לדלג לתוכן

Asset D: Hands-on Lab – אבטחת מידע ופרטיות (Security & TCC)

זמן משוער: 45 דקות מטרת התרגול: היכרות מעשית עם מנגנוני ההגנה המובנים של macOS באמצעות ממשק המשתמש הגרפי – מערכת ה-Gatekeeper, מנוע ה-XProtect, וניהול הרשאות ה-TCC. המשתתפים יתרגלו זיהוי מקורות חתימה של אפליקציות, מעקב אחר עדכוני אבטחה, ואיפוס הרשאות דרך הגדרות המערכת.

דרישות קדם (Prerequisites)

  • מחשב Mac מריץ macOS 26 (Tahoe).
  • הרשאות Administrator.
  • אפליקציית צד-שלישי כלשהי (כמו Google Chrome או Zoom) מותקנת במערכת.

חלק 1: חקירת מנגנון ה-Gatekeeper ומקורות חתימה דרך ה-GUI

במקום להשתמש בשורת הפקודה, נשתמש בכלים המובנים של המערכת כדי להבין מאיפה כל אפליקציה הגיעה ואם היא מאושרת על ידי ה-Gatekeeper.

שלב 1: הגדרות Gatekeeper ב-System Settings

  1. פתח את ה-System Settings.
  2. נווט אל Privacy & Security.
  3. גלול מטה עד לאזור Security.
  4. ודא שתחת "Allow applications downloaded from:" מסומנת האפשרות "App Store and known developers". זהו הסטטוס התקין והמומלץ המעיד שה-Gatekeeper פעיל.

שלב 2: זיהוי מקור חתימת האפליקציה (System Information)

  1. החזק את מקש ה-Option (⌥) במקלדת, ולחץ על תפריט התפוח () בפינה השמאלית העליונה של המסך.
  2. בחר ב-System Information (האפשרות הראשונה).
  3. בתפריט הצדדי, גלול מטה אל קטגוריית Software ולחץ על Applications (הטעינה עשויה לקחת מספר שניות).
  4. מצא ברשימה את Safari. בחלק התחתון של החלון, תחת "Obtained from", תוכל לראות שכתוב Apple – זוהי אפליקציה שחתומה על ידי המערכת.
  5. כעת, חפש ברשימה אפליקציה שהורדתם מהאינטרנט (למשל Google Chrome). הסתכל על ה-"Obtained from" ושים לב שכתוב Identified Developer. נתון זה מוכיח שהאפליקציה עברה נוטריזציה ונבדקה על ידי ה-Gatekeeper.

חלק 2: הצצה אל מאחורי הקלעים של XProtect

מנוע ה-XProtect עובד בצורה שקופה למשתמש. נשתמש ב-Finder וב-System Information כדי לראות את העדכונים שלו ואת הקבצים המנהלים אותו.

שלב 1: איתור גרסת ה-XProtect הנוכחית במערכת

  1. חזור לחלון ה-System Information (או פתח אותו מחדש דרך תפריט התפוח + Option).
  2. תחת קטגוריית Software, לחץ על Installations.
  3. לחץ על כותרת העמודה "Software Name" כדי לסדר את הרשימה לפי הא"ב.
  4. גלול עד לסוף הרשימה וחפש את הפריטים XProtectPayloads או XProtectPlistConfigData.
  5. הסתכל על עמודת ה-Version ועל תאריך ההתקנה (Install Date) כדי לראות מתי המערכת קיבלה את עדכון האבטחה השקט האחרון מאפל.

שלב 2: חקירת קבצי ה-XProtect ב-Finder

  1. פתח חלון Finder חדש.
  2. בתפריט העליון, לחץ על Go ואז בחר ב-Go to Folder... (או השתמש בקיצור Cmd+Shift+G).

  3. הקלד את הנתיב הבא ולחץ Enter: /Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/

  4. בתיקייה שתיפתח, אתר את הקובץ XProtect.meta.plist.

  5. בחר אותו ולחץ על מקש הרווח (Spacebar) כדי להפעיל את ה-Quick Look. כאן תוכל לראות את מספר הגרסה הפנימית של מנוע האבטחה בתבנית XML.

נלמד כיצד לראות למי יש גישה לנתונים רגישים, וכיצד ניתן לאפס הרשאה כדי להכריח את האפליקציה לבקש אותה מחדש – הכל מהממשק הגרפי.

שלב 1: צפייה בהרשאות TCC

  1. פתח את System Settings ונווט אל Privacy & Security.
  2. היכנס אל הקטגוריה Camera או Microphone.
  3. כאן תראה את כל האפליקציות שביקשו גישה בעבר. מתג כחול דולק אומר שהגישה אושרה (Consent), מתג אפור כבוי אומר שהגישה נשללה.

שלב 2: איפוס הרשאת TCC לאפליקציה (הסרה מלאה)

לעתים אפליקציה קורסת או לא מזהה את ההרשאה שניתנה לה. במקרה כזה, נרצה להסיר אותה לחלוטין ממאגר ה-TCC.

  1. היכנס לקטגוריה Full Disk Access תחת Privacy & Security.
  2. בחר באחת האפליקציות ברשימה (למשל תוכנת IT או אפליקציה מוכרת).
  3. לחץ על כפתור המינוס (-) בתחתית הרשימה.
  4. פעולה זו מסירה את האפליקציה לחלוטין ממסד הנתונים של ה-TCC עבור הרשאה זו. בפעם הבאה שהאפליקציה תופעל ותזדקק לגישה, היא תציג הודעה קופצת חדשה ותבקש את אישורכם.
  5. כעת לחץ על כפתור הפלוס (+), הזן סיסמת אדמין, ובחר את האפליקציה מתיקיית ה-Applications כדי להוסיף אותה ידנית מראש.

חלק 4: תיבול ארגוני - זיהוי פרופיל PPPC

בסביבה ארגונית מנוהלת, ה-IT מתקין פרופילים שמעניקים הרשאות TCC באופן אוטומטי (PPPC).

  1. ב-System Settings, חזור אחורה ולאחר מכן גלול למטה ובחר ב-Profiles או Device Management (אם מופיע - אם המחשב אינו מנוהל, תפריט זה עשוי להיות חסר).
  2. אם מותקנים פרופילים, חפש פרופיל המכיל את השם Privacy Preferences Policy Control או System Policy All Files.
  3. כניסה לפרטי הפרופיל תראה אילו אפליקציות קיבלו אישור אוטומטי.
  4. אם תחזור ל-Privacy & Security -> Full Disk Access, תוכל לראות שאפליקציות שנוהלו על ידי הפרופיל מציגות מתג אפור שאינו ניתן לשינוי, לעתים עם הכיתוב "Managed by your organization".

סיכום

במעבדה זו תרגלנו את היסודות של מנגנוני ההגנה של macOS דרך הממשק הגרפי. בדקנו את הגדרות ה-Gatekeeper, וידאנו מקורות חתימה בעזרת System Information, עקבנו אחר עדכוני XProtect השקטים, ולמדנו כיצד לנהל ולאפס הרשאות פרטיות של מערכת ה-TCC באמצעות כפתורי ההוספה וההסרה.

תרגיל אקסטרה / קצה קרחון טכני

לאנשי תמיכה מתקדמים, הנה כמה פקודות Terminal שמבצעות את הפעולות שראינו ב-GUI בצורה מהירה ומעמיקה יותר:

  1. בדיקת מצב Gatekeeper ואימות אפליקציה: במקום לפתוח System Information, ניתן לבדוק הערכת Gatekeeper מלאה על אפליקציה: 

    spctl --assess --verbose /Applications/Safari.app

  2. איפוס מסד נתונים TCC: במקום ללחוץ על סימן המינוס (-) בהגדרות, ניתן לאפס לחלוטין את הרשאת המיקרופון לכל המערכת בשורת פקודה אחת: 

    tccutil reset Microphone

  3. חקר XProtect Remediator: במקום להסתכל על קבצי plist ב-Finder, כך שואבים את דיווחי הסריקה השקטים של XProtect מתוך לוג המערכת של 24 השעות האחרונות: 

    log show --predicate 'subsystem == "com.apple.XProtectFramework.PluginAPI"' --info --last 24h