استخدام الرمز الآمن ورمز bootstrap وملكية وحدة التخزين في عمليات النشر
الرمز الآمن
يقوم نظام ملفات Apple (APFS) في macOS 10.13 أو أحدث بتغيير كيفية إنشاء مفاتيح تشفير خزنة الملفات. في الإصدارات السابقة من macOS على وحدات تخزين CoreStorage، كان يتم إنشاء المفاتيح المستخدمة في عملية تشفير خزنة الملفات عندما يقوم مستخدم أو مؤسسة بتشغيل خزنة الملفات على Mac. في macOS على وحدات تخزين APFS، يتم إنشاء مفاتيح التشفير إما أثناء إنشاء المستخدم أو أثناء إعداد كلمة السر الأولى للمستخدم أو أثناء تسجيل الدخول الأول من قِبل أحد مستخدمي Mac. ويعد هذا التنفيذ لمفاتيح التشفير، الذي يتناول توقيت إنشائها وكيفية تخزينها، جزءًا من ميزة معروفة باسم الرمز الآمن. على وجه التحديد، الرمز الآمن عبارة عن إصدار مغلّف من مفتاح تشفير المفاتيح (KEK) محمي بكلمة سر المستخدم.
عند نشر خزنة الملفات على APFS، يستطيع المستخدم متابعة التالي:
استخدام الأدوات والعمليات الحالية، مثل مفتاح استرداد شخصي (PRK) يمكن تخزينه باستخدام حل إدارة جهاز الجوال (MDM) لإيداعه في الضمان
إنشاء واستخدام مفتاح استرداد مؤسسي (IRK)
تأجيل تمكين خزنة الملفات حتى يقوم مستخدم بتسجيل الدخول إلى Mac أو تسجيل الخروج منه
في macOS 11 أو أحدث، يؤدي تعيين كلمة السر الأولية للمستخدم الأول على Mac إلى منح هذا المستخدم رمزًا آمنًا. في بعض تدفقات العمل، قد لا يكون هذا هو السلوك المطلوب؛ إذ كان في السابق يتطلب منح الرمز الآمن الأول وجود حساب المستخدم لتسجيل الدخول. لمنع حدوث ذلك، أضِف ;DisabledTags;SecureToken
إلى سمة AuthenticationAuthority
للمستخدم التي تم إنشاؤها برمجيًا قبل تعيين كلمة سر المستخدم، كما هو موضح أدناه:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
رمز Bootstrap
في macOS 10.15 أو أحدث، يمكن أيضًا استخدام رمز bootstrap لأكثر من مجرد منح رموز آمنة إلى حسابات المستخدمين الموجودين. على كمبيوتر Mac مزود برقاقات Apple، يمكن استخدام رمز bootstrap - إذا كان متوفرًا وعند إدارته باستخدام MDM - من أجل:
الإشراف
دعم مورّد MDM
لنفترض أن حل MDM لديك يدعم رموز bootstrap. في macOS 10.15.4 أو أحدث، عندما يقوم مستخدم تم تمكين الرمز الآمن له بتسجيل الدخول لأول مرة، يتم إنشاء رمز bootstrap وإيداعه في الضمان لدى حل MDM. يظل بالإمكان أيضًا إنشاء رمز Bootstrap وإيداعه في حل MDM باستخدام أداة سطر الأوامر profiles
، إذا لزم الأمر.
في macOS 11 أو أحدث، يمكن أيضًا استخدام رمز bootstrap لأكثر من مجرد منح رموز آمنة إلى حسابات المستخدمين الموجودين. على كمبيوتر Mac مزود برقاقات Apple، يمكن استخدام رمز bootstrap - إذا كان متوفرًا وعند إدارته باستخدام MDM - من أجل:
السماح بتثبيت تحديثات البرامج.
الموافقة بصمت على أمر "مسح جميع المحتويات والإعدادات" من خلال MDM (على macOS 12.0.1 أو أحدث).
إنشاء مستخدمين جدد عند تسجيل الدخول لأول مرة باستخدام منصة SSO (على macOS 13 أو أحدث).
ملكية وحدة التخزين
تقدم أجهزة كمبيوتر Mac المزودة برقاقات Apple مفهوم ملكية وحدة التخزين. لا ترتبط ملكية وحدة التخزين في سياق مؤسسي بالملكية القانونية الحقيقية أو سلسلة الوصاية على Mac. بدلاً من ذلك، يمكن تعريف ملكية وحدة التخزين بشكل فضفاض على أنها المستخدم الذي طالب أولاً بكمبيوتر Mac عن طريق تكوينه لاستخدامه الخاص، جنبًا إلى جنب مع أي مستخدمين إضافيين. يجب أن تكون مالك وحدة تخزين لإجراء تغييرات على سياسة أمن بدء التشغيل لتثبيت محدد من macOS، وللسماح بتثبيت تحديثات وترقيات برامج macOS، ولبدء إجراء مسح جميع المحتويات والإعدادات على Mac، والمزيد. تحدد سياسة أمن بدء التشغيل القيود المتعلقة بإصدارات macOS التي يمكن تمهيدها، وكذلك كيفية وشروط إمكانية تحميل ملحقات kernel التابعة لجهات خارجية أو إدارتها.
يُمنح المستخدم الذي طالب أولاً بكمبيوتر Mac من خلال تكوينه لاستخدامه الخاص رمزًا آمنًا على Mac مزود برقاقات Apple ويصبح مالك وحدة التخزين الأول. عندما يكون رمز bootstrap متاحًا وقيد الاستخدام، فإنه يصبح أيضًا مالك وحدة تخزين ومن ثم يمنح حالة ملكية وحدة التخزين لحسابات إضافية كما يمنحها رموزًا آمنة. نظرًا لأن كلاً من أول مستخدمين يتم منحهما رمزًا آمنًا ورمز bootstrap يصبحان مالكي وحدة التخزين، بالإضافة إلى قدرة رمز bootstrap على منح رموز مميزة آمنة لمستخدمين إضافيين (وبالتالي حالة ملكية وحدة التخزين أيضًا)، يجب ألا تكون ملكية وحدة التخزين شيئًا يحتاج إلى إدارته أو معالجته في المؤسسة بفعالية. ويجب أن تتوافق الاعتبارات السابقة لإدارة ومنح رموز مميزة آمنة بشكل عام مع حالة ملكية وحدة التخزين أيضًا.
من الممكن أن تكون مالك وحدة تخزين وألا تكون مسؤولاً، ولكن توجد مهام معينة تتطلب التحقق من الملكية لكليهما. على سبيل المثال، يتطلب تعديل إعدادات أمن بدء التشغيل أن تكون مسؤولاً ومالك وحدة تخزين، في حين أن تخويل تحديثات البرامج مسموح به للمستخدمين القياسيين ولا يتطلب سوى الملكية.
لعرض القائمة الحالية لمالكي وحدات التخزين على كمبيوتر Mac مزود برقاقات Apple، يمكنك تشغيل الأمر التالي:
sudo diskutil apfs listUsers /
تُعيد معرفات GUID المدرجة في إخراج الأمر diskutil
من النوع "مستخدم Open Directory المحلي" إنشاء علاقات الربط بسمات GeneratedUID
الخاصة بسجلات المستخدم في Open Directory. للعثور على مستخدم بواسطة GeneratedUID
، استخدم الأمر التالي:
dscl . -search /Users GeneratedUID <GUID>
يمكنك كذلك استخدام الأمر الآتي للاطلاع على أسماء المستخدمين ومعرفات GUID معًا:
sudo fdesetup list -extended
تكون الملكية مدعومة بتشفير محمي في Secure Enclave. لمعرفة المزيد من المعلومات، انظر:
استخدام أداة سطر الأوامر
تتوفر أدوات سطر الأوامر لإدارة رمز Bootstrap والرمز الآمن. عادةً ما يتم إنشاء رمز Bootstrap على Mac ويتم إيداعه في الضمان لدى حل MDM أثناء عملية إعداد macOS بعد أن يرسل حل MDM إشعارًا إلى Mac بأنه يدعم الميزة. ومع ذلك، يمكن أيضًا إنشاء رمز bootstrap على أي Mac قد تم نشره بالفعل. في macOS 10.15.4 أو أحدث، يتم إنشاء رمز Bootstrap وإيداعه في حل MDM في أول تسجيل دخول لأي مستخدم تم تمكين الرمز الآمن له إذا كان MDM يدعم الميزة. يقلل هذا من الحاجة إلى استخدام أداة سطر الأوامر profiles بعد إعداد الجهاز لإنشاء رمز Bootstrap وإيداعه في حل MDM.
تحتوي أداة سطر الأوامر profiles
على عدد من الخيارات للتفاعل مع رمز Bootstrap:
sudo profiles install -type bootstraptoken
: ينشئ هذا الأمر رمز Bootstrap جديدًا ويودعه في حل MDM. يتطلب هذا الأمر معلومات مسؤول الرمز الآمن الحالي لإنشاء رمز Bootstrap في البداية، ويجب أن يدعم حل MDM هذه الميزة.sudo profiles remove -type bootstraptoken
: لإزالة رمز bootstrap الموجود على Mac وحل MDM.sudo profiles status -type bootstraptoken
: للإبلاغ مرة أخرى عمّا إذا كان حل MDM يدعم ميزة رمز bootstrap وتحديد الحالة الحالية لرمز bootstrap على Mac.sudo profiles validate -type bootstraptoken
: للإبلاغ مرة أخرى عمّا إذا كان حل MDM يدعم ميزة رمز bootstrap وتحديد الحالة الحالية لرمز bootstrap على Mac.
أداة سطر الأوامر sysadminctl
يمكن استخدام أداة سطر الأوامر sysadminctl
خصيصًا لتعديل حالة الرمز الآمن لحسابات المستخدمين على Mac. لكن يجب أن يتم ذلك بحذر وعند الضرورة فقط. دائمًا ما يتطلب تغيير حالة الرمز الآمن للمستخدم باستخدام sysadminctl
وجود اسم المستخدم وكلمة السر لمسؤول حالي تم تمكين الرمز الآمن له، إما بشكل تفاعلي أو من خلال الأعلام المناسبة في الأمر. يمنع كل من sysadminctl
وإعدادات النظام (macOS 13 أو أحدث) أو تفضيلات النظام (macOS 12.0.1 أو أقدم) حذف آخر مسؤول أو مستخدم تم تمكين الرمز الآمن له على Mac. إذا تمت البرمجة النصية لإنشاء مستخدمين محليين إضافيين باستخدام sysadminctl
، فإنه لتمكين الرمز الآمن لهؤلاء المستخدمين، يتم توفير بيانات اعتماد المسؤول الحالي الذي يدعم الرمز الآمن إما باستخدام الخيار التفاعلي أو مباشرة باستخدام علامات -adminUser
و -adminPassword
مع sysadminctl
. إذا لم يتم منحه رمزًا آمنًا في وقت الإنشاء، في macOS 11 أو أحدث، يتم منح المستخدم المحلي الذي يسجل الدخول إلى Mac رمزًا مميزًا آمنًا أثناء تسجيل الدخول في حالة توفر رمز bootstrap من حل MDM. استخدم sysadminctl -h
لتعليمات الاستخدام الإضافية.