Hopeinen Omena

Hei!

Sain käyttööni Macbook Pron (mid-2012, Sierra), ja haluaisin asentaa OS X:n uudestaan. Kone on kuitenkin firmware-lukittu, eikä minulla ole myöskään admin-salasanaa. Lukitusta ei voi kotikonstein kiertää (olisi muuten aika hyödytön lukitus ), mutta sehän ei tee käytännössä muuta kuin 1) estää recovery-moodin (ja vastaavien) käynnistämisen ja 2) estää kaikilta muilta laitteilta kuin Macin omalta kiintolevyltä käynnistämisen.

Voiko ongelman siis kiertää niin, että irrottaa kovalevyn, kytkee sen toiseen koneeseen, asentaa levylle OS X:n, ja kytkee takaisin Macbookiin? Silloinhan ei tarvitse käyttää MBP:n recovery-moodia tai buutata sitä ulkoisesta lähteestä. Uusi asennus tulisi olemaan paikallinen, joten voin luoda siihen itse admin-tunnukset, ja sen jälkeen käyttää Bootcampia ja muita järjestelmänvalvojan oikeudet tarvitsevia sovelluksia.

Ennen kuin kukaan kysyy, konetta ei ole varastettu, vaan se on ison suomalaisen yliopiston hallinnoima, ja perustunnukset ovat käyttööni liian rajoitettuja. Se on toki ymmärrettävää, sillä yliopiston pitää suojata omia järjestelmiään epämääräisiltä käynnistyslähteiltä jne. Ehdottamassani tavassa yliopiston mikään järjestelmä ei kuitenkaan vaarantuisi, sillä uusi asennus ei olisi millään tavoin yliopiston hallinnoima eikä sillä pääsisi käsiksi sen järjestelmiin lainkaan (pl. nettisovellukset ofc). Heidän IT-tukeaan on pyydetty jo kertaalleen tyhjentämään kone, minkä se tekikin, mutta ei poistanut lukitusta, ja MBP on edelleen osana heidän keskitettyä hallintaansa.

Kaikki apu on tervetullutta . Jos yllä oleva menetelmä toimii, tarvitsisin hieman vinkkejä käytännön toteutukseen. Ainoa toinen Mac-koneeni on tällä hetkellä 2010 MBA, eikä siinä käsittääkseni ole irrotettavaa kovelevyä. Siksi asennustiedostot pitäisi kopioida manuaalisesti eikä vain tehdä asennusta toisella macilla.

Joskus noissa on sellainen juttu, että lukituksen purku on sama kuin irtisanoutuminen. Yliopisto ei salli tiettyjä asioita ja kiertäminen tai purku purkaa työsopimuksen.

felis-catus kirjoitti:Ehdottamassani tavassa yliopiston mikään järjestelmä ei kuitenkaan vaarantuisi, sillä uusi asennus ei olisi millään tavoin yliopiston hallinnoima eikä sillä pääsisi käsiksi sen järjestelmiin lainkaan (pl. nettisovellukset ofc).

Tämä on kyllä aika höpönlöpöä.

Joka firman / yhteisön IT-tuki määrittelee minkälaiset tietoturvajutut niihin koneisiin laitetaan, ja tuollaisen oman asennuksen käyttö ei eroa siitä tilanteesta ollenkaan jos sinne firman sisäverkkoon kytkisi oman henkkoht. koneen. (Toki jos oman koneen käyttöä suoraan sisäverkossa ei kielletä niin asiassa ei olekaan mitään ongelmaa. ( ja tässä kannattaa myös huomata että julkinen wlan ei ole sama asia kuin intranet) )


Kyse ei ole suoraan siitä minne et pääse, vaan siitä että mahdollisissa ongelmatilanteissa tuota "villin" koneen omistajaa / sijaintia ei saada niin helposti selvitettyä ja täten ei voida myöskään aloittaa korjaavia toimenpiteitä (virusskannaus, salasanan vaihdot yms yms.)


rakkaudella,
setä IT Service Deskistä.

FW-lukituksen luulisi olevan niin kova, ettei kikkakolmosilla sitä voi kiertää. Ainakin voisi kuvitella, että sen tekijät ovat sulkeneet muutaman ekana mieleen tulevan kiertokeinon heti kärkeen. +jos ovat ajatelleet myös pidemmälle, liki kaikki mahdolliset. mene ja tiedä. FW viittaa siihen, että se on koodattu koneen pysyvään muistiin, joten.....

Jultsu kirjoitti:

felis-catus kirjoitti:Ehdottamassani tavassa yliopiston mikään järjestelmä ei kuitenkaan vaarantuisi, sillä uusi asennus ei olisi millään tavoin yliopiston hallinnoima eikä sillä pääsisi käsiksi sen järjestelmiin lainkaan (pl. nettisovellukset ofc).

Tämä on kyllä aika höpönlöpöä.

Joka firman / yhteisön IT-tuki määrittelee minkälaiset tietoturvajutut niihin koneisiin laitetaan, ja tuollaisen oman asennuksen käyttö ei eroa siitä tilanteesta ollenkaan jos sinne firman sisäverkkoon kytkisi oman henkkoht. koneen. (Toki jos oman koneen käyttöä suoraan sisäverkossa ei kielletä niin asiassa ei olekaan mitään ongelmaa. ( ja tässä kannattaa myös huomata että julkinen wlan ei ole sama asia kuin intranet) )


Kyse ei ole suoraan siitä minne et pääse, vaan siitä että mahdollisissa ongelmatilanteissa tuota "villin" koneen omistajaa / sijaintia ei saada niin helposti selvitettyä ja täten ei voida myöskään aloittaa korjaavia toimenpiteitä (virusskannaus, salasanan vaihdot yms yms.)


rakkaudella,
setä IT Service Deskistä.

Kyse ei ole firman sisäverkkoon liittymisestä, eikä villin koneen ongelmaa ole. Yritän totta kai selvittää asiaa virallisia reittejä, mutta kuten vastauksestasi ilmenee, IT Service Deskissä on ihan perusteltuja huolia siitä, että käyttäjät onnistuvat kuitenkin tuomaan jotain ylimääräistä firman systeemeihin tai sitten kadottamaan yrityssalaisuuksia sisältävän koneensa, jota ei saa paikannettua tai etätyhjennettyä. Siksi pelkäänkin, että asia ei sitä kautta etene. Tässä tapauksessa noita ongelmia ei kuitenkaan ole.

Kysyn tässä nyt teknisiä neuvoja, joten pitäisin keskustelun aiheen mielelläni siinä

oppenheimer kirjoitti:FW-lukituksen luulisi olevan niin kova, ettei kikkakolmosilla sitä voi kiertää. Ainakin voisi kuvitella, että sen tekijät ovat sulkeneet muutaman ekana mieleen tulevan kiertokeinon heti kärkeen. +jos ovat ajatelleet myös pidemmälle, liki kaikki mahdolliset. mene ja tiedä. FW viittaa siihen, että se on koodattu koneen pysyvään muistiin, joten.....

Sitä mietinkin, onko FW-suojaus tarkoitettu suojaamaan olemassa olevaa järjestelmää niin, ettei siihen pääse tekemään haitallisia muutoksia. Näin siis oletan. Vai onko suojaus myös tarkoitettu siihen, että vaikka koko kovalevyn sisällön arkaluontoisine tietoineen vaihtaisi (jolloin ei enää ole järjestelmää, jota suojata), koneen käyttäminen ei onnistu ilman FW-salasanaa.

Jos kyse on jälkimmäisestä, on turha yrittää asentaa puhdasta käyttistä kovalevylle muulla koneella, sillä sehän hyvin monilla tulee ensimmäisenä mieleen, ja on varmasti estetty. Koska en ole tästä toistaiseksi dokumentaatiota löytänyt, ajattelin, että joku täällä osaisi sanoa, voiko ratkaisu toimia.

Mitään arveluttavaahan kovalevyn tyhjennyksessä ja käyttiksen uudelleenasentamisessa ei ole, toisin kuin esimerkiksi salasanojen kiertämisessä tai muunlaisessa suojauksen ohittamisessa.

No, yrittää voit toki. Osta ulkoinen 2.5" sata-levyjä syövä kotelo ja laita se MBP:n levy sinne ja lähde asentelemaan siltä MBA:lta käyttistä sinne usb-levylle. Varmuuskopionkin voisit ottaa jollain levyimage-työkalulla tai vaikka linuxilla ja dd-komennolla, jos haluat päästä takaisin nollatilanteeseen. Tai sitten hankit jostain romukoneesta jonkin vanhan 120gb mekaanisen kiintolevyn ja asennat sinne käyttiksen ja katsot kuinka käy.

Tuo firmware-lukko on tosiaan fyysisellä erillisellä sirulla emolevyllä, sen kierto onnistuu kyllä mutta vaatii ulkoisen muistipiirin lukijan ja mahdollisesti jopa piirin juottamisen irti lukemista varten.

Jultsu kirjoitti:No, yrittää voit toki. Osta ulkoinen 2.5" sata-levyjä syövä kotelo ja laita se MBP:n levy sinne ja lähde asentelemaan siltä MBA:lta käyttistä sinne usb-levylle. Varmuuskopionkin voisit ottaa jollain levyimage-työkalulla tai vaikka linuxilla ja dd-komennolla, jos haluat päästä takaisin nollatilanteeseen. Tai sitten hankit jostain romukoneesta jonkin vanhan 120gb mekaanisen kiintolevyn ja asennat sinne käyttiksen ja katsot kuinka käy.

Tuo firmware-lukko on tosiaan fyysisellä erillisellä sirulla emolevyllä, sen kierto onnistuu kyllä mutta vaatii ulkoisen muistipiirin lukijan ja mahdollisesti jopa piirin juottamisen irti lukemista varten.

Kiitti vinkistä! . Googlasin vähän lisää, ja teoriassa tuo voisi hyvinkin toimia, ellei FW lukko ole jotenkin yhteydessä juuri tähän nimenomaiseen käyttöjärjestelmäasennukseen, joka koneessa on nyt (varmaan on yhteydessä kovalevyn sarjanumeroon, käyttiksestä en olisi niin varma). Asennus ulkoiselle levylle MBA:lla vaikutti pikaisen googlauksen perusteella suoraviivaiselta, mutta jäin miettimään, tehdäänkö järjestelmään asennusvaiheessa konemallikohtaisia kustomointeja, eli onko MBP:llä vaikeuksia käynnistyä MBA:lla asennettuun käyttöjärjestelmään?

Entä buuttaako kone ulkoiselta Linux-distrolta - tai vaikka Clonezillalta.

homenamsi kirjoitti:Entä buuttaako kone ulkoiselta Linux-distrolta - tai vaikka Clonezillalta.

Valitettavasti ei. Koko lukon ajatus on, että järjestelmää ei saa buutattua muualta kuin OS X:n omalta kovalevyltä ilman että tietää lukon salasanan. Pelkkä käynnistysvalikon esiin tuominen (Option-näppäin) vie salasanakyselyyn.

Siksi juuri pohdinkin, että kun siltä sisäiseltä levyltä käynnistyminen on ainut mahdollisuus, niin mitä jos muokkaa sitä sisäistä levyä mieleisekseen

MacOS asennus ei tee mitään laitekohtaisia ”asetuksia”, noita voi vaihdella koneista toisiin kuin sukkia.

Tekis mieli sanoa, että tässä ketjussa on tullut esiin erinomaiset perustelut miksi koneen omistajataho on lukituksen tehnyt. Jos sääntöihin sopeutuminen on mahdotonta, kaupasta saa omia koneita, joille voit tehdä mitä vaan.

Ei onnistu firmware-lukitussa koneessa. Poista lukitus ensin.

Varmaan sama koskee Target DiskModea?

Osoittautui, että käyttöjärjestelmän asentaminen FW-lukittuun koneeseen onnistui juuri kuten @Jultsu ohjeisti: ensin kovalevy ulkoisen sovittimen avulla toiseen Maciin (MBA), levyn tyhjennys ja käyttöjärjestelmän uudelleenasennus "ulkoiselle" kovalevylle toisen Macin recovery -työkalua käyttäen. Sen jälkeen levy takaisin lukittuun Maciin, ja kone käynnistyi uuden tietokoneen käyttöönottoapurilla. Suurkiitokset!

Koneessa on siis edelleen FW-lukitus aktivoituna, mutta siitä ei tällä hetkellä ole haittaa.

Mitä tulee yritysympäristössä toimimiseen, niin olen useampien aiheesta maininneiden kirjoittajien kanssa samaa mieltä, että työnantajalla on täysi oikeus päättää, millaisilla koneilla ja millaisilla oikeuksilla töitä tehdään (tosin käytäntöjen jäykkyys on välillä surkuhupaisaa, mutta ne tarinat jääkööt toiseen keskusteluun). Kuten jo mainitsin, tästä ei tapauksessa ollut kyse.

Siitä minun on sen sijaan oltava eri mieltä, että oletusratkaisu ongelmaan kuin ongelmaan olisi ostaa uusi kone (jolloin vanha päätyy kaatopaikalle/kierrätykseen) - etenkin toissijaisten syiden kuten byrokratian takia. Vanhojen laitteiden pelastaminen on itselleni iloa tuova harrastus: päivittäiskäytössäni ovat mm. vuoden 2004 PC-läppäri, 2007 Nokian simpukkapuhelin ja ensimmäisen sukupolven iPad (tosin mikään ei siinä käytössä, mihin ne alunperin suunniteltiin). Tässä tavaraan hukkuvassa maailmassa laitteita tulisi ostaa vain tarpeeseen, ja laadukkaina Applen tuotteet ovat yleensä hyvä esimerkki tällaisesta ajattelumallista.