Etkinleştirme Kilidi güvenliği
Etkinleştirme Kilidi, yetkisiz kullanıcıların kayıp veya çalınmış bir iPhone, iPad, Mac, Apple Watch ve Apple Vision Pro aygıtını yeniden etkinleştirmesini engellemeye yardımcı olur. Aygıt silinse bile bu özellik etkin kalır. Bu, kayıp bir aygıtı herhangi birinin kullanmasını veya satmasını daha da zorlaştırır. Apple’ın Etkinleştirme Kilidi’ni nasıl uygulattığı aygıta bağlı olarak değişir.
iPhone parçalarında Etkinleştirme Kilidi
Apple, çalınan parçaların pazara girmesini engellemeye yardımcı olmak amacıyla iPhone için olan Etkinleştirme Kilidi’ni tek tek parçaları kapsayacak şekilde genişletmektedir. iPhone, bir onarım sırasında desteklenen bir parçanın Etkinleştirme Kilidi veya Kayıp Modu açık olan başka bir iPhone’dan geldiğini saptarsa o parça için kalibrasyon sınırlanır. Etkinleştirme Kilidi’ndeki bu iyileştirme Apple’ın kullanıcıları koruma yükümlülüğünü daha da genişletirken onarımlar konusunda tüketicinin seçeneklerini artırır.
iPhone, iPad ve Apple Vision Pro üzerinde davranış
Denetlenip yönetilmeyen bir iPhone, iPad ve Apple Vision Pro üzerinde, kullanıcı kendi Apple Hesabı’na giriş yapıp Bul’u açtığında Etkinleştirme Kilidi otomatik olarak açılır.
Denetlenip yönetilen bir aygıtta Etkinleştirme Kilidi’ne saptanmış olarak izin verilmez ama mobil aygıt yönetimi (MDM) çözümü kullanıcının bunu açmasına izin verebilir. Bu, MDM çözümünün aygıttan bir atlama kodu emanet almasını sağlar. Bu atlama kodu daha sonraki bir zamanda Etkinleştirme Kilidi’ni kapatmak için kullanılabilir. Şu durumlarda aygıt yeni bir atlama kodu oluşturur:
Aygıtı ilk kez ayarlarken
Aygıtı sildikten sonra aynı aygıtın bir yedeklemesini kullanarak geri yüklemeden ayarlarken
Aygıtı sildikten sonra farklı bir aygıtın yedeklemesiyle aygıtı geri yükleyerek ayarlarken
Alternatif olarak MDM çözümü, yönetilen ve denetlenip yönetilen aygıtlar için Etkinleştirme Kilidi’ni açmak amacıyla doğrudan Apple sunucularıyla iletişime geçebilir. Bu işlem tamamen sunucuda gerçekleştirilir ve kullanıcı eylemlerine veya aygıtın durumuna bağlı değildir. MDM çözümü, 31 baytlık bir atlama kodu yaratmalı ardından da aygıt için Etkinleştirme Kilidi’ni açmak istediğinde onu Apple sunucularına göndermelidir. MDM çözümünün atlama kodu her aygıt için rasgele yaratılmalı ve benzersiz olmalıdır.
Etkinleştirme Kilidi, Ayarlama Yardımcısı’nda Wi-Fi seçimi ekranından sonra etkinleştirme işlemi yoluyla uygulanır. Aygıt, etkinleştirildiğini belirttiğinde bir etkinleştirme sertifikası almak için etkinleştirme sunucusuna bir istek gönderir.
Etkinleştirme Kilidi ile kilitlenmiş, denetlenip yönetilmeyen iPhone, iPad ve Apple Vision Pro aygıtlarının kilidi şunlarla açılabilir:
Etkinleştirme Kilidi’ni açmak için kullanılan kişisel Apple Hesabı’nın kimlik bilgileri
Daha önce kullanılan aygıt parolası
Etkinleştirme Kilidi ile kilitlenmiş, denetlenip yönetilen iPhone, iPad ve Apple Vision Pro aygıtlarının kilidi şunlarla açılabilir:
Etkinleştirme Kilidi’ni açmak için kullanılan kişisel Apple Hesabı’nın kimlik bilgileri
Apple Okul Yönetimi veya Apple İşletme Yönetimi ile MDM çözümünü bağlamak için kullanılan Yönetilen Apple Hesabı’nın kimlik bilgileri
MDM çözümü tarafından alınan atlama kodu
MDM çözümünün Etkinleştirme Kilidi’ni açmak için kullanılan atlama kodunun aynısıyla Apple sunucularına sunucu tarafı çağrısı yapması
Not: iOS’teki, iPadOS’teki ve visionOS’teki Ayarlama Yardımcısı, geçerli bir sertifika alınana kadar ilerlemez.
Apple Watch’ta davranış
Denetlenip yönetilmeyen bir Apple Watch’taki Etkinleştirme Kilidi, eşlenmiş iPhone’un Etkinleştirme Kilidi durumuyla ilişkilidir. iPhone’da Etkinleştirme Kilidi açıksa Apple Watch’tan, eşleme işleminin sonunda Etkinleştirme Kilidi’nin açılması için Apple sunucularıyla iletişime geçmesi istenir. iPhone’daki eşleme sırasında Etkinleştirme Kilidi açılmadıysa ama daha sonraki bir zamanda etkinleştirilirse iPhone:
Eşlenmiş tüm Apple Watch aygıtlarının Apple sunucularıyla iletişim kurmasını ister.
Apple Watch’ta Etkinleştirme Kilidi’ni açabilir.
iPhone, ilk eşleme işleminin bir parçası olarak Apple Watch için bir etkinleştirme sertifikası almak üzere etkinleştirme sunucusuna bir istek gönderir.
Apple Watch Etkinleştirme Kilidi ile kilitlenmişse kullanıcı Apple Watch’u silmek, yeniden etkinleştirmek veya eşlemesini kaldırmak istediğinde ondan daha önce Etkinleştirme Kilidi’ni açmak için kullanılmış Apple Hesabı’nın kimlik bilgileri istenir.
Not: Geçerli bir sertifika elde edilmeden eşleme tamamlanamaz.
Mac’te davranış
Denetlenip yönetilmeyen bir Mac’te, kullanıcı kendi Apple Hesabı ile giriş yapıp Bul’u açtığında Etkinleştirme Kilidi otomatik olarak açılır. Denetlenip yönetilen bir Mac için Etkinleştirme Kilidi’ne saptanmış olarak izin verilmez ama MDM çözümü kullanıcının bunu açmasına izin verebilir. Bu, MDM çözümünün aygıttan bir atlama kodu emanet almasını sağlar. Bu atlama kodu daha sonraki bir zamanda Etkinleştirme Kilidi’ni kapatmak için kullanılabilir. Şu durumlarda aygıt yeni bir atlama kodu oluşturur:
Aygıtı ilk kez ayarlarken
Aygıtı sildikten sonra ayarlarken
Apple Silicon yongalı bir Mac’te ek bir davranış
Apple Silicon yongalı bir Mac’te düşük düzeyli başlatma yükleyicisi (LLB), aygıt için geçerli bir LocalPolicy olduğunu ve LocalPolicy politika yeniden göndermeyi önleme değerlerinin güvenli saklama alanı bileşeninde saklanan değerlerle eşleştiğini doğrular. LLB şu durumlarda recoveryOS’te başlatır:
Şu anki macOS için bir LocalPolicy yoksa
LocalPolicy o macOS sürümü için geçerli değilse
LocalPolicy yeniden göndermeyi önleme değeri özet değerleri güvenli saklama alanı bileşeninde saklanan değerlerin özetleriyle eşleşmiyorsa
recoveryOS, Mac’in etkinleştirilmemiş olduğunu algılar ve bir etkinleştirme sertifikası almak için etkinleştirme sunucusuyla iletişim kurar.
Aygıt, recoveryOS’teyken Etkinleştirme Kilidi kullanılarak kilitlenmişse Etkinleştirme Kilidi’nin kilidi şunlarla açılabilir:
Etkinleştirme Kilidi’ni açmak için kullanılan kişisel Apple Hesabı’nın kimlik bilgileri
Etkinleştirme Kilidi’ni açmış olan yerel kullanıcının daha önce kullanılan aygıt parolası
MDM çözümü tarafından alınan atlama kodu
Geçerli bir etkinleştirme sertifikası alındıktan sonra, bir RemotePolicy sertifikası almak için o etkinleştirme sertifikası anahtarı kullanılır. Mac, geçerli bir LocalPolicy oluşturmak için LocalPolicy anahtarını ve RemotePolicy sertifikasını kullanır.
Not: LLB, geçerli bir LocalPolicy bulununcaya dek macOS’in başlatılmasına izin vermez.
T2 yongalı bir Mac’te ek bir davranış
T2 yongalı bir Mac’te, T2 yongası firmware’i, bilgisayarın macOS ile başlamasına izin vermeden önce geçerli bir etkinleştirme sertifikasının olduğunu doğrular. T2 yongası tarafından yüklenen UEFI firmware’i, aygıtın etkinleştirme durumunun T2 yongasından sorgulanmasından sorumludur. Mac şu durumlarda recoveryOS’te başlatır:
Geçerli bir etkinleştirme sertifikası yoksa
recoveryOS, Mac’in etkinleştirilmemiş olduğunu algılar ve bir etkinleştirme sertifikası almak için etkinleştirme sunucusuyla iletişim kurar.
Mac recoveryOS’teyken Etkinleştirme Kilidi kullanılarak kilitlenmişse Etkinleştirme Kilidi’nin kilidi şunlarla açılabilir:
Etkinleştirme Kilidi’ni açmak için kullanılan kişisel Apple Hesabı’nın kimlik bilgileri
Etkinleştirme Kilidi’ni açmış olan yerel kullanıcının daha önce kullanılan aygıt parolası
MDM çözümü tarafından alınan atlama kodu
Not: UEFI firmware, geçerli bir etkinleştirme sertifikası bulununcaya dek macOS’in başlatılmasına izin vermez.
Apple Okul Yönetimi’nde veya Apple İşletme Yönetimi’nde Etkinleştirme Kilidi’ni yönetme
Apple aygıtı bir Apple Okul Yönetimi’ne veya Apple İşletme Yönetimi’ne kaydettirilmişse Aygıtı Yönet ayrıcalıklarına sahip bir roldeki kullanıcılar kuruluşa ait aygıtlar için Etkinleştirme Kilidi’ni kapatabilirler. Bu seçenek yalnızca Etkinleştirme Kilidi açılmadan önce kuruluşa kaydettirilmiş ve henüz yayımlanmamış aygıtlar için kullanılabilir. Etkinleştirme Kilidi, sunucu tarafı çağrılar kullanılarak etkisizleştirildiğinden aygıtın MDM çözümü tarafından yönetilmesi gerekmez.
Not: O anda Etkinleştirme Kilidi ile kilitlenmiş aygıtlar Apple Okul Yönetimi veya Apple İşletme Yönetimi kuruluşuna eklenemez.