در استقرار از نشانه های ایمن ، نشانه بوت استرپ و مالکیت حجم استفاده کنید

سیستم فایل اپل (APFS) در MACOS 10. 13 یا بالاتر نحوه تولید کلیدهای رمزگذاری FileVault را تغییر می دهد. در نسخه های قبلی MACOS در حجم Corestorage ، کلیدهای مورد استفاده در فرآیند رمزگذاری FileVault هنگامی ایجاد می شوند که یک کاربر یا سازمان FileVault را روی Mac روشن کند. در MACOS در حجم APFS ، کلیدهای رمزگذاری یا در هنگام ایجاد کاربر تولید می شوند ، اولین رمز عبور کاربر را تنظیم می کنند یا در اولین ورود توسط کاربر MAC. این اجرای کلیدهای رمزگذاری ، هنگامی که تولید می شوند ، و نحوه ذخیره آنها همه بخشی از ویژگی هایی هستند که به عنوان Secure Token شناخته می شوند. به طور خاص ، یک نشانه ایمن یک نسخه پیچیده از یک کلید رمزگذاری کلید (KEK) است که توسط رمز عبور کاربر محافظت می شود.

هنگام استقرار FileVault در APFS ، کاربر می تواند به این موارد ادامه دهد:

از ابزارها و فرآیندهای موجود ، مانند کلید بازیابی شخصی (PRK) استفاده کنید که می تواند با یک راه حل مدیریت دستگاه تلفن همراه (MDM) برای سپردن ذخیره شود

ایجاد و استفاده از یک کلید بازیابی نهادی (IRK)

تأخیر در FileVault را تا زمانی که کاربر وارد MAC یا خارج شود

در MACOS 11 یا بالاتر ، تنظیم رمز عبور اولیه برای اولین کاربر در MAC نتایج حاصل از آن به کاربر یک نشانه ایمن داده می شود. در برخی از گردش کار ، این ممکن است رفتار مطلوب نباشد ، همانطور که قبلاً ، اعطای اولین نشانه ایمن به حساب کاربری نیاز داشت تا وارد سیستم شود. برای جلوگیری از وقوع این امر ، اضافه کردن ؛ غیرفعال ؛ SecureToken به ویژگی تأیید اعتبار کاربر قبل از برنامه نویسی ایجاد شدهتنظیم رمز عبور کاربر ، همانطور که در زیر نشان داده شده است:

نشانه بوت استرپ

در MACOS 10. 15 یا بالاتر ، از یک نشانه بوت استرپ برای کمک به اعطای یک نشانه ایمن به حساب های تلفن همراه و حساب مدیر ثبت نام دستگاه اختیاری ("مدیر مدیریت شده") استفاده می شود. در MACOS 11 یا بالاتر ، Token Bootstrap می تواند یک نشانه ایمن را به هر کاربر وارد کند به رایانه Mac ، از جمله حساب کاربری محلی ، اعطا کند. با استفاده از ویژگی توکن Bootstrap از MacOS 10. 15 یا بعد نیاز دارد:

پشتیبانی فروشنده MDM

فرض کنید راه حل MDM شما از نشانه های Bootstrap پشتیبانی می کند. در MACOS 10. 15. 4 یا بعد از آن ، هنگامی که یک کاربر که توکن ایمن برای اولین بار ورود به سیستم را فعال می کند ، یک نشانه بوت استرپ تولید می شود و به MDM منتقل می شود. در صورت لزوم می توان یک توکن بوت استرپ را با استفاده از ابزار خط فرمان پروفایل به MDM تولید کرد و در صورت لزوم به MDM منتقل شد.

در MACOS 11 یا بالاتر ، نشانه bootstrap نیز ممکن است بیش از اعطای نشانه ایمن به حساب کاربری استفاده شود. در رایانه Mac با Apple Silicon ، Token Bootstrap در صورت وجود ، می تواند برای اجازه نصب هر دو برنامه افزودنی هسته و به روزرسانی های نرم افزاری در هنگام مدیریت با استفاده از MDM استفاده شود. از توکن Bootstrap همچنین برای خاموش کردن صادر کردن فرمان تمام محتوا و تنظیمات هنگام شروع از طریق MDM در MACOS 12. 0. 1 یا بالاتر استفاده می شود.

مالکیت حجم

رایانه های MAC با اپل سیلیکون مفهوم مالکیت حجم را معرفی می کنند. مالکیت حجم در یک زمینه سازمانی با مالکیت قانونی واقعی یا زنجیره حضانت مک گره خورده است. درعوض ، مالکیت حجم می تواند به راحتی به عنوان کاربر که برای اولین بار با پیکربندی آن برای استفاده خود ، به همراه هر کاربران اضافی ، ادعای MAC را انجام داده است ، تعریف شود. شما باید یک مالک حجم باشید تا برای نصب خاص MACOS در خط مشی امنیتی راه اندازی ایجاد شود ، اجازه نصب و به روزرسانی های نرم افزار MACOS را صادر کنید ، شروع به پاک کردن تمام محتوا و تنظیمات و موارد دیگر کنید. خط مشی امنیتی استارتاپ محدودیت هایی را که در اطراف آن می تواند بوت شود ، تعریف می کند ، و همچنین چگونه و در صورت بارگیری یا مدیریت هسته های شخص ثالث.

به کاربر که برای اولین بار با پیکربندی آن برای استفاده از آنها ، MAC را ادعا کرده است ، یک نشانه ایمن در Mac با Apple Silicon به شما داده می شود و به صاحب جلد اول تبدیل می شود. هنگامی که یک توکن بوت استرپ در دسترس است و در حال استفاده است ، به یک مالک حجم نیز تبدیل می شود و سپس وضعیت مالکیت حجم را به حساب های اضافی اعطا می کند زیرا آنها را به نشانه های امن اعطا می کند. از آنجا که هم به اولین کاربر که به یک نشانه ایمن اعطا می شود و هر دو توکن Bootstrap به صاحبان حجم تبدیل می شوند ، و همچنین توانایی Bootstrap Token در اعطای نشانه های امن به کاربران اضافی (و بنابراین وضعیت مالکیت حجم) نیز باید مالکیت حجم چیزی نباشدباید در یک سازمان به طور فعال مدیریت یا دستکاری شود. ملاحظات قبلی برای مدیریت و اعطای نشانه ایمن به طور کلی باید با وضعیت مالکیت حجم هماهنگ باشد.

این امکان وجود دارد که یک مالک حجم داشته باشید و مدیر نباشید ، اما برخی از کارهای خاص نیاز به بررسی مالکیت هر دو دارند. به عنوان مثال ، اصلاح تنظیمات امنیتی استارتاپ نیاز به مدیر و صاحب حجم دارد ، در حالی که مجاز به روزرسانی های نرم افزاری توسط کاربران استاندارد مجاز است و فقط به مالکیت نیاز دارد. به روزرسانی های اصلی MACOS برای شروع به امتیازات بالا نیاز دارد ، اما اعتبار استاندارد مالکیت کاربر را می توان با گزینه های کاربر مورد نیاز در ابزار خط فرمان StartoSinstall نصب کننده MACOS (اگر در حال حاضر با امتیازات بالا در حال اجرا است) استفاده کرد ، اما اگر از گزینه eraseInstall استفاده شود. اعتبارنامه باید از طرف کاربر باشد که هم صاحب و هم مدیر باشد.

برای مشاهده لیست فعلی صاحبان حجم در رایانه Mac با Apple Silicon ، می توانید دستور زیر را اجرا کنید:

راهنماهای ذکر شده در خروجی دستور DiskUtil از نقشه "کاربر دایرکتوری محلی باز" به ویژگی های تولید شده سوابق کاربر در دایرکتوری باز بازگشت. برای یافتن کاربر توسط تولید شده ، از دستور زیر استفاده کنید:

همچنین می توانید از دستور زیر برای دیدن نام های کاربر و راهنما با هم استفاده کنید:

مالکیت توسط رمزنگاری محافظت شده در Enclave امن پشتیبانی می شود. برای اطلاعات بیشتر ببین:

استفاده از ابزار خط فرمان

ابزارهای خط فرمان برای مدیریت نشانه bootstrap و نشانه های ایمن در دسترس هستند. توکن bootstrap معمولاً در MAC تولید می شود و در طی فرآیند تنظیم MACOS به محلول MDM منتقل می شود پس از راه حل MDM به MAC می گوید که از این ویژگی پشتیبانی می کند. با این حال ، یک نشانه بوت استرپ نیز می تواند بر روی MAC ایجاد شود که قبلاً مستقر شده است. در MACOS 10. 15. 4 یا بالاتر ، یک نشانه بوت استرپ در اولین ورود توسط هر کاربر که توکن ایمن است در صورت پشتیبانی از ویژگی MDM به MDM تولید می شود و در صورت ورود به سیستم MDM در اولین ورود به سیستم MDM ساخته می شود. این امر نیاز به استفاده از ابزار خط فرمان Profiles را پس از تنظیم دستگاه برای تولید و سپردن نشانه بوت استرپ به محلول MDM کاهش می دهد.

ابزار خط فرمان پروفایل تعدادی گزینه برای تعامل با نشانه bootstrap دارد:

پروفایل های sudo نص ب-نوع bootstraptoken: این دستور یک نشانه بوت استرپ جدید ایجاد می کند و آن را به محلول MDM سپرده می دهد. این دستور نیاز به اطلاعات موجود در Token Secure Token برای تولید در ابتدا Token Bootstrap دارد ، راه حل MDM باید از این ویژگی پشتیبانی کند ، و شماره سریال رایانه Mac باید در مدیر مدرسه اپل ، مدیر تجارت اپل یا Apple Business Essentials ظاهر شود و در آن خاص ثبت نام کندراه حل MDM مرتبط با مدیر مدرسه اپل ، مدیر تجارت اپل یا Apple Business Essentials.

پروفایل sudo حذف نوع bootstraptoken: نشانه bootstrap موجود را بر روی MAC و محلول MDM حذف می کند.

Sudo ProfileS وضعی ت-نوع bootstraptoken: گزارش می دهد که آیا راه حل MDM از ویژگی Token Bootstrap پشتیبانی می کند ، و وضعیت فعلی توکن Bootstrap در MAC چیست.

Profiles Profiles اعتبار سنجی از نوع bootstraptoken: گزارش می دهد که آیا راه حل MDM از ویژگی Token Bootstrap پشتیبانی می کند ، و وضعیت فعلی توکن Bootstrap در MAC چیست.

ابزار خط فرمان sysadminctl

از ابزار خط فرمان sysadminctl می توان برای تغییر خاص وضعیت توکن ایمن برای حساب های کاربری در رایانه MAC استفاده کرد. این کار باید با احتیاط و فقط در صورت لزوم انجام شود. تغییر وضعیت توکن ایمن کاربر با استفاده از sysadminctl همیشه به نام کاربری و رمز عبور یک سرپرست موجود در امان ایمن ، چه به صورت تعاملی یا از طریق پرچم های مناسب روی دستور ، نیاز دارد. هر دو تنظیمات SYSADMINCTL و SYSTEM (MACOS 13 یا بالاتر) یا تنظیمات سیستم (MACOS 12. 0. 1 یا قبل از آن) از حذف آخرین سرپرست یا کاربر با قابلیت توکن ایمن در MAC جلوگیری می کنند. اگر ایجاد کاربران محلی اضافی با استفاده از sysadminctl نوشته شده است ، برای اینکه این کاربران برای نشانه های ایمن فعال شوند ، لازم است اعتبارنامه های سرپرست با امکانات ایمن فعلی یا با استفاده از گزینه تعاملی یا مستقیماً با پرچم ها ی-Adminuser و-Adminpassword تهیه شوند. با sysadminctl. اگر در زمان ایجاد یک نشانه امن در زمان ایجاد اعطا نشود ، در MacOS 11 یا بعد از آن ، یک کاربر محلی که در حال ورود به رایانه Mac است ، در صورت ورود به سیستم بوت استرپ از MDM در هنگام ورود به سیستم امنیتی ایمن اعطا می شود. برای دستورالعمل های استفاده اضافی از sysadminct l-h استفاده کنید.