استخدام الرمز الآمن ورمز bootstrap وملكية وحدة التخزين في عمليات النشر
الرمز الآمن
يقوم نظام ملفات Apple (APFS) في macOS 10.13 أو أحدث بتغيير كيفية إنشاء مفاتيح تشفير خزنة الملفات. في الإصدارات السابقة من macOS على وحدات تخزين CoreStorage، كان يتم إنشاء المفاتيح المستخدمة في عملية تشفير خزنة الملفات عندما يقوم مستخدم أو مؤسسة بتشغيل خزنة الملفات على Mac. في macOS على وحدات تخزين APFS، يتم إنشاء مفاتيح التشفير إما أثناء إنشاء المستخدم أو أثناء إعداد كلمة السر الأولى للمستخدم أو أثناء تسجيل الدخول الأول من قِبل أحد مستخدمي Mac. ويعد هذا التنفيذ لمفاتيح التشفير، الذي يتناول توقيت إنشائها وكيفية تخزينها، جزءًا من ميزة معروفة باسم الرمز الآمن. على وجه التحديد، الرمز الآمن عبارة عن إصدار مغلّف من مفتاح تشفير المفاتيح (KEK) محمي بكلمة سر المستخدم.
عند نشر خزنة الملفات على APFS، يستطيع المستخدم متابعة التالي:
استخدام الأدوات والعمليات الحالية، مثل مفتاح استرداد شخصي (PRK) يمكن تخزينه باستخدام حل إدارة جهاز الجوال (MDM) لإيداعه في الضمان
إنشاء واستخدام مفتاح استرداد مؤسسي (IRK)
تأجيل تمكين خزنة الملفات حتى يقوم مستخدم بتسجيل الدخول إلى Mac أو تسجيل الخروج منه
في macOS 11 أو أحدث، يؤدي تعيين كلمة السر الأولية للمستخدم الأول على Mac إلى منح هذا المستخدم رمزًا آمنًا. في بعض تدفقات العمل، قد لا يكون هذا هو السلوك المطلوب؛ إذ كان في السابق يتطلب منح الرمز الآمن الأول وجود حساب المستخدم لتسجيل الدخول. لمنع حدوث ذلك، أضِف ;DisabledTags;SecureToken إلى سمة AuthenticationAuthority للمستخدم التي تم إنشاؤها برمجيًا قبل تعيين كلمة سر المستخدم، كما هو موضح أدناه:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"رمز Bootstrap
في macOS 10.15 أو أحدث، يُستخدم رمز Bootstrap للمساعدة على منح رمز آمن لكل من حسابات macOS وحساب المسؤول الذي أنشأه تسجيل الجهاز الاختياري ("المسؤول المُدار"). في macOS 11 أو أحدث، يمكن أن يمنح رمز bootstrap رمزًا آمنًا لأي مستخدم يسجل الدخول إلى Mac، بما في ذلك حسابات المستخدمين المحليين. يتطلب استخدام ميزة رمز Bootstrap في macOS 10.15 أو أحدث ما يلي:
الإشراف
دعم مورّد MDM
لنفترض أن حل MDM لديك يدعم رموز bootstrap. في macOS 10.15.4 أو أحدث، عندما يقوم مستخدم تم تمكين الرمز الآمن له بتسجيل الدخول لأول مرة، يتم إنشاء رمز bootstrap وإيداعه في الضمان لدى حل MDM. يظل بالإمكان أيضًا إنشاء رمز Bootstrap وإيداعه في حل MDM باستخدام أداة سطر الأوامر profiles، إذا لزم الأمر.
في macOS 11 أو أحدث، يمكن أيضًا استخدام رمز bootstrap لأكثر من مجرد منح رمز آمن لحسابات المستخدمين. على كمبيوتر Mac مزود برقاقات Apple، يمكن استخدام رمز bootstrap، إذا كان متاحًا، لترخيص تثبيت كل من ملحقات kernel وتحديثات البرامج عند إدارتها باستخدام MDM. يُستخدم رمز bootstrap أيضًا لتخويل أمر "مسح جميع المحتويات والإعدادات" في الخلفية عند تشغيله من خلال MDM على macOS 12.0.1 أو أحدث.
ملكية وحدة التخزين
تقدم أجهزة كمبيوتر Mac المزودة برقاقات Apple مفهوم ملكية وحدة التخزين. لا ترتبط ملكية وحدة التخزين في سياق مؤسسي بالملكية القانونية الحقيقية أو سلسلة الوصاية على Mac. بدلاً من ذلك، يمكن تعريف ملكية وحدة التخزين بشكل فضفاض على أنها المستخدم الذي طالب أولاً بكمبيوتر Mac عن طريق تكوينه لاستخدامه الخاص، جنبًا إلى جنب مع أي مستخدمين إضافيين. يجب أن تكون مالك وحدة تخزين لإجراء تغييرات على سياسة أمن بدء التشغيل لتثبيت محدد من macOS، وللسماح بتثبيت تحديثات وترقيات برامج macOS، ولبدء إجراء مسح جميع المحتويات والإعدادات على Mac، والمزيد. تحدد سياسة أمن بدء التشغيل القيود المتعلقة بإصدارات macOS التي يمكن تمهيدها، وكذلك كيفية وشروط إمكانية تحميل ملحقات kernel التابعة لجهات خارجية أو إدارتها.
يُمنح المستخدم الذي طالب أولاً بكمبيوتر Mac من خلال تكوينه لاستخدامه الخاص رمزًا آمنًا على Mac مزود برقاقات Apple ويصبح مالك وحدة التخزين الأول. عندما يكون رمز bootstrap متاحًا وقيد الاستخدام، فإنه يصبح أيضًا مالك وحدة تخزين ومن ثم يمنح حالة ملكية وحدة التخزين لحسابات إضافية كما يمنحها رموزًا آمنة. نظرًا لأن كلاً من أول مستخدمين يتم منحهما رمزًا آمنًا ورمز bootstrap يصبحان مالكي وحدة التخزين، بالإضافة إلى قدرة رمز bootstrap على منح رموز مميزة آمنة لمستخدمين إضافيين (وبالتالي حالة ملكية وحدة التخزين أيضًا)، يجب ألا تكون ملكية وحدة التخزين شيئًا يحتاج إلى إدارته أو معالجته في المؤسسة بفعالية. ويجب أن تتوافق الاعتبارات السابقة لإدارة ومنح رموز مميزة آمنة بشكل عام مع حالة ملكية وحدة التخزين أيضًا.
من الممكن أن تكون مالك وحدة تخزين وألا تكون مسؤولاً، ولكن توجد مهام معينة تتطلب التحقق من الملكية لكليهما. على سبيل المثال، يتطلب تعديل إعدادات أمن بدء التشغيل أن تكون مسؤولاً ومالك وحدة تخزين، في حين أن تخويل تحديثات البرامج مسموح به للمستخدمين القياسيين ولا يتطلب سوى الملكية.
لعرض القائمة الحالية لمالكي وحدات التخزين على كمبيوتر Mac مزود برقاقات Apple، يمكنك تشغيل الأمر التالي:
sudo diskutil apfs listUsers /تُعيد معرفات GUID المدرجة في إخراج الأمر diskutil من النوع "مستخدم Open Directory المحلي" إنشاء علاقات الربط بسمات GeneratedUID الخاصة بسجلات المستخدم في Open Directory. للعثور على مستخدم بواسطة GeneratedUID، استخدم الأمر التالي:
dscl . -search /Users GeneratedUID <GUID>يمكنك كذلك استخدام الأمر الآتي للاطلاع على أسماء المستخدمين ومعرفات GUID معًا:
sudo fdesetup list -extendedتكون الملكية مدعومة بتشفير محمي في Secure Enclave. لمعرفة المزيد من المعلومات، انظر:
استخدام أداة سطر الأوامر
تتوفر أدوات سطر الأوامر لإدارة رمز Bootstrap والرمز الآمن. عادةً ما يتم إنشاء رمز Bootstrap على Mac ويتم إيداعه في الضمان لدى حل MDM أثناء عملية إعداد macOS بعد أن يرسل حل MDM إشعارًا إلى Mac بأنه يدعم الميزة. ومع ذلك، يمكن أيضًا إنشاء رمز bootstrap على أي Mac قد تم نشره بالفعل. في macOS 10.15.4 أو أحدث، يتم إنشاء رمز Bootstrap وإيداعه في حل MDM في أول تسجيل دخول لأي مستخدم تم تمكين الرمز الآمن له إذا كان MDM يدعم الميزة. يقلل هذا من الحاجة إلى استخدام أداة سطر الأوامر profiles بعد إعداد الجهاز لإنشاء رمز Bootstrap وإيداعه في حل MDM.
تحتوي أداة سطر الأوامر profiles على عدد من الخيارات للتفاعل مع رمز Bootstrap:
sudo profiles install -type bootstraptoken: ينشئ هذا الأمر رمز Bootstrap جديدًا ويودعه في حل MDM. يتطلب هذا الأمر معلومات مسؤول الرمز الآمن الحالي لإنشاء رمز Bootstrap في البداية، ويجب أن يدعم حل MDM هذه الميزة.sudo profiles remove -type bootstraptoken: لإزالة رمز bootstrap الموجود على Mac وحل MDM.sudo profiles status -type bootstraptoken: للإبلاغ مرة أخرى عمّا إذا كان حل MDM يدعم ميزة رمز bootstrap وتحديد الحالة الحالية لرمز bootstrap على Mac.sudo profiles validate -type bootstraptoken: للإبلاغ مرة أخرى عمّا إذا كان حل MDM يدعم ميزة رمز bootstrap وتحديد الحالة الحالية لرمز bootstrap على Mac.
أداة سطر الأوامر sysadminctl
يمكن استخدام أداة سطر الأوامر sysadminctl خصيصًا لتعديل حالة الرمز الآمن لحسابات المستخدمين على Mac. لكن يجب أن يتم ذلك بحذر وعند الضرورة فقط. دائمًا ما يتطلب تغيير حالة الرمز الآمن للمستخدم باستخدام sysadminctl وجود اسم المستخدم وكلمة السر لمسؤول حالي تم تمكين الرمز الآمن له، إما بشكل تفاعلي أو من خلال الأعلام المناسبة في الأمر. يمنع كل من sysadminctl وإعدادات النظام (macOS 13 أو أحدث) أو تفضيلات النظام (macOS 12.0.1 أو أقدم) حذف آخر مسؤول أو مستخدم تم تمكين الرمز الآمن له على Mac. إذا تمت البرمجة النصية لإنشاء مستخدمين محليين إضافيين باستخدام sysadminctl، فإنه لتمكين الرمز الآمن لهؤلاء المستخدمين، يتم توفير بيانات اعتماد المسؤول الحالي الذي يدعم الرمز الآمن إما باستخدام الخيار التفاعلي أو مباشرة باستخدام علامات -adminUser و -adminPassword مع sysadminctl. إذا لم يتم منحه رمزًا آمنًا في وقت الإنشاء، في macOS 11 أو أحدث، يتم منح المستخدم المحلي الذي يسجل الدخول إلى Mac رمزًا مميزًا آمنًا أثناء تسجيل الدخول في حالة توفر رمز bootstrap من حل MDM. استخدم sysadminctl -h لتعليمات الاستخدام الإضافية.