פרק 13: תהליך האתחול ואדריכלות אבטחה¶
מעבדה מעשית (Hands-on Lab): חקירת מצבי אתחול, Startup Security ושיתוף כוננים¶
מטרה (Objective)¶
התרגול תתמקד בהבנת הארכיטקטורה של מחשבי Apple Silicon ברמת ה-Boot. אנו ניכנס לסביבת ה-macOS Recovery, נשתמש בכלי ה-Startup Security Utility כדי להוריד את רמת האבטחה ל-Reduced Security (על מנת לאפשר התקנת Kexts בעתיד), ולאחר מכן נפעיל את תכונת ה-Share Disk (המוכרת גם כ-Mac Sharing Mode) כדי לגשת למידע של המק ממחשב אחר. לסיום, נאמת את הגנות המערכת דרך הממשק הגרפי.
דרישות קדם (Prerequisites)¶
- 2 מחשבי Mac מבוססי Apple Silicon (מחשב אחד ישמש כ-Host שיכנס ל-Recovery, והשני כ-Client לצורך הגישה מרחוק).
- כבל USB-C ל-USB-C או כבל Thunderbolt 3/4 תקין.
- חשבון עם הרשאות Admin בשני המחשבים.
חלק 1: כניסה ל-Recovery ושינוי מדיניות אבטחה (Startup Security Utility)¶
1. כיבוי והפעלה במצב אפשרויות אתחול:
- ודא שהמחשב (ה-Host) כבוי לחלוטין מתוך תפריט התפוח (Apple Menu > Shut Down).
- לחץ והחזק את כפתור ההפעלה (Touch ID) ברציפות מבלי לעזוב.
- המשך להחזיק עד שתראה את ההודעה "Loading startup options…" מתחת ללוגו של אפל.
- כאשר מופיע מסך ה-Startup Options, בחר בסמל גלגל השיניים (Options) ולחץ על Continue.
2. אימות משתמש ב-Recovery:
- במסך הזיהוי, בחר את משתמש ה-Admin שלך מתוך הרשימה.
- הקלד את הסיסמה לחשבון ולחץ על Continue.
3. גישה ל-Startup Security Utility:
- בשורת התפריטים העליונה (Menu Bar), לחץ על תפריט Utilities ובחר Startup Security Utility.
- בחלון שנפתח, סמן את כונן המערכת שלך (לרוב "Macintosh HD").
- לחץ על הכפתור Security Policy... בפינה הימנית התחתונה.
4. החלפה למצב Reduced Security:
- החלף את בחירת הרדיו מ-Full Security (ברירת המחדל) ל-Reduced Security.
-
סמן ב-V את תיבת הסימון הראשונה המאפשרת ניהול Kexts:
Allow user management of kernel extensions from identified developers -
לחץ על OK.
- המערכת תבקש ממך להזין שוב את סיסמת ה-Admin כדי לאשר את השינוי הקריטי ב-Firmware. הזן אותה ואשר.
- המתן מספר שניות עד שהמדיניות תוחל, ולאחר מכן סגור את חלון ה-Startup Security Utility על ידי לחיצה על Command + Q.
חלק 2: הדמיית שיתוף כונן (Share Disk / Mac Sharing Mode)¶
מצב זה מחליף למעשה את פונקציונליות ה-Target Disk Mode המוכרת ממחשבי Intel הישנים.
1. הפעלת השיתוף מהמק ב-Recovery:
- בעודך עדיין בתוך סביבת ה-macOS Recovery, גש שוב לשורת התפריטים העליונה.
- לחץ על Utilities ובחר באפשרות Share Disk.
- בחלון שיופיע, בחר את הכונן אותו תרצה לשתף (Macintosh HD).
- לחץ על Start Sharing.
- כעת יוצג מסך המציין שהמחשב משתף את הכונן וממתין לחיבור פיזי.
2. התחברות אל הכונן דרך המק השני (Client):
- חבר את שני המחשבים באמצעות כבל ה-USB-C או ה-Thunderbolt.
- במק השני (שדלוק ופעיל במערכת ההפעלה הרגילה), פתח חלון Finder.
- בסרגל הצד (Sidebar), תחת קטגוריית Locations או Network, אתר את שם המק המשתף ולחץ עליו.
- בפינה הימנית העליונה של החלון, לחץ על הכפתור Connect As....
- בחר ב-Registered User והזן את שם המשתמש וסיסמת ה-Admin של המק המשתף (ה-Host).
- לחץ על Connect.
- כעת יעלה בפניך כונן ה-Macintosh HD של המק הראשון ותוכל לסייר בקבצים, להעתיק מידע חשוב או לאבחן תקלות בדיסק.
3. סיום השיתוף וחזרה לשגרה:
- במק השני, לחץ על סמל ההוצאה (Eject) לצד הכונן המשותף ב-Finder.
- נתק את כבל החיבור בין המחשבים.
- במק הראשון, לחץ על הכפתור Stop Sharing כדי לסיים את מצב שיתוף הכונן.
- מתפריט התפוח () העליון, בחר Restart כדי להפעיל מחדש את המחשב לתוך ה-macOS.
חלק 3: וידוא סטטוס הגנות המערכת דרך הממשק הגרפי¶
כעת, לאחר שהורדנו את רמת האבטחה והדלקנו את המחשב מחדש, נבדוק כיצד המערכת מדווחת על כך.
1. פתיחת מידע מערכת (System Information):
- במק הראשון (שכעת פועל בשגרה ב-macOS), לחץ על תפריט התפוח () מלווה בלחיצה על מקש Option (⌥) במקלדת. האפשרות "About This Mac" תשתנה ל-System Information....
- לחץ על System Information... כדי לפתוח את כלי האבחון.
2. בדיקת מצב ה-SIP (System Integrity Protection):
- בסרגל הצד השמאלי של כלי מידע המערכת, לחץ על הקטגוריה Software.
- בחלונית הימנית, חפש את השורה System Integrity Protection.
- ודא שהסטטוס מצוין כ-
Enabled. (הערה חשובה: הורדת רמת האבטחה ל-Reduced Security איננה מכבה את ה-SIP. הגנת המערכת נשארת פעילה, אך אנו מאפשרים "החרגות" ספציפיות עבור Kexts).
3. בדיקת הרחבות קרנל קיימות (Extensions):
- באותו סרגל צד, תחת Software, לחץ על Extensions. (המתן כמה שניות עד שהרשימה תטען).
- כאן תוכל לראות את כלל הרחבות המערכת ולמיין אותן על פי עמודות (כגון 'Loaded' כדי לראות מה רץ כרגע במערכת).
- אם היה נדרש לאשר Kext חדש, אישור זה היה מתבצע דרך System Settings > Privacy & Security.
שימו לב (Best Practice): בסיום התרגול כולה, מומלץ לחזור על השלבים של חלק 1 ולהשיב את מדיניות האבטחה ב-Startup Security Utility חזרה ל-Full Security על מנת להגן על המק.
תיבול ארגוני (Enterprise Seasoning) - ציפיות בסביבת MDM¶
- חסימת גישה ל-Recovery (Recovery Lock): בארגונים מחמירים, אדמין ה-MDM יכול לשלוח פרופיל שמפעיל Recovery Lock. המשמעות היא שהמשתמש ייעצר עוד לפני מסך ה-Options ויידרש להזין סיסמת מנהל (או מפתח שהופק מה-MDM) כדי לטעון את ה-Recovery, מה שמונע ממנו לשנות את ה-Startup Security או לשתף את הדיסק שלו ללא אישור ה-IT.
- נעילת Kexts ארגונית: בארגון, המדיניות העדכנית היא לרוב להימנע לחלוטין מהורדת ה-Security. במקום שמשתמש הקצה יאשר Kexts ידנית, מערכת ה-MDM מפיצה את אישורי ה-Kext (באמצעות Team ID) בצורה חלקה ברקע, או עדיף מכך – מאלצת יצרני תוכנה להשתמש ב-System Extensions מודרניים שרצים ב-User Space ולא ב-Kernel Space.
תרגיל אקסטרה / קצה קרחון טכני¶
אם תרצו לוודא את הסטטוס של מדיניות ההרחבות והגנות המערכת ישירות משורת הפקודה (כמו שמנהלי מערכת נוהגים לעשות כדי לאסוף מידע בצורה מהירה בשרתים או דרך MDM), תוכלו להשתמש ב-Terminal:
- פתחו את אפליקציית ה-Terminal.
-
לבדיקת מצב מדיניות אישורי הרחבות הקרנל של המשתמש:
הפלט הצפוי הואspctl kext-consent statusKernel Extension User Consent: ENABLED, שמעיד על כך שאפשרנו התקנת Kexts ממפתחים מזוהים ב-Startup Security Utility. -
לבדיקת מצב הגנת ה-SIP (System Integrity Protection):
הפלט אמור לאשר ש-SIP מופעל (csrutil statusenabled), כיוון ש-Reduced Security אינו מבטל אותו לחלוטין.