לדלג לתוכן

שיעור 13 חלק ה\': שלד למצגת

Slide 1: Title Slide

Main Title: שיעור 13: Boot Process

Subtitle: Boot Chain, Startup Security Utility, Kexts & Firmware Security

Bullets:

  • שיעור 13: תהליך האתחול
  • שרשרת האתחול ב-Apple Silicon
  • כלי ה-Startup Security Utility
  • הרחבות קרנל (Kexts)
  • אבטחת Firmware מוסדית

[Image Recommendation]: A minimalist abstract vector showing a secure chain locking around an Apple processor chip.

Slide 2: Apple Silicon Boot Chain

Main Title: שיעור 13: Boot Process

Subtitle: שרשרת האתחול: מ-Boot ROM דרך LLB ועד הקרנל

Bullets:

  • Chain of Trust
  • אימות קריפטוגרפי מובנה
  • שלב 1: Boot ROM
  • שלב 2: LLB
  • שלב 3: iBoot
  • שלב 4: Kernel
  • חתימה נדרשת לכל שלב
  • שילוב NVRAM ו-SMC ב-SoC

[Image Recommendation]: A simple flow chart diagram: Boot ROM -> LLB -> iBoot -> Kernel -> macOS.

Presenter Notes: תהליך העלייה (Boot) במחשבי Apple Silicon השתנה לחלוטין. כל פעם שהמחשב עולה, המערכת מוודאת שאף תוכנה זדונית לא השתלטה. התהליך מבוסס שרשרת אמון - ה-Boot ROM שצרוב בחומרה בודק את ה-LLB (ה-Bootloader הראשוני), שבודק את ה-iBoot שמעלה את הקרנל. כל שלב חותם ובודק את הבא אחריו. אם חוליה אחת לא מתאימה, המק לא יעלה! בנוסף, אין יותר רכיבים נפרדים ל-SMC או NVRAM, הכל יושב על אותו שבב (SoC).

Slide 3: Startup Security Utility

Main Title: שיעור 13: Boot Process

Subtitle: Startup Security Utility: שינוי רמות האבטחה

Bullets:

  • ניהול מדיניות פר ווליום
  • Full Security (ברירת מחדל)
  • אימות TSS
  • מניעת Rollback
  • Reduced Security
  • מפתחים וגרסאות קודמות
  • הרשאת ניהול Kexts למשתמש

[Image Recommendation]: Screenshot of the Startup Security Utility in Recovery Mode, showing the Full Security vs Reduced Security radio buttons.

Presenter Notes: ב-Apple Silicon לכל Volume יש מדיניות אבטחה (Security Policy) נפרדת. ברירת המחדל היא Full Security שמוודאת שהמערכת העדכנית חתומה ומונעת חזרה אחורה (Rollback). אם ניכנס ל-Recovery נוכל להשתמש ב-Startup Security Utility ולהוריד את האבטחה ל-Reduced Security. מצב זה נדרש אם אנחנו מפתחים, מריצים macOS קודם או צריכים להתקין הרחבות קרנל (Kexts) - כל זה תוך השארת השליטה בידי מנהל המערכת המקומי.

Slide 4: Kernel Extensions (Kexts)

Main Title: שיעור 13: Boot Process

Subtitle: הרחבות קרנל (Kexts): למה אפל הורגת אותן ואיך מתקינים

Bullets:

  • יציאה משימוש (Kexts)
  • מעבר ל-System Extensions
  • ריצה ב-User Space
  • מניעת Kernel Panics
  • צורך ב-Reduced Security
  • אישור משתמש נדרש
  • אתחול ובניית AKC מחדש

[Image Recommendation]: Screenshot of System Information -> Extensions showing loaded Third-Party Kexts.

Presenter Notes: פעם, כל אנטי וירוס או דרייבר היה חייב להתקין Kext (הרחבת קרנל). הבעיה: קריסה שלו מביאה לקריסת כל המחשב (Kernel Panic) וזו פרצת אבטחה גדולה. אפל מקדמת את ה-System Extensions שרצות בנפרד (User Space). כדי להתקין דרייבר ישן, חובה לרדת ל-Reduced Security, לאשר ידנית בהגדרות המערכת ולבצע אתחול כדי שהמערכת תבנה מחדש את האוסף (AKC). זה מכוון להיות תהליך קשה כדי לדחוף יצרנים לסטנדרט החדש.

Slide 5: Firmware Security & MDM

Main Title: שיעור 13: Boot Process

Subtitle: תיבול ארגוני: אבטחת ה-Firmware, ניהול מפתחות שחזור והגבלות

Bullets:

  • ביטול Firmware Password
  • אבטחה באמצעות FileVault
  • מפתח שחזור מוסדי (IRK/PRK)
  • חסימת גישה ל-Recovery
  • הגבלת Startup Security Utility
  • פיילוד MDM
  • אישור Kext שקוף (Team ID)

[Image Recommendation]: Screenshot showing an MDM payload for Kernel Extensions with a specified Team ID.

Presenter Notes: בארגונים, אנחנו לא רוצים שמשתמש עם הרשאות אדמין ירד ל-Reduced Security ויתקין דרייברים מפוקפקים. במקום סיסמת Firmware (שמתה ב-Apple Silicon), אנחנו משתמשים ב-FileVault. ברגע שמפתח השחזור מנוהל (IRK/PRK), המשתמש לא יכול לשנות הגדרות Startup Security ללא אנשי ה-IT! בנוסף, בעזרת MDM אפשר לדחוף פיילוד שמאשר Kexts מראש לפי ה-Team ID של המפתח.

Multiple Choice Questions

  1. כיצד פועלת שרשרת האמון (Chain of Trust) במחשבי Apple Silicon? א. המערכת סומכת לחלוטין על חיבור האינטרנט לשרתי אפל ב. כל שלב בתהליך האתחול (Boot ROM > LLB > iBoot) בודק ומאמת קריפטוגרפית את השלב הבא אחריו (תשובה נכונה) ג. תוכנת האנטי-וירוס בודקת את הדיסק לפני העלייה ד. ה-NVRAM מעלה סיסמה מהרשת

  2. מדוע צריך מנהל המערכת (Admin) להעביר את ה-Mac למצב Reduced Security? א. כדי לגרום למחשב לעבוד מהר יותר על חשבון האבטחה ב. כדי להתקין תוכנות פרוצות בחינם ג. כדי לאפשר טעינת מערכות הפעלה קודמות וניהול הרחבות קרנל (Kexts) של צד שלישי (תשובה נכונה) ד. רק כדי להדליק את שירות ה-Wi-Fi בארגון

  3. מה החליף את ה-Firmware Password במחשבי Apple Silicon? א. אבטחה ביומטרית בלבד (Touch ID) ב. התחברות חובה דרך שרת Active Directory ג. הגנה מובנית הנשענת על FileVault, משתמשי ה-Volume ומפתחות ה-MDM (תשובה נכונה) ד. קוד PIN של 4 ספרות