¿Cómo desactivo la función de seguridad de macOS Catalina que evita que las aplicaciones accedan a las carpetas de Escritorio, Documentos y Descargas sin mi permiso?
La solución ideal sería algo que pueda hacer una vez para permitir que todas las aplicaciones accedan a estas carpetas sin simplemente otorgar acceso completo al disco a todas las aplicaciones.
Tengo mis carpetas de Escritorio y Documentos almacenadas localmente, no en iCloud Drive.
Esta funcionalidad es conocida por Apple como "Transparencia, Consentimiento y Control" (TCC), Control de Acceso y Control de Política de Preferencias de Privacidad (PPPC). Está diseñada para darle al usuario control sobre las aplicaciones para proteger su privacidad. En algunos casos, una aplicación solicitará acceso a algo que realmente no necesita y el usuario puede bloquear a la aplicación para que no acceda a esos datos o ruta del sistema de archivos. Es molesto, pero normalmente es un evento único por aplicación. Así que a menos que estés instalando macOS limpio con frecuencia, no sería muy molesto.
Apple proporciona una manera de crear un perfil de configuración para permitir ciertas aplicaciones y así evitar que aparezcan las solicitudes de aprobación del usuario. Un servidor de Gestión de Dispositivos Móviles (MDM) sería la mejor forma de implementar este perfil.
Es posible que puedas crear un Perfil de Configuración Plist XML personalizado y cargarlo manualmente en macOS Catalina sin un MDM, y podría funcionar para permitir las aplicaciones que especifiques. Pero es mucho trabajo y, a partir de macOS 11 (10.16) Big Sur, dejará de funcionar. Big Sur simplemente no confiará en un Perfil de Configuración a menos que provenga de un MDM de confianza.
Si quieres intentar permitir ciertas aplicaciones y instalar manualmente un perfil personalizado, puedes revisar ese ejemplo aquí: https://support.apple.com/guide/mdm/privacy-preferences-policy-control-custom-mdm9ddb7e0b5/1/web/1 Puedes usar Apple Configurator para crear el perfil de configuración con esta carga y hacer doble clic en el archivo .mobileconfig para instalar el perfil. También existe un comando de perfiles en la línea de comandos.
Aquellos que usan MDM típicamente implementan varias aplicaciones y configuraciones, y permiten extensiones del kernel y entradas PPPC/TCC mediante perfiles de configuración. Pueden restringir muchas cosas en macOS/iPadOS/iOS. Los administradores permitirán aplicaciones para que los usuarios no sean inundados con solicitudes de aprobación, pero verán menos de ellas, lo que ayudará a que los usuarios no se sorprendan cuando vean una y, con suerte, tomen una decisión apropiada o al menos llamen al servicio de asistencia. No quieres que los usuarios pasen por alto las solicitudes frecuentes sin pensar en la pregunta que se les hace. La mayoría de las Mac gestionadas por un MDM ni siquiera otorgarían derechos de administrador a los usuarios y proporcionarían una tienda de aplicaciones especifica de la empresa donde se proporcionan aplicaciones preparadas y empaquetadas. Todas esas aplicaciones estarían permitidas en las aprobaciones de PPPC/TCC. Es posible que la Mac App Store esté bloqueada para el usuario. Esas aplicaciones pueden ser implementadas por el MDM a través de la integración de VPP (Compra de Volumen) con el departamento de compras de la empresa.
Así que a menos que configures tu propio servidor MDM y crees manualmente un Perfil de Configuración para permitir todas las aplicaciones y actualizar esa lista con el tiempo. Luego implementarlo. Realmente no hay una buena respuesta aquí. Sigue siendo mucho trabajo especificar manualmente cada aplicación en un archivo XML y solo es útil si lo estás haciendo en muchas Mac.
Existe una utilidad tccutil.py en Github que puede permitir aplicaciones individuales en la base de datos tcc.db, pero el acceso a la tcc.db está bloqueado por SIP (Protección de Integridad del Sistema) desde Sierra. TCC se actualizó desde Mojave para agregar la aprobación del usuario a Escritorio, Documentos, Descargas, etc. Esta herramienta no funcionará a menos que deshabilites SIP. Desactivar SIP NO SE RECOMIENDA. Desde Catalina, el volumen del sistema es de solo lectura. Por lo tanto, no solo tendrías que deshabilitar SIP, sino también sortear el volumen de APFS del sistema de solo lectura, lo cual es posible. De nuevo, NO SE RECOMIENDA. Es mucho trabajo que francamente no vale la pena el esfuerzo para evitar una única solicitud por aplicación.
Existe un exploit publicado donde una aplicación maliciosa podría hacerse pasar por un identificador y firmas de aplicaciones de confianza para evitar las protecciones de PPPC/TCC.
SOLUCIÓN POSIBLE:
Las aplicaciones basadas en X11 como Fontforge, Gimp, Inkscape, etc. no se ejecutan como aplicaciones verdaderas de macOS. Ejecutan un contenedor alrededor de un binario de línea de comandos y luego cargan los recursos de X11 en el contenedor. Por lo tanto, debes conceder permisos a la aplicación Terminal donde estas aplicaciones realmente se ejecutan.
Intenta ir a Preferencias del Sistema -> Seguridad y Privacidad -> Privacidad -> Acceso Completo al Disco -> Desbloquea el panel y haz clic en + y agrega la aplicación Terminal. Esto es bastante peligroso y tiene implicaciones de seguridad pero, según los problemas de Github con respecto a Gimp, Fontforge, etc. esto puede resolver el problema como solución temporal. Es poco probable que estas aplicaciones resuelvan completamente este problema. Han realizado algunos cambios recientes para ayudar a aliviar el problema en macOS.
Actualmente, las aplicaciones que se ejecutan en el entorno de XQuartz no reciben la solicitud, por lo que en este momento no puedo abrir archivos en Font Forge a menos que estén fuera de las ubicaciones protegidas. ¡También daría 50 puntos adicionales por la respuesta, si pudiera!
@benwiggy - Configura un servidor Linux, instala X-Windows y utiliza el reenvío X11 al Mac. El software se ejecuta en Linux y envía ya sea el escritorio completo o ventanas individuales de aplicaciones al Mac. Ha estado sirviendo a múltiples usuarios de esa manera durante décadas. Fue lo que inspiró a Citrix.
Ya puedo ejecutar aplicaciones X11 en MacOS, ¿por qué necesitaría hardware adicional para hacer lo mismo? ¿Cómo permite tu solución que una aplicación X11 lea y escriba en mi carpeta de Documentos?
Algunos comentaristas han estado preguntando cómo usar sus aplicaciones X11 en Catalina, así que pensé en seguir con algunas investigaciones que hice recientemente sobre este problema cuando tuve problemas al usar FontForge.
Aunque la persona que respondió originalmente tiene razón en que no hay forma de hacer esto para todas las aplicaciones, hay una solución alternativa para algunas aplicaciones que es más probable que tengan problemas solicitando acceso a estas carpetas, aunque existen problemas de seguridad asociados.
Las versiones recientes de GIMP e Inkscape han solucionado este problema, por lo que otras personas que tengan el mismo problema que yo deberían intentar actualizar sus aplicaciones. Sin embargo, FontForge no se ha actualizado para solucionar este problema y parece poco probable que lo haga. La solución de "romper el cristal en caso de emergencia" en este caso es agregar "/bin/sh" a la sección de Acceso total al disco de Preferencias del Sistema. Obviamente esto NO ES SEGURO. NO HAGA ESTO a menos que tenga una copia de seguridad. Sin embargo, si tiene una copia de seguridad, esto casi definitivamente solucionará sus problemas de acceso a carpetas hasta que FontForge se actualice. Si y solo si ha hecho una copia de seguridad reciente de sus archivos, siga las instrucciones a continuación.
Ver https://gitlab.gnome.org/GNOME/gimp/-/issues/3710#note_630890 y https://gitlab.com/inkscape/inkscape/-/issues/459 para contexto (las páginas son sobre GIMP e Inkscape pero la solución alternativa fue recomendada en informes de error de FontForge).
Increíble. Puedo confirmar que esto funciona muy bien para FontForge. Más allá de los scripts de shell que pueden acceder a esas carpetas en particular, ¿cómo es que esto 'no es seguro'?
@benwiggy Hasta donde yo sé, esto no abrirá tu computadora a gusanos u algo por el estilo, pero sí necesitas tener cuidado al instalar aplicaciones de Unix/X11/Linux en tu Mac que hayas descargado de internet, ya que cualquier cosa que ejecute un script de shell (incluyendo la mayoría de las aplicaciones de Unix/X11/Linux) tendrá acceso completo al disco. Los programas con Acceso Completo al Disco no solo obtienen acceso a Escritorio, Documentos y Descargas, sino también a algunas carpetas y archivos utilizados por el sistema (aunque aún así no pueden modificar la carpeta "Sistema" si la Protección de la Integridad del Sistema está activada).
Pensé que el acceso completo al disco solo permitía el acceso a áreas restringidas del dominio del usuario. ¿Presumiblemente no anula los permisos y privilegios de Unix? Además, es extraño, porque ya le he dado a FontForge acceso completo al disco, pero eso no funcionó. FDA estaba activo en Mojave, pero Documentos/Escritorio/Descargas es nuevo en Catalina, y separado. Pero ahora FF puede acceder a la carpeta de Documentos después de otorgarle FDA a sh.
AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.
