IT uczelni widzi na Macu więcej niż Respondus (prywatny vs MDM)
Dwie klasy urządzeń
| Aspekt | Mac prywatny | Mac zarządzany przez uczelnię (MDM) |
|---|---|---|
| Hasło administratora | Ty | IT uczelni (ty możesz mieć tylko poziom użytkownika) |
| Polityka instalacji oprogramowania | Twoja decyzja | Lista zatwierdzonych aplikacji, IT może zdalnie wgrywać/usuwać |
| Agent EDR | Brak (typowo) | CrowdStrike, SentinelOne, Microsoft Defender, Jamf Protect |
| Monitoring sieci | Tylko twój domowy router | VPN z głęboką inspekcją pakietów |
| Szyfrowanie dysku | FileVault opcjonalny | FileVault wymuszony + klucz odzyskiwania w IT |
| Kontrola uprawnień TCC | Ty | IT może z góry przyznać albo odmówić uprawnień przez profile PPPC |
Co widzi Respondus w obu przypadkach
To samo w obu: kamerę, mikrofon, nagrywanie ekranu i pliki dostępne przez TCC podczas egzaminu. Zakres Respondusa jest identyczny niezależnie od tego, kto jest właścicielem Maca.
Co może zobaczyć IT uczelni - tylko na Macach zarządzanych
- Pamięć i zachowanie procesów: agenty EDR mają prawo odczytu pamięci procesów. Teoretycznie mogłyby obserwować stan LDB w pamięci - łącznie z klatkami z kamery przed szyfrowaniem i nagraniami przed uploadem.
- Zdarzenia systemu plików: każdy plik zapisywany przez LDB (łącznie z buforem na dysku) jest logowany przez EDR. Twoje IT ma wgląd w istnienie i rozmiar nagrań przed wysyłką.
- Połączenia sieciowe: nawet z TLS EDR widzi metadane połączeń - cel, czas, liczbę bajtów. VPN uczelni może też robić inspekcję TLS na połączeniach bez przypiętych certyfikatów.
- Historię uruchomień aplikacji: szczegółowy log każdej uruchomionej aplikacji, łącznie z czasami startu/końca sesji LDB, historią instalacji i wersją.
Nic z tego nie jest przechwytywane na prywatnym Macu. Obserwowalność uczelni kończy się przy bramie sieciowej.
Drzewo decyzyjne prywatności
| Scenariusz | Rekomendacja |
|---|---|
| Masz prywatny Mac | Używaj go do egzaminów. Prywatność kończy się na Respondusie. |
| Mac prywatny niedostępny, wymagany Mac zarządzany | Zaakceptuj szerszą ekspozycję. Udokumentuj sobie, które systemy IT co widzą. |
| Hybryda: Mac prywatny, ale wymagany VPN uczelni | VPN widzi tylko metadane połączeń. Rozłącz po egzaminie. |
| Mac współlokatora/rodziny (nie zarejestrowany na ciebie) | Tak samo jak prywatny. Ale zrób pełne czyszczenie po. |
Konfiguracje, które mają znaczenie na zarządzanym Macu
- Z góry przyznane PPPC: jeśli twoje IT z góry przyznało LDB Kamerę/Mikrofon/Nagrywanie ekranu przez profile konfiguracyjne, w ogóle nie widzisz okien TCC. Wygodne, ale oznacza brak okazji do odmowy.
- Wyłączenia EDR: niektóre działy IT konfigurują EDR tak, by wyłączyć proces LDB z inspekcji. Warto zapytać helpdesk: „Czy EDR inspekcjonuje pamięć procesów LDB?".
- VPN split-tunnel: jeśli VPN uczelni jest split-tunnel i kieruje tylko ruch kampusowy, twój ruch domowy nie jest widoczny. Full-tunnel kieruje wszystko.
- Depozyt klucza odzyskiwania FileVault: na zarządzanych Macach IT zwykle trzyma klucz odzyskiwania. Mogą odszyfrować dysk, jeśli urządzenie zostanie przejęte do dochodzenia.
Praktyczna higiena
- Na zarządzanych Macach: zakładaj pełną widoczność IT. Nie używaj urządzenia do prywatnego przeglądania w oknie egzaminacyjnym.
- Na prywatnych Macach: i tak uruchom czyszczenie po egzaminie, by wyczyścić bufor na dysku.
- W obu przypadkach: wyklucz katalog Group Container z Time Machine, jeśli nie chcesz zbackupowanych fragmentów nagrań.
- Jeśli masz wybór, prywatny Mac jest opcją znacznie czystszą prywatnościowo.
Frequently asked questions
Czy IT mojej uczelni naprawdę może wejść na ekran Maca podczas egzaminu?
Na zarządzanych Macach z włączonym zdalnym zarządzaniem (Apple Remote Desktop, Jamf Remote itd.) - tak, mają techniczną możliwość. Większość uczelni jako politykę tego w trakcie egzaminów nie robi, ale możliwość ≠ polityka. Zapytaj IT wprost, jaka jest ich polityka monitorowania w czasie egzaminu.
Czy szyfrowanie FileVault chroni mnie na zarządzanym Macu?
Chroni przed fizyczną kradzieżą, nie przed IT. Na zarządzanych Macach IT trzyma klucz odzyskiwania (zdeponowany podczas zapisu) - mogą odszyfrować dysk w razie potrzeby. FileVault jest między tobą a zewnętrznymi napastnikami, nie między tobą a IT.
Czy poruszyć obawy o prywatność z prowadzącym czy z IOD-em?
IOD to właściwy kanał. Uczelnie są zobowiązane (przez RODO / FERPA) informować studentów o przetwarzaniu danych. Uprzejme zapytanie do IOD-a daje pisemną dokumentację tego, co jest zbierane i jak - przydatne dla twoich akt.