대학교 IT는 Mac에서 Respondus보다 더 많이 봅니다 (개인 대 관리형 Mac)
LockDown Browser를 실행하는 개인 Mac과 대학교 관리형 Mac은 다른 개인정보 세계에 있습니다. 대학교 관리형 기기는 종종 프로세스 메모리, 파일 시스템 이벤트, 네트워크 연결을 보는 Endpoint Detection and Response (EDR) 에이전트가 있습니다 - 이는 IT가 이론적으로 Respondus보다 더 많이 관찰할 수 있음을 의미합니다. 아래. 구체적인 차이점과 중요한 구성 선택.
두 기기 클래스
| 측면 | 개인 Mac | 대학교 관리형 Mac (MDM) |
|---|---|---|
| 관리자 비밀번호 | 본인 | 대학교 IT (사용자 수준만 있을 수 있음) |
| 소프트웨어 설치 정책 | 본인 결정 | 사전 승인된 목록, IT는 원격으로 앱을 푸시/제거 가능 |
| EDR 에이전트 | 없음 (일반적) | CrowdStrike, SentinelOne, Microsoft Defender, Jamf Protect |
| 네트워크 모니터링 | 홈 라우터만 | 심층 패킷 검사가 있는 VPN |
| 디스크 암호화 | FileVault 옵트인 | FileVault 강제 + IT 복구 키 |
| TCC 권한 제어 | 본인 | IT는 PPPC 프로파일을 통해 권한을 사전 부여하거나 거부 가능 |
어느 경우든 Respondus가 보는 것
둘 다 동일합니다. 시험 중 카메라, 마이크, 화면 기록, TCC 허용 파일 접근. Mac을 소유한 사람과 관계없이 Respondus의 범위는 동일합니다.
대학교 IT가 볼 수 있는 것 - 관리형 Mac에서만
- 프로세스 메모리 + 동작. EDR 에이전트는 프로세스 메모리에 대한 읽기 접근 권한이 있습니다. 이론적으로 LDB의 메모리 내 상태를 관찰할 수 있습니다 - 암호화 전 카메라 프레임과 업로드 전 기록 포함.
- 파일 시스템 이벤트. LDB가 쓰는 모든 파일 (디스크 버퍼 포함)이 EDR에 의해 로그됩니다. IT는 업로드 전에 기록의 존재와 크기에 대한 가시성을 가집니다.
- 네트워크 연결. TLS가 있더라도 EDR은 연결 메타데이터를 봅니다 - 목적지, 타이밍, 바이트 수. 대학교의 VPN은 또한 고정되지 않은 연결에서 TLS 검사를 수행할 수 있습니다.
- 앱 실행 기록. 실행한 모든 앱의 상세 로그, LDB 세션 시작/종료 시간, 설치 기록, 버전 포함.
이 중 어느 것도 개인 Mac에서 캡처되지 않습니다. 대학교의 가시성은 네트워크 게이트웨이에서 끝납니다.
개인정보 결정 트리
| 시나리오 | 권장 사항 |
|---|---|
| 개인 Mac을 소유 | 시험에 사용하십시오. 개인정보는 Respondus에서 멈춥니다. |
| 개인 Mac을 사용할 수 없으며 관리형 Mac이 필요 | 더 넓은 노출을 수용하십시오. 어떤 IT 시스템이 무엇을 볼 수 있는지 스스로 문서화하십시오. |
| 하이브리드. 개인 Mac이지만 대학교 VPN 필요 | VPN은 연결 메타데이터만 봅니다. 시험 후 연결 해제. |
| 룸메이트/가족 Mac (귀하의 이름이 없는) | 개인과 동일. 단, 이후에 전체 정리를 수행하십시오. |
관리형 Mac에서 중요한 구성
- PPPC 프로파일 사전 부여. IT가 구성 프로파일을 통해 LDB에 카메라/마이크/화면 기록을 사전 부여한 경우 TCC 프롬프트를 전혀 보지 않습니다. 편리하지만 거부할 기회가 없음을 의미합니다.
- EDR 제외. 일부 IT 부서는 검사에서 LDB 프로세스를 제외하도록 EDR을 구성합니다. 헬프데스크에 물어볼 가치가 있습니다. "EDR이 LDB 프로세스 메모리를 검사합니까?"
- VPN 스플릿 터널. 대학교의 VPN이 스플릿 터널이고 캠퍼스 트래픽만 라우팅한다면 홈 트래픽은 보이지 않습니다. 풀 터널은 모든 것을 라우팅합니다.
- FileVault 복구 키 에스크로. 관리형 Mac에서 IT는 일반적으로 복구 키를 보유합니다. 조사를 위해 압수된 경우 디스크를 복호화할 수 있습니다.
실용적 위생
- 관리형 Mac에서. 전체 IT 가시성을 가정하십시오. 시험 기간 동안 개인 브라우징에 기기를 사용하지 마십시오.
- 개인 Mac에서. 디스크 버퍼를 지우려면 여전히 시험 후 정리를 실행하십시오.
- 어느 쪽이든. 백업된 기록 청크를 원하지 않으면 Time Machine에서 Group Container 디렉토리를 제외하십시오.
- 선택권이 주어진 경우 개인 Mac이 상당한 차이로 개인정보가 더 깔끔한 옵션입니다.
Frequently asked questions
대학교 IT가 시험 중에 실제로 제 Mac 화면에 접근할 수 있습니까?
원격 관리가 활성화된 관리형 Mac (Apple Remote Desktop, Jamf Remote 등)에서는, 예 - 기술적 능력이 있습니다. 대부분의 대학교는 정책상 시험 중에 이를 행사하지 않지만, 능력 ≠ 정책. IT에 명시적으로 시험 시간 모니터링 정책이 무엇인지 물어보십시오.
관리형 Mac에서 FileVault 암호화가 저를 보호합니까?
물리적 도난으로부터 보호하지, IT로부터 보호하지 않습니다. 관리형 Mac에서 IT는 복구 키를 보유합니다 (등록 중 에스크로됨) - 필요하면 디스크를 복호화할 수 있습니다. FileVault는 사용자와 외부 공격자 사이이지, 사용자와 IT 사이가 아닙니다.
개인정보 우려를 교수 또는 DPO에게 제기해야 합니까?
DPO가 올바른 채널입니다. 대학교는 데이터 처리에 대해 학생에게 알리도록 (GDPR / FERPA 하에서) 요구받습니다. DPO에게 정중한 문의는 수집되는 것과 방법에 대한 서면 문서를 제공합니다 - 기록에 유용합니다.