استخدام الرمز الآمن ورمز bootstrap وملكية وحدة التخزين في عمليات النشر
الرمز الآمن
يقوم نظام ملفات Apple (APFS) على Mac مثبت عليه macOS 10.13 أو أحدث بتغيير كيفية إنشاء مفاتيح تشفير خزنة الملفات. في الإصدارات السابقة من macOS على وحدات تخزين CoreStorage، كان يتم إنشاء المفاتيح المستخدمة في عملية تشفير خزنة الملفات عندما يقوم مستخدم أو مؤسسة بتشغيل خزنة الملفات على Mac. بالنسبة إلى أجهزة كمبيوتر Mac المزودة بوحدات تخزين APFS، يتم إنشاء مفاتيح التشفير إما أثناء إنشاء المستخدم أو أثناء إعداد كلمة السر الأولى للمستخدم أو أثناء تسجيل الدخول الأول من قِبل أحد مستخدمي Mac. ويعد هذا التنفيذ لمفاتيح التشفير، الذي يتناول توقيت إنشائها وكيفية تخزينها، جزءًا من ميزة معروفة باسم الرمز الآمن. على وجه التحديد، الرمز الآمن عبارة عن إصدار مغلّف من مفتاح تشفير المفاتيح (KEK) محمي بكلمة سر المستخدم.
عند نشر خزنة الملفات على APFS، يستطيع المستخدم متابعة التالي:
استخدام الأدوات والعمليات الحالية، مثل مفتاح استرداد شخصي (PRK) يمكنك تخزينه باستخدام خدمة إدارة الأجهزة لإيداعه في الضمان
إنشاء واستخدام مفتاح استرداد مؤسسي (IRK)
تأجيل تمكين خزنة الملفات حتى يقوم مستخدم بتسجيل الدخول إلى Mac أو تسجيل الخروج منه
بالنسبة إلى Mac مثبت عليه macOS 11 أو أحدث، يؤدي تعيين كلمة السر الأولية للمستخدم الأول على Mac إلى منح هذا المستخدم رمزًا آمنًا. في بعض تدفقات العمل، قد لا يكون هذا هو السلوك المطلوب؛ إذ كان في السابق يتطلب منح الرمز الآمن الأول وجود حساب المستخدم لتسجيل الدخول. لمنع حدوث ذلك، أضِف ;DisabledTags;SecureToken إلى سمة AuthenticationAuthority للمستخدم التي تم إنشاؤها برمجيًا قبل تعيين كلمة سر المستخدم، كما هو موضح أدناه:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"رمز Bootstrap
بالنسبة إلى Mac مثبت عليه macOS 10.15 أو أحدث، يمكنك أيضًا استخدام رمز bootstrap لأكثر من مجرد منح رموز آمنة إلى حسابات المستخدمين الموجودين. على كمبيوتر Mac مزود برقاقات Apple - إذا كان متوفرًا وعند إدارته باستخدام خدمة إدارة الأجهزة - يمكنك استخدام رمز bootstrap للآتي:
الإشراف
دعم مطور خدمة إدارة الأجهزة
بالنسبة إلى Mac مثبت عليه macOS 10.15.4 أو أحدث، عندما يقوم مستخدم تم تمكين الرمز الآمن له بتسجيل الدخول لأول مرة، ينشئ macOS رمز bootstrap ويقوم بإيداعه في الضمان لدى خدمة إدارة الأجهزة. يظل بالإمكان أيضًا إنشاء رمز bootstrap وإيداعه في خدمة باستخدام أداة سطر الأوامر profiles، إذا لزم الأمر.
بالنسبة إلى Mac مثبت عليه macOS 11 أو أحدث، يمكنك أيضًا استخدام رمز bootstrap لأكثر من مجرد منح رموز آمنة إلى حسابات المستخدمين الموجودين. على كمبيوتر Mac مزود برقاقات Apple - إذا كان متوفرًا وعند إدارته باستخدام خدمة إدارة الأجهزة - يمكنك استخدام رمز bootstrap للآتي:
السماح بتثبيت تحديثات البرامج.
الموافقة بصمت على أمر "مسح جميع المحتويات والإعدادات" من خلال إدارة الأجهزة (على macOS 12.0.1 أو أحدث).
إنشاء مستخدمين جدد عند تسجيل الدخول لأول مرة باستخدام منصة SSO (على macOS 13 أو أحدث).
ملكية وحدة التخزين
تقدم أجهزة كمبيوتر Mac المزودة برقاقات Apple مفهوم ملكية وحدة التخزين. لا ترتبط ملكية وحدة التخزين في سياق مؤسسي بالملكية القانونية الحقيقية أو سلسلة الوصاية على Mac. بدلاً من ذلك، يمكن تعريف ملكية وحدة التخزين بشكل فضفاض على أنها المستخدم الذي طالب أولاً بكمبيوتر Mac عن طريق تكوينه لاستخدامه الخاص، جنبًا إلى جنب مع أي مستخدمين إضافيين. يجب أن تكون مالك وحدة تخزين لإجراء تغييرات على سياسة أمن بدء التشغيل لتثبيت محدد من macOS، وللسماح بتثبيت تحديثات وترقيات برامج macOS، ولبدء إجراء مسح جميع المحتويات والإعدادات على Mac، والمزيد. تحدد سياسة أمن بدء التشغيل القيود المتعلقة بإصدارات macOS التي يمكن تمهيدها، وكذلك كيفية وشروط إمكانية تحميل ملحقات kernel التابعة لجهات خارجية أو إدارتها.
يُمنح المستخدم الذي طالب أولاً بكمبيوتر Mac من خلال تكوينه لاستخدامه الخاص رمزًا آمنًا على Mac مزود برقاقات Apple ويصبح مالك وحدة التخزين الأول. عندما يكون رمز bootstrap متاحًا وقيد الاستخدام، فإنه يصبح أيضًا مالك وحدة تخزين ومن ثم يمنح حالة ملكية وحدة التخزين لحسابات إضافية كما يمنحها رموزًا آمنة. نظرًا لأن كلاً من أول مستخدمين يتم منحهما رمزًا آمنًا ورمز bootstrap يصبحان مالكي وحدة التخزين، بالإضافة إلى قدرة رمز bootstrap على منح رموز مميزة آمنة لمستخدمين إضافيين (وبالتالي حالة ملكية وحدة التخزين أيضًا)، يجب ألا تكون ملكية وحدة التخزين شيئًا يحتاج إلى إدارته أو معالجته في المؤسسة بفعالية. ويجب أن تتوافق الاعتبارات السابقة لإدارة ومنح رموز مميزة آمنة بشكل عام مع حالة ملكية وحدة التخزين أيضًا.
من الممكن أن تكون مالك وحدة تخزين وألا تكون مسؤولاً، ولكن توجد مهام معينة تتطلب التحقق من الملكية لكليهما. على سبيل المثال، يتطلب تعديل إعدادات أمن بدء التشغيل أن تكون مسؤولًا ومالك وحدة تخزين، في حين أن تفويض تحديثات البرامج مسموح به للمستخدمين القياسيين ولا يتطلب سوى الملكية.
لعرض القائمة الحالية لمالكي وحدات التخزين على كمبيوتر Mac مزود برقاقات Apple، يمكنك تشغيل الأمر التالي:
sudo diskutil apfs listUsers /تُعيد معرفات GUID المدرجة في إخراج الأمر diskutil من النوع "مستخدم Open Directory المحلي" إنشاء علاقات الربط بسمات GeneratedUID الخاصة بسجلات المستخدم في Open Directory. للعثور على مستخدم بواسطة GeneratedUID، استخدم الأمر التالي:
dscl . -search /Users GeneratedUID <GUID>يمكنك كذلك استخدام الأمر الآتي للاطلاع على أسماء المستخدمين ومعرفات GUID معًا:
sudo fdesetup list -extendedتكون الملكية مدعومة بتشفير محمي في Secure Enclave. لمعرفة المزيد من المعلومات، انظر:
استخدام أداة سطر الأوامر
تتوفر أدوات سطر الأوامر لإدارة رموز bootstrap والرمز الآمنة. عادةً ما ينشئ macOS رمز bootstrap ويقوم بإيداعه في الضمان لدى خدمة إدارة الأجهزة أثناء عملية إعداد macOS بعد أن ترسل الخدمة إشعارًا إلى Mac بأنها تدعم الميزة. ومع ذلك، يمكنك أيضًا إنشاء رمز bootstrap على أي Mac تم نشره. بالنسبة إلى Mac مثبت عليه macOS 10.15.4 أو أحدث، ينشئ macOS رمز bootstrap ويقوم بإيداعه في الخدمة في أول تسجيل دخول لأي مستخدم تم تمكين الرمز الآمن له (إذا كانت الخدمة تدعم الميزة). يقلل هذا من الحاجة إلى استخدام أداة سطر الأوامر profiles بعد إعداد الجهاز لإنشاء رمز bootstrap وإيداعه في الخدمة.
تحتوي أداة سطر الأوامر profiles على عدد من الخيارات للتفاعل مع رمز Bootstrap:
sudo profiles install -type bootstraptoken: ينشئ هذا الأمر رمز bootstrap جديدًا ويودعه في خدمة إدارة الأجهزة. يتطلب هذا الأمر معلومات مسؤول الرمز الآمن الحالي لإنشاء رمز bootstrap في البداية، ويجب أن تدعم الخدمة هذه الميزة.sudo profiles remove -type bootstraptoken: لإزالة رمز bootstrap الموجود على Mac وخدمة إدارة الأجهزة.sudo profiles status -type bootstraptoken: للإبلاغ مرة أخرى عمّا إذا كانت خدمة إدارة الأجهزة تدعم ميزة رمز bootstrap وتحديد الحالة الحالية لرمز bootstrap على Mac.sudo profiles validate -type bootstraptoken: للإبلاغ مرة أخرى عمّا إذا كانت خدمة إدارة الأجهزة تدعم ميزة رمز bootstrap وتحديد الحالة الحالية لرمز bootstrap على Mac.
أداة سطر الأوامر sysadminctl
يمكن استخدام أداة سطر الأوامر sysadminctl خصيصًا لتعديل حالة الرمز الآمن لحسابات المستخدمين على Mac. لكن يجب أن يتم ذلك بحذر وعند الضرورة فقط. دائمًا ما يتطلب تغيير حالة الرمز الآمن للمستخدم باستخدام sysadminctl وجود اسم المستخدم وكلمة السر لمسؤول حالي تم تمكين الرمز الآمن له، إما بشكل تفاعلي أو من خلال الأعلام المناسبة في الأمر. يمنع كل من sysadminctl وإعدادات النظام (macOS 13 أو أحدث) أو تفضيلات النظام (macOS 12.0.1 أو أقدم) حذف آخر مسؤول أو مستخدم تم تمكين الرمز الآمن له على Mac. إذا تمت البرمجة النصية لإنشاء مستخدمين محليين إضافيين باستخدام sysadminctl، فإنه لتمكين الرمز الآمن لهؤلاء المستخدمين، يتم توفير بيانات اعتماد المسؤول الحالي الذي يدعم الرمز الآمن إما باستخدام الخيار التفاعلي أو مباشرة باستخدام علامات -adminUser و -adminPassword مع sysadminctl.
بالنسبة إلى Mac مثبَّت عليه macOS 11 أو أحدث، إذا لم يقم macOS بمنح رمز آمن عند الإنشاء، وإذا كان رمز bootstrap متوفرًا من خدمة إدارة الأجهزة، فإنه يمنح رمزًا آمنًا للمستخدم المحلي عند تسجيل الدخول. استخدم sysadminctl -h لتعليمات الاستخدام الإضافية.