לדלג לתוכן

שיעור 4: System Ownership & FileVault

חלק ב\': מדריך העברה למרצה (מדריך למרצה)

הנחיית מבנה למדריך (Facilitator): מסמך זה משמש אותך כתסריט ומערך שיעור. כל נושא כולל "מטרה" למיקוד, "דיון/תסריט" שניתן להקריא או להעביר בסגנון חופשי, "הדגמה" צעד-אחר-צעד, ו"העמקת מדריך" (בתוך רשימה נפתחת) שנועדה לתת לך גב טכני למענה על שאלות מתקדמות מהכיתה. שים לב לשימוש במושגי המפתח הרשמיים.

1. אסימוני אבטחה: Secure Token ומי רשאי לאשר שינויים קריטיים

מטרה: להבין מהו Secure Token (אסימון אבטחה) (Secure Token), כיצד הוא מחליף את גישת ה-Admin המסורתית במשימות מאובטחות, ואיך הוא קובע מי רשאי לפתוח את ההצפנה ב-macOS.

דיון (תסריט הדרכה):

  • אתגר לאנשי IT: מעבר מסביבות Windows או ממקים ישנים למקים מודרניים.
  • המצב בעבר: משתמש מנהל (Admin) מקומי היה "כל יכול" ויכול היה לבצע הכל.
  • העידן החדש: עם שבבי T2 ו-Apple Silicon, אפל הציגה את ה-Secure Token (אסימון אבטחה).
    • האסימון הוא "מפתח המאסטר" לקרביים הקריפטוגרפיים של המק.
    • עובדה היסטורית: ה-Secure Enclave שמנהל את כל זה הוצג לראשונה באייפון 5s ב-2013, והגיע למק רק שנים מאוחר יותר!
  • משתמש ראשון:
    • מקבל את ה-Secure Token אוטומטית עם יצירתו.
    • הופך לבעל הרשאה לפתוח את הצפנת המערכת (System Ownership - בעלות מערכת).
  • הבעיה ביצירת חשבונות חדשים:
    • איש תמיכה יוצר חשבון נוסף.
    • אם המשתמש הראשון לא "מעביר" או מאשר את האסימון למשתמש החדש, השני נשאר ללא הרשאה.
    • אפילו אם המשתמש השני הוא מנהל (Admin), הוא לא יוכל:
      • להפעיל את FileVault (מנגנון הצפנה).
      • לאשר שינויים קריטיים ב-Startup Security Utility (כלי אבטחת האתחול).

הדגמה:

  • פתיחת כלי השירות: Directory Utility (דרך Spotlight או בנתיב /System/Library/CoreServices/Applications/).
  • לחיצה על סמל המנעול והזנת סיסמת מנהל.
  • מעבר ללשונית Directory Editor ובחירה בתצוגת Users.
  • איתור משתמש המערכת ברשימה.
  • גלילה מטה אל המאפיין AuthenticationAuthority.
  • הצגה לכיתה:
    • הצביעו על הערך המכיל את המחרוזת SecureToken.
    • הסבירו שזוהי החותמת הקריפטוגרפית לכך שהמשתמש מחזיק באסימון אבטחה.

העמקת מדריך (Instructor Deep-Dive):

לחץ להרחבה: איך Secure Token ו-Volume Ownership באמת עובדים מאחורי הקלעים * **Volume Ownership:** * במחשבי Apple Silicon נוסף רובד בשם בעלות על הווליום. * המשתמש הראשון הופך לבעלים של Volume הנתונים (Data Volume). * המידע נשמר ברמת החומרה ב-Secure Enclave. * **קשר קריפטוגרפי:** * ה-Secure Token מקושר קריפטוגרפית למפתחות ה-KEK (Key Encryption Key). * מפתחות אלו מיוצרים מסיסמת המשתמש. * הם משמשים לפתיחת ה-VEK (Volume Encryption Key). * **בדיקת סטטוס וניהול ב-CLI:** * בדיקה מהירה: הרצת הפקודה `sysadminctl -secureTokenStatus `. * **הענקת Token ידנית בטרמינל:** * פקודה מלאה: `sysadminctl -adminUser -adminPassword -secureTokenOn -password `.

2. הצפנת APFS: איך FileVault עובד (ללא האטה בביצועים)

מטרה: להבין את היתרונות של FileVault (מנגנון הצפנה) במחשבי Mac מודרניים, ולנפץ את המיתוסים על פגיעה בביצועים.

דיון (תסריט הדרכה):

  • מיתוס מהעבר: בעבר, הדלקת FileVault גרמה לירידה משמעותית בביצועים.
    • ההצפנה התבססה על תוכנה.
    • תהליך ההצפנה הראשוני ארך ימים שלמים.
    • אנלוגיה / היסטוריה: ידעתם ש-FileVault 1 היה כל כך קל לפריצה, עד שבשנת 2006 יצא כלי בשם "VileFault" שנועד להדגים כמה המנגנון שברירי? בדיוק בגלל זה אפל עברה להצפנת חומרה מובנית.
  • העידן המודרני: מערכות Apple Silicon מציעות מנוע AES חומרתי ייעודי.
    • המידע על Volume הנתונים מוצפן תמיד, 24/7, ישר מהקופסה.
  • תהליך הפעלת FileVault:
    • הקבצים כבר מוצפנים, אין צורך בהצפנה מחדש.
    • המערכת רק "עוטפת" את מפתח ההצפנה של הדיסק בסיסמת המשתמש וב-Secure Token שלו.
    • התוצאה: התהליך מיידי ואינו צורך משאבי מעבד כלל.

הדגמה:

  • פתיחת האפליקציה Disk Utility.
  • בחירת Volume הנתונים (בדרך כלל ייקרא Macintosh HD - Data).
  • הצגה לכיתה במידע המפורט:
    • הצביעו על הסטטוס APFS (Encrypted).
    • הדגישו שהכונן מוצפן גם כשה-FileVault טרם הופעל רשמית!
  • פתיחת System Settings:
    • ניווט אל Privacy & Security.
    • גלילה מטה אל הגדרות FileVault.
    • הדגישו לכיתה: המנגנון כבוי במערכת עצמה, אך הכונן מוצפן ברמת החומרה.

העמקת מדריך (Instructor Deep-Dive):

לחץ להרחבה: קריפטוגרפיה חומרתית, VEK לעומת KEK ו-CLI * **VEK (Volume Encryption Key):** * המפתח שמצפין בפועל את המידע על הדיסק ברמת מערכת הקבצים APFS. * המפתח נשמר פיזית בתוך ה-Secure Enclave. * **KEK (Key Encryption Key):** * מפתח ייעודי המופק משילוב סיסמת המשתמש ומזהה החומרה. * כאשר מפעילים את FileVault, ה-VEK נעטף (Wrapped) על ידי ה-KEK. * **ניהול שורת פקודה:** * בדיקת מצב ההצפנה על ידי טכנאים: `fdesetup status`. * **מחיקה מאובטחת (EACS):** * מחיקת כל התוכן וההגדרות (Erase All Content and Settings) משמידה בפועל את ה-VEK. * זה הופך את כל הנתונים לבלתי קריאים בתוך שבריר שנייה.

3. שחזור דיסק נעול: מפתחות שחזור (PRK לעומת iCloud)

מטרה: להכיר את שתי חלופות השחזור המקומיות שמוצעות למשתמש בעת הדלקת FileVault, ולהבין למה בארגונים מעדיפים כמעט תמיד את אפשרות המפתח האישי.

דיון (תסריט הדרכה):

  • תסריט הבעיה: הדלקנו את FileVault והמערכת מאובטחת, אך המשתמש שכח את הסיסמה.
  • דרישת המערכת: הפעלת FileVault דורשת בחירת Recovery Key (מפתח שחזור).
  • שתי האפשרויות הזמינות:
    • אפשרות 1: שחזור דרך iCloud (מיועד לבית).
      • המפתח נשמר בענן של אפל.
      • הדיסק משתחרר עם הזנת ה-Apple ID והסיסמה.
    • אפשרות 2: יצירת מפתח אישי - PRK (הסטנדרט לארגונים).
      • המערכת מייצרת מחרוזת שחזור ארוכה.
      • רק באמצעותה ניתן לפתוח את הדיסק ממצב התאוששות.
      • מאפשרת לארגון שליטה מלאה וללא תלות בחשבון הפרטי של העובד.

הדגמה:

  • ניווט בתוך System Settings אל Privacy & Security -> FileVault.
  • לחיצה על כפתור ההפעלה Turn On.
  • הצגה לכיתה של חלון הבחירה הקופץ.
    • הסבירו את הדילמה בין חיבור ל-iCloud ליצירת מפתח אישי.
  • בחירת האפשרות ליצירת Recovery Key (מפתח שחזור).
  • הצגת המחרוזת הארוכה שנוצרת (ה-PRK).
    • הדגישו את החשיבות של שמירת המפתח במערכת ניהול בארגון.

העמקת מדריך (Instructor Deep-Dive):

לחץ להרחבה: אימות ויצירה מחדש של מפתחות בטרמינל * **Institutional Recovery Key (IRK):** * בעבר ארגונים עשו שימוש במפתח אב מוסדי אחיד (FileVaultMaster.keychain). * בסביבות Apple Silicon מודרניות הגישה נזנחה. * ההעדפה היום היא ל-PRK אישי שעובר תהליך Escrow ל-MDM. * **אימות מפתח קיים:** * מנהל IT יכול לוודא שהמפתח שבידיו פותח את המחשב ללא אתחול ל-Recovery. * הפקודה לביצוע: `sudo fdesetup validaterecovery`. * **יצירת מפתח חדש (ללא כיבוי והדלקה):** * יצירת PRK חדש לחלוטין בצורה חלקה. * הפקודה לביצוע: `sudo fdesetup changerecovery -personal`.

4. תיבול ארגוני: ה-Bootstrap Token ואיך MDM "אוגר" מפתחות הצפנה

מטרה: להסביר כיצד שרת הניהול (MDM) פותר את כאב הראש של הענקת Secure Token ואחסון מפתחות FileVault בעזרת Bootstrap Token (אסימון אתחול) (Bootstrap Token).

דיון (תסריט הדרכה):

  • האתגר הארגוני: הענקת Secure Token באופן ידני לכל משתמש חדש היא בלתי אפשרית בארגונים גדולים.
  • הפתרון של אפל: מערכת Bootstrap Token (אסימון אתחול).
    • המחשב נרשם לשרת הניהול (MDM).
    • המשתמש הראשון יוצר Bootstrap Token מאחורי הקלעים.
    • האסימון נשלח כפיקדון (Escrow) ישירות לשרת.
  • כניסת עובד חדש למק:
    • המק מתקשר עם ה-MDM ומושך את ה-Bootstrap Token.
    • האסימון מנפיק למשתמש החדש Secure Token משלו בצורה אוטומטית לחלוטין.
  • הצפנה שקופה בארגון:
    • ה-MDM מפעיל את FileVault ברקע.
    • מפתח השחזור (PRK) נשלח חזרה ל-MDM.
    • אם משתמש שכח סיסמה, טכנאי התמיכה פשוט שולף את המפתח מפורטל הניהול.

הדגמה:

  • פתיחת האפליקציה Console (דרך Spotlight).
  • לחיצה על כפתור התחלת ההקלטה (Start) בשורת הכלים העליונה.
  • שימוש בתיבת החיפוש: הקלידו bootstraptoken או mdmclient ולחצו Enter.
  • הסבר לכיתה:
    • הראו כיצד המק וה-MDM מנהלים מאחורי הקלעים את תהליכי ההפקדה והמשיכה של האסימונים.
    • במחשב מנוהל הרישומים (Logs) יציגו את התקשורת החיה והשקופה.

העמקת מדריך (Instructor Deep-Dive):

לחץ להרחבה: כלי CLI לבדיקת Bootstrap Token * **אבחון שורת פקודה:** * בדיקת תקשורת ה-Token מול שרת ה-MDM מתבצעת על ידי הפקודה: `sudo profiles status -type bootstraptoken`. * הפלט מראה האם האסימון נתמך והאם הופקד (Escrowed) בהצלחה. * **Deferred Enablement (הפעלה מושהית):** * ה-MDM יכול לשלוח פרופיל תצורה שדורש הפעלת FileVault. * המערכת ממתינה עד התחברות המשתמש, משתמשת בסיסמתו לעטיפת המפתח, ושולחת את ה-PRK שנוצר ל-MDM. * **יצירה ומשלוח באופן ידני:** * ניתן לאלץ יצירת Bootstrap Token במקרי תקלה. * הפקודה לביצוע: `sudo profiles install -type bootstraptoken`.