No es SIP. Se llama Privacy Preferences Policy Control (PPPC) y está diseñado para evitar que los demonios de fondo y los scripts modifiquen o accedan a los datos del usuario que podrían afectar a su privacidad. Por ejemplo, el malware.
Sin embargo, este tipo de secuencias de comandos se hace todo el tiempo en entornos gestionados por TI. Excepto que ahora un SysAdmin necesita crear un Perfil de Configuración PPPC, firmarlo y desplegarlo en un Mac gestionado que esté inscrito en un servidor de Gestión de Dispositivos Móviles. Si un Mac está inscrito en MDM es totalmente gestionable a través del servidor MDM. Los perfiles de configuración pueden bloquear cosas para que un usuario (incluido un usuario administrador) no pueda cambiarlas. Pero también se pueden utilizar para poner en la lista blanca las extensiones del kernel y los ajustes de PPPC, de modo que los usuarios no vean las indicaciones normales de aprobación ni las advertencias. Un perfil de configuración PPPC se aplica al proceso que ejecuta el script, como un binario Python o bash/zsh. Hay tutoriales en YouTube y el Slack de MacAdmins es un excelente recurso para charlar con otros SysAdmins, etc.
El problema es que tendría que configurar un servidor MDM y luego inscribir el Mac con él a través de la inscripción MDM aprobada por el usuario. A continuación, puede crear el perfil de configuración necesario y desplegarlo en el Mac ahora gestionado.
Hay varias implementaciones comerciales de MDM entre las que elegir, la más centrada en Apple es la de JAMF (IBM gestiona más de 300.000 Macs de empleados utilizando JAMF Pro). JAMF ofrece una versión SaaS alojada en la nube para pequeñas empresas con soporte para hasta 3 dispositivos de forma gratuita. Existe la versión de código abierto Micromdm, que es limitada, pero que utiliza otras herramientas como la orquestación Chef y/o Munki para la distribución de paquetes. Puedes construir tu propia arquitectura pero sería un trabajo considerable mientras que las soluciones comerciales facilitan las cosas y proporcionan soporte.
Me doy cuenta de que es bastante frustrante que no puedas ejecutar scripts como solías hacerlo a través de los directorios personales de varios usuarios, etc. Pero los beneficios para la seguridad superan los inconvenientes. Apple proporciona una manera de hacerlo, pero es necesario establecer una cadena de confianza a través de MDM.
Apple ofrece una tecnología de despliegue sin intervención en la que una empresa o institución educativa puede registrarse en Apple y, al hacerlo, cualquier Mac que compre se conectará automáticamente al servidor MDM de la empresa nada más sacarlo de la caja. Esto significa que los empleadores pueden enviar los Macs todavía en su envoltorio a los empleados y una vez conectados llaman a casa a Apple, que determina que el dispositivo es propiedad de la empresa ABC, por lo que le obliga a inscribirse en el servidor MDM de la empresa ABC, ya que la propiedad está probada y el dispositivo confiará en el MDM de la empresa ABC. Zero-touch también funciona con iPhones y iPads, etc. Sin zero-touch una cuenta de administrador tiene que aceptar la inscripción MDM manualmente (no se puede hacer a través de control remoto, tiene que hacerse en el propio dispositivo físico). Pero una vez inscrito, el dispositivo puede ser gestionado completamente. Se pueden empujar perfiles de configuración y aplicaciones, ejecutar scripts, forzar el cifrado FileVault2 y custodiar la clave de recuperación, etc.
Un ejemplo de perfil de configuración PPPC en su forma XML: https://support.apple.com/guide/mdm/privacy-preferences-policy-control-custom-mdm9ddb7e0b5/web
