לדלג לתוכן

פרק 4: בעלות מערכת והצפנה (System Ownership & FileVault) - מעבדה מעשית (Asset D)

מטרה (Objective)

התנסות מעשית בניהול בעלות מערכת ואסימון אבטחה (Secure Token) באמצעות הממשק הגרפי, הבנת הקשר שלו למנגנון הצפנה FileVault, הפעלת FileVault, ויצירה וניהול של Recovery Key.

תרחיש (Scenario)

כחלק ממחלקת ה-IT הארגונית, עליך לוודא שהמשתמשים במחשב קיבלו בעלות על המערכת באמצעות Secure Token. לאחר מכן, עליך להפעיל את ההצפנה על Volume הנתונים (Data Volume), ולהפיק Recovery Key אישי (PRK) על מנת למנוע נעילת נתונים אבודה במקרה של שכחת סיסמה. הכל יתבצע בעזרת כלי הממשק המובנים של macOS.

ציוד ודרישות (Prerequisites)

  • מחשב Mac מבוסס Apple Silicon.
  • משתמש מסוג Local Account ברמת מנהל (Admin).
  • מומלץ חיבור לחשמל במחשבים ניידים במהלך שינויי הצפנה.

חלק 1: בדיקת בעלות מערכת (Secure Token Status) באמצעות הממשק הגרפי

לפני שניתן להפעיל את FileVault, המערכת דורשת אימות שלמשתמש יש Secure Token. כלי ה-Directory Utility מאפשר לנו לבדוק זאת ויזואלית.

  1. פתח את כלי השירות Directory Utility (ניתן למצוא אותו באמצעות חיפוש ב-Spotlight, או בניווט לתיקיית /System/Library/CoreServices/Applications/).
  2. לחץ על סמל המנעול בפינה והזן את סיסמת מנהל המערכת שלך כדי לאפשר שינויים.
  3. בסרגל הכלים העליון, עבור ללשונית Directory Editor.
  4. ודא שהתפריט הנפתח Viewing מוגדר ל-Users ושאתה קורא מהצומת המקומית (Local).
  5. מצא את שם המשתמש שלך ברשימה השמאלית ולחץ עליו.
  6. ברשימת המאפיינים (Attributes) מצד ימין, חפש מאפיין שנקרא AuthenticationAuthority.
  7. בתוך שדה הערך שלו (Value), אתר את המחרוזת SecureToken. הימצאותה מעידה על כך שהמשתמש הזה מחזיק באסימון אבטחה ויכול לנהל את ההצפנה.

חלק 2: בדיקת מצב ההצפנה ברמת החומרה

במחשבי Apple Silicon, מנוע ה-AES החומרתי מצפין את הנתונים 24/7 עוד בטרם הפעלת FileVault. נבדוק זאת כעת.

  1. פתח את אפליקציית Disk Utility (מתוך תיקיית Utilities או דרך Spotlight).
  2. בסרגל הצד, בחר את Volume הנתונים של המק שלך (לרוב ייקרא Macintosh HD - Data).
  3. הסתכל מתחת לשם ה-Volume בחלונית המרכזית.
  4. שים לב כי הפורמט המוצג הוא APFS (Encrypted). משמעות הדבר היא שהווליום כבר מוצפן חומרתית ומוכן לעטיפה של FileVault ללא צורך בהמתנה להצפנת הנתונים עצמם.

חלק 3: הפעלת FileVault דרך ממשק המשתמש (System Settings)

כעת נפעיל רשמית את מנגנון ההגנה על הנתונים.

  1. פתח את System Settings ונווט אל Privacy & Security.
  2. גלול מטה עד לאזור FileVault.
  3. לחץ על כפתור Turn On.
  4. תתבקש להזין סיסמת מנהל מערכת לשם אישור.
  5. בחלון הקופץ תישאל כיצד תרצה לשחזר גישה במקרה שתשכח סיסמה. בחר באפשרות יצירת Recovery Key מקומי (Create a recovery key and do not use my iCloud account).
  6. המערכת תציג בפניך את מפתח השחזור (Personal Recovery Key - PRK). עליך להעתיק או לרשום אותו בזהירות במקום בטוח חיצוני. אין לשמור את מפתח השחזור בקובץ טקסט בתוך המחשב הנוכחי!
  7. לחץ על Continue. ההצפנה תוגדר ותופעל באופן כמעט מיידי.

חלק 4: ניהול משתמשים המורשים לפענוח ההצפנה

לאחר הפעלת FileVault, יש לבדוק אילו משתמשים יכולים לפתוח את הדיסק באתחול.

  1. הישאר בחלון FileVault תחת Privacy & Security.
  2. במידה וישנם במחשב משתמשים נוספים שאינם מורשים כרגע, יופיע כפתור נוסף תחת הסטטוס בשם Options או רשימת משתמשים.
  3. לחיצה על כפתור זה תציג לך את המשתמשים במערכת שניתן להפעיל עבורם את יכולת שחרור הכונן (מה שדורש הזנת סיסמה של המשתמש בעל ה-Secure Token).

חלק 5: שימוש במפתח שחזור (תרחיש סימולציה)

בחלק זה נבדוק האם מפתח השחזור (PRK) שיצרנו מאפשר לנו לחלץ נתונים במצב חירום.

  1. בצע הפעלה מחדש (Restart) ל-Mac.
  2. במסך ההתחברות (Login Window), שמתפקד כעת כמסך הפענוח (Pre-boot) של Volume הנתונים המוצפן, הזן סיסמה שגויה 3 פעמים ברציפות, או לחץ על סמל סימן השאלה (?) המופיע ליד שדה הסיסמה.
  3. המערכת תציע לך לשחרר את ההצפנה באמצעות Recovery Key. לחץ על האפשרות להזין מפתח.
  4. הקלד את מפתח השחזור (PRK) שהפקת בחלק 3. הקפד על דיוק מוחלט (כולל האותיות והמקפים).
  5. במידה וההזנה נכונה, מנגנון ההצפנה FileVault ישתחרר ותקבל אפשרות לאפס את סיסמת החשבון המקומי שלך או פשוט להמשיך ישירות לתוך המערכת.

תרגיל אקסטרה / קצה קרחון טכני

מאחורי הקלעים של ממשק המשתמש שחקרנו כעת, פועלים מספר כלי שורת פקודה (CLI) עוצמתיים שבהם משתמשים מנהלי רשת, שרתי ניהול (MDM) וסקריפטים לאוטומציה של תהליכים. פתח את אפליקציית Terminal ונסה להריץ את הפקודות הבאות:

  • בדיקת מצב Secure Token: במקום לנבור ב-Directory Utility, ניתן לבקש מהמערכת לספק תשובה ישירה לגבי בעלות המערכת: sysadminctl -secureTokenStatus username (החלף את username בשם המשתמש המקוצר שלך). אם המערכת תחזיר ENABLED, משמעות הדבר היא שיש לך בעלות מערכת.

  • בדיקת מצב FileVault: ניתן לבדוק את מצב ההצפנה המערכתית בפקודה אחת מהירה: fdesetup status

  • בדיקת סטטוס Bootstrap Token: כדי לבדוק האם המק תקשר עם שרת ניהול (MDM) והפקיד (Escrow) Bootstrap Token שמאפשר הענקת Secure Tokens אוטומטית לעובדים חדשים, ניתן להשתמש בפקודה: sudo profiles status -type bootstraptoken (פעולה זו תדרוש הקלדת סיסמת מנהל).