén.
A 3.5.8 PROD verzióban megjelent funkció lehetővé teszi, hogy:
- a Heimdal Agent automatikusan azonosítsa a local admin joggal rendelkező felhasználókat,
- eltávolítsa ezeket a jogosultságokat,
- és csak az előre jóváhagyott kivételeket hagyja meg.
Az admin jogok visszavonása egyetlen beállítással aktiválható a Heimdal Dashboardban: Endpoint Settings → Mac OS GPs → Privilege Elevation and Delegation Management → Additional settings
reserved Users – rugalmas kivételkezelés
A rendszerhez egy részletes allowlist mechanizmus tartozik, a Preserved Users, amely teljes kontrollt ad az IT csapat kezébe.
A Preserved Users lehetőséget ad:
- adott felhasználó megőrzésére egy konkrét Macen,
- minden felhasználó megőrzésére egy adott eszközön,
- vagy adott felhasználónév globális megőrzésére több eszközön.
Azonosítási logika:
A Heimdal macOS Agent az alábbi mezőket használja:
- Serial Number
- Platform UUID
- Username
A mezők wildcardként is működhetnek, így a szabályok egyszerre lehetnek precízek és rugalmasak. A hostname változékonysága miatt az eszközszintű kivételeknél a Serial Number alapú azonosítás ajánlott.
A Preserved Users kezelése támogatja:
- manuális felvételt,
- CSV importot tömeges kezeléshez,
- keresést, szerkesztést, törlést,
- és lapozást nagyobb adathalmaz esetén.
Mikor állnak vissza az admin jogok?
A Heimdal automatikusan visszaállítja a korábban visszavont admin jogosultságokat, ha:
- a PEDM modul kikapcsolásra kerül,
- a Revoke existing local admin rights opció letiltásra kerül,
- a felhasználó vagy az eszköz bekerül a Preserved Users listába.
Az Agent minden esetben ellenőrzi, hogy a felhasználó sikeresen visszakerült‑e a local admin csoportba.
Fontos macOS‑specifikus működés
- A local admin státusz kizárólag a helyi admin csoport tagságán alapul.
- System accountok (pl. root, _‑el kezdődő felhasználók) automatikusan kizárásra kerülnek.
- Teljesen preserved eszközön a revoke szabály nem érvényesül.
- Már nem létező felhasználók eltávolításra kerülnek a visszaállítási listából.
🛠️ További javítások a 3.5.8 PROD verzióban
A funkcionalitás mellett a kiadás több stabilitási és UX fejlesztést is tartalmaz:
- jelentősen javított NGAV / XProtect false positive kezelés
- kisebb hibajavítások a DNS Security modulban
- megoldás arra a
hibára, amikor a macOS Agent UI minden értesítésnél újra felugrott
→ az értesítések most persistent módon, az UI‑ban maradnak, amíg a felhasználó el nem zárja őket
Ez egy lényegesen kevésbé zavaró, kifinomultabb felhasználói élményt eredményez.
A hivatalos Heimdal dokumentáció itt érhető el:
