We use cookies to ensure that we give you the best experience on our website.

כיצד להשתמש באבטחת אתחול ב-macOS כדי להגן על ה-Mac שלך

ישנם מספר כלי עזר שאתה יכול להשתמש בומקכדי לאבטח אותו בעת ההפעלה. הנה איך להשתמש בהם כדי לשמור על ה-Mac והנתונים שלך בטוחים.

אבטחת מחשבים היא נושא חשוב בעולם הדיגיטלי של היום ורוב המכשירים האלקטרוניים נמצאים בסיכון במידה כזו או אחרת.

אפל עשתה מאמצים רבים כדי לאבטח את הפלטפורמות שלה, אבל עדיין יש דרכים שבהן תוקפים יכולים לפרוץ פנימה, לגנוב נתונים ולסכן את מערכות אפל.

זכור תמידאין דבר כזה ביטחון מושלם.

הכי טוב שאתה יכול לעשות הוא למזער את זה של מכשיר או מערכתמשטח התקפהכדי להקשות ככל האפשר על גורם איומים לקבל גישה למערכות שלך.

מההתחלה, אפל יצרהmacOSמאובטח מאוד. זוהי אחת ממערכות ההפעלה המאובטחות ביותר בעולם.

iOS וtvOSהמכשירים מאובטחים אפילו יותר מכיוון שהם יכולים לטעון תוכנות רק מהאוצר של אפלApp Store. כלומר, אלא אם אבטחת המכשירים נעקפת באמצעות לא חוקיפריצת כלאתוֹכנָה.

זכור גם שבארה"ב לפחות, פריצת מכשיר מחשוב היא הפרה של חוק Digital Millennium Copyright Act. זה הופך את זה לפשע פדרלי.

וקטורים להפעלה

אחת הנקודות הפגיעות ביותר להתקפה על מכשיר מחשוב היא כאשר המכשיר מופעל לראשונה.

רוב המחשבים, כולל סמארטפונים וטאבלטים, עוברים תהליך במהלך הפעלה המכונהרצועות אתחול. במהלך התהליך הזה, מערכת ההפעלה עדיין לא נטענה - ומעט מאוד תוכנות פועלות במכשיר.

בשלב זה תוקף יכול לבצע התקפות שונות כדי לעקוף את מערכת ההפעלה. הם עלולים גם להתקין תוכנות זדוניות כגון וירוסים, תוכניות סוס טרויאני וקושחה כדי לאפשר הפעלת קוד מותאם אישית, או אפילו לגרום נזק למכשיר.

בחדש יותרiOSמכשירים, אפל פותרת בעיה זו עםמובלעת מאובטחתאו שבב T2 Security.

ה-Secure Enclave הוא אזור מוגן של חומרה במכשיר המשתמש הן בחומרה והן בהצפנה כדי לאבטח את המכשיר.

מחשבי Mac אינם מאובטחים בדיוק כמו מכשירי iOS מסיבות היסטוריות, כך ששחקני איומים יכולים להתקין תוכנה על מחשבי Mac קודמים אשר עלולה לסכן את האבטחה שלהם.

מחשבי Mac מאוחרים יותר המכילים מעבדי אינטל כוללים שבב אבטחה T2 כדי למנוע בעיות אלו.M2-מְבוּסָסאפל סיליקוןלמחשבי Mac ומעלה יש מובלעת מאובטחת מובנית.

התקן האחסון של מק המכיל שבב T2 מוצפן עם מפתחות הקשורים לחומרה שלו כדי לספק רמות אבטחה נוספות.

המשמעות היא שקשה לשחזר קבצים שאבדו או פגומים ב-Mac מבוסס T2. כל כלי עזר שמנסה לשחזר נפח אחסון מוצפן חייב לדעת כיצד להשתמש במפתחות המאובטחים הקשורים לחומרה של ה-Mac.

זה משהו שאפל לא מפרסמת תיעוד לגביו מסיבות ברורות.

במחשבי Apple Silicon Mac, כל אמצעי האחסון של macOS Startup Disk מוצפנים. אפל מכנה אותם Signed System Volumes.

מחשבי Apple Silicon Mac לא יבצעו קבצי מערכת כלשהם בנפחי מערכת חתומים שאין להם חתימה קריפטוגרפית חוקית מאפל.

זה מקשה על התעסקות בקובצי מערכת macOS ועדיין להפעיל אותם על מחשבי Apple Silicon Mac.

דיסק האתחול

עם זאת, אחד מוקטורי ההתקפה הגדולים ביותר במחשבי Mac הוא דיסק ההפעלה עצמו.

כאשר ה-Mac שלך מופעל, הוא טוען תחילה מעט קושחה,את ROM האתחול, כדי להפעיל את כל המערכות הפנימיות שלו. לאחר מכן הוא מריץ קושחה כלשהי כדי לאתחל דברים, כגון התצוגה והרשת.

רוב הקוד הזה כלול בחומרה של ה-Mac עצמו.

לאחר מכן, ה-Mac Boot ROM מוסר לשתי פיסות קושחה נוספות: LLB andiBoot.

ל-iBoot יש למעשה שני חלקים, ואם החלק השני מאשר שהכל בסדר, הוא מחפש התקן אחסון פנימי או מחובר לטעינת ליבת ה-macOS.

כאן יכולות להיווצר בעיות אבטחה.

אולי סיכון האבטחה הגדול ביותר במהלך האתחול הוא העובדה שניתן לחבר התקני אחסון נוספים למק כרצונו - באמצעות יציאות ה-USB, Thunderbolt או הרשת.

אמצעי אחסון חתומים מבטיחים שניתן לאתחל רק גרסאות חוקיות של macOS. אבל עדיין קיימת אפשרות שגורמי איום יחדירו קוד זדוני בשלב זה.

אבל תמיד זכור כי אלא אם רצף האתחול של ה-Mac שלך מוגן, כל שחקן איום יכול פשוט לצרף אליו מכשיר חיצוני, להפעיל מחדש את ה-Mac ולאלץ אותו לאתחל במכשיר זה.

ישנן דרכים להגן באמצעות סיסמה על דיסק האתחול ועל ה-Mac שלך באופן כללי, אשר ידונו בעוד רגע.

לאחר האתחול למכשיר חיצוני, שחקנים יכולים להעתיק ולגנוב קבצים, לשתול קוד זדוני ב-Mac שלך, ואפילו להשתמש בו כמסוף מרוחק כדי לבצע לוחמת סייבר דרך האינטרנט.

לחברות רבות, כולל אפל, סודות מסחריים נגנבו על ידי מרגלים תעשייתיים רק על ידי העתקת קבצים למכשירים חיצוניים.

אפילו סודות פרויקט המכונית של אפל היוגָנוּבבדרך זו.

ישנן מספר דרכים שבהן תוכל לאבטח את ה-Mac שלך. באמצעות תוכנת אפל מובנית, אתה יכול:

  1. השתמש בכלי האבטחה של Startups
  2. השתמש באתחול מאובטח ובאתחול חיצוני
  3. אל תאפשר אתחול מהתקנים חיצוניים
  4. הגן באמצעות סיסמה על ה-Mac שלך בעת האתחול
  5. הגבל משתמשים וסיסמאות כניסה
  6. הגנה באמצעות סיסמה על התקני אחסון אחד או יותר
  7. הפעל במצב בטוח
  8. השתמש במצב נעילה
  9. נעילה מרחוק של Mac באמצעות MDM

הכלי אבטחת אתחולהיא אפליקציה שנוספה אפל ל-macOS החל ממחשבי Mac הכוללים שבב T2 Security ודגמים מאוחרים יותר.

במחשבי Mac עם או בלי שבב T2, אתה יכולהגדר סיסמת קושחה, אם ה-Mac תומך בזה.

סיסמת קושחה עוצרת את תהליך האתחול ומבקשת מהמשתמש להזין סיסמה לפני טעינת מערכת ההפעלה.

באמצעות כלי האבטחה להפעלה תוכל להגדיר סיסמת קושחה, להפעיל אתחול מאובטח או להפעיל/לבטל אתחול חיצוני. שתי האפשרויות האחרונות דורשות שבב T2.

כדי להפעיל את כלי האבטחה להפעלה ב-Intel Mac, הפעל את ה-Mac והחזק אותו לחוץפקודה ()-רעל המקלדת. זה נכנס לשחזור macOS.

macOS Recovery היא אפליקציה מיוחדת שמתגוררת בקושחה של ה-Mac שלך ומאפשרת גישה לחלקים של macOS כגון תוכנית ההתקנה, כלי הדיסק, המסוף ותוכנית האבטחה להפעלה.

כאשר אתה מחזיק את Command ()-R לחוץ במקלדת, טוען האתחול של ה-Mac מפנה את האתחול אל שחזור macOS במקום העותק של macOS בדיסק האתחול שלך.

לאחר השחזור של macOS, אינך יכול לעשות שום דבר מלבד להפעיל אחת מהתוכניות הזמינות, או יציאה או הפעל מחדש.

ב-macOS Recovery, הזן את סיסמת מנהל המשתמש שלך ולאחר מכן בחרכלי עזר-> כלי אבטחת הפעלהמסרגל התפריטים.

ב-Startup Security Utility, אתה יכול להגדיר סיסמת קושחה, להגדיר את רמת האבטחה לשימוש בעת האתחול (Secure Boot) ולהגדיר אם לאפשר אתחול ממדיה חיצונית (External Boot).

האבטחה מלאההאפשרות ב-Startup Security Utility גורמת לקושחה של ה-Mac לאמת מרחוק את הגרסה המותקנת של macOS על ידי פנייה לשרתים של אפל.

לפיכך תזדקק לחיבור רשת אם תבחר להגדיר אפשרות זו.

אתה יכול גם לכבות את האתחול המאובטח לחלוטין - מה שמאפשר לכל גרסה מותקנת של macOS לאתחל.

כלי אבטחת ההפעלה.

מחשבי Apple Silicon Mac

במחשבי Apple Silicon Mac, התהליך שונה רק במעט.

בעת אתחול ב-Apple Silicon Mac, לחץ והחזק את לחצן ההפעלה של ה-Mac עד להופעת "טעינת אפשרויות הפעלה".

נְקִישָׁהאפשרויות, ואז לחץלְהַמשִׁיך. לאחר מכן, בחר אדיסק הפעלהולחץהַבָּא.

הזן סיסמת מנהל ולאחר מכן לחץלְהַמשִׁיך.

באפליקציית השחזור, בחרכלי עזר-> כלי אבטחת הפעלה. לאחר מכן, בחר את המערכת שבה ברצונך להשתמש כדי להגדיר את מדיניות האבטחה.

אם בנפח האחסון שנבחר הופעל FileVault, תצטרך לבטל את הנעילה תחילה על ידי הזנת הסיסמה שלו.

ברגע שאתה נמצא בסעיף מדיניות האבטחה של כלי האבטחה להפעלה, יש לך רק שתי אפשרויות:אבטחה מלאהאוֹאבטחה מופחתת.

אבטחה מלאה מאפשרת לפעול רק לגרסה הנוכחית שלך של macOS. זה דורש גם חיבור לרשת.

אבטחה מופחתת מאפשרת לכל גרסה מהימנה וחתומה של macOS לפעול אם ה-Mac תומך בה.

תחת אבטחה מופחתת תוכל גם להגדיר אפשרויות להתרת וניהול הרחבות ליבה מדור קודם, אתה רוצה לאפשר להן לפעול.

לאחר שהגדרת את כל האפשרויות הרצויות, לחץבְּסֵדֶר, ולאחר מכן הפעל מחדש את ה-Mac. השינויים לא ייכנסו לתוקף עד שתפעיל מחדש.

סיסמאות כניסה למשתמש

סיסמאות כניסה למשתמש הן סיכון אבטחה נוסף.

כברירת מחדל, תוכנית ההתקנה ואפליקציית ההתקנה של macOS דורשות ממשתמש להזין שם משתמש וסיסמה בעת הגדרת Mac לראשונה.

אבל בהנחה שהמשתמש המדובר הוא משתמש אדמין, אפשר לבטל לחלוטין את התחברות המשתמש בהגדרות המערכת על ידי אי דרישת סיסמה בכניסה למשתמש.

פעולה זו אינה מאובטחת לחלוטין מכיוון שה-Mac יאתחל ב-Finder לאחר הפעלה ללא כל התערבות.

לפיכך, כדאיתָמִידדורשים להגדיר סיסמאות משתמש עבור כל המשתמשים.

תַחַתהגדרות מערכת->משתמשים וקבוצותאפשר גם להפעיל את "התחבר אוטומטית בשם" - ולהגדיר אותו כך שייכנס כמו כל משתמש הרשום במחשב.

התחבר אוטומטית כחלונית בחלונית משתמשים וקבוצות.

תחת משתמשים וקבוצות,משתמשים אורחיםניתן גם להפעיל - שאינם דורשים סיסמה כדי להיכנס.

אם אתה נמצא בסביבה המשתמשת ב-Active Directory (AD) לניהול משתמשים, אתה יכול לאפשר למשתמשים להיכנס על ידי הוספת אישורי AD שלהם המאוחסנים בשרת AD (או בשירות ענן Entry ID של Microsoft).

אתה יכול לפתוח את אפליקציית Directory Utility הנסתרת של macOS גם מחלונית זו (בחלונית Network Account Server).

הגנה באמצעות סיסמה על אמצעי אחסון

ב-macOS, אתה יכול גם להגן על נפחי אחסון בודדים באמצעות סיסמה, כך שהם לא יוכלו לעלות מבלי שהמשתמש יזין סיסמה.

זה מקשה הרבה יותר על הגישה לקבצים בנפח אם המשתמש אינו יודע את הסיסמה.

עם זאת, שים לב שכדי לעשות זאת תחילה עליך למחוק ולהצפין את נפח האחסון תחילה באמצעות אפליקציית Disk Utility של אפל.

לשם כך, גבה תחילה את קבצי אמצעי האחסון לשחזור מאוחר יותר, ולאחר מכן הפעל את אפליקציית כלי השירות לדיסק של אפל בתיקייה /Applications/Utilities.

ב-Disk Utility בחר את אמצעי האחסון שברצונך להצפין, לחץלִמְחוֹקבסרגל הכלים, הזן שם אמצעי אחסון, בחרמפת מחיצות GUID, ובחר פורמט מערכת קבצים מוצפן מהתפריט הקופץ.

הזן ואמת סיסמה עבור אמצעי האחסון המוצפן ולאחר מכן לחץלִבחוֹר. נְקִישָׁהלִמְחוֹק, אזנַעֲשָׂה.

תוכנית השירות לדיסק תמחק את אמצעי האחסון, תצפין אותו ויאבטח אותו באמצעות הסיסמה שהזנת.

בפעם הבאה שתפעיל מחדש את ה-Mac או תחבר את המכשיר המכיל את אמצעי האחסון ל-Mac שלך, תתבקש להזין את הסיסמה כדי להעלות אותה על שולחן העבודה של Finder.

אתה יכול גם להצפין אמצעי אחסון בכל חלון Finder בסרגל הצד מבלי למחוק אותם על ידילחיצה על שליטהזה, ואז בחירההצפיןמהתפריט הקופץ.

אתחול למצב בטוח

macOS מאפשר מדור קודםהרחבות ליבה(KEXTs) שהם רכיבי תוכנה שיכולים להרחיב את הפונקציונליות של ליבת macOS עם קוד מותאם אישית.

ב-macOS 11 ואילך, אפל ביטלה KEXTs לטובת הרחבות מערכת, הנחשבות לאבטחות יותר ופחות מועדות לקרוס macOS אם הקוד אינו מופעל כהלכה.

בזמן האתחול, macOS ממזגת את כל ה-KEXTs ל-אוסף גרעין עזר(AuxKC), ולאחר מכן מריץ חלק מהקושחה שהוזכרה לעיל.

רק לאחר השלמת רוב תהליך האתחול של הקושחה, ה-AuxKC נטען ל-Kernel שבו KEXTs מורשים לפעול.

באמצעותמצב בטוחב-macOS, אפשר לאתחל לתוך macOS אך לא לכלול את ה-AuxKC כדי למנוע טעינת KEXTs.

כדי לאתחל את ה-Mac שלך למצב בטוח, אתחול למצב שחזור כפי שהוזכר לעיל. כאשר אתה בוחר את נפח האחסון שבו ברצונך להשתמש, החזק את המקשמִשׁמֶרֶתמקש, ולאחר מכן המשך עם השלבים המפורטים למעלה.

כאשר ה-Mac שלך מאתחל מחדש, הוא יטען את macOS מעוצמת הקול המצוינת אך יגיד ל-iBoot לא לטעון את ה-AuxKC.

מצב נעילה

לְפִיתַפּוּחַ, מצב נעילה "עוזר להגן על מכשירים מפני התקפות סייבר נדירות ומתוחכמות ביותר".

מצב נעילה בעצם מגביל את התכונות הזמינות ב-macOS על מנת להפחית אתמשטח התקפה(דרכים שבהן תוקפים יכולים לפרוץ).

מצב נעילה זמין בmacOS Venturaומאוחר יותר.

כאשר מצב נעילה מופעל, macOS לא כולל את כל התכונות שהיא עושה בפעולה רגילה. מצב נעילה מגביל פעילויות רשת מסוימות כגון קבצים מצורפים בהודעה וFaceTime, טכנולוגיות אינטרנט מסוימות, חיבורי מכשירים ופרופילי תצורה.

עיין בהערת הטכנולוגיה של אפל לרשימה מלאה של ההגבלות של מצב נעילה.

אתה יכול להפעיל את מצב הנעילה ב-macOS inהגדרות מערכת->פרטיות ואבטחה->מצב נעילה.

MDM

של אפלניהול מכשירים ניידיםטכנולוגיית (MDM) מאפשרת למנהלי מערכת מקינטוש לנעול מרחוק מחשב מקינטוש באמצעות שרתי MDM.

על מנת להשתמש ב-MDM לנעילה מרחוק של Mac, ה-Mac חייב להיות רשום ל-MDM בשרת MDM, והמנהל חייב להגדיר תנאי MDM שבהם ה-Mac יינעל.

לאחר ההרשמה ל-MDM, נעילה מרחוק נשלטת על ידי השרת ומנהל השרת.

מנהלי מערכת משתמשים ב-MDM כדי להשבית מרחוק מכשירי אפל שהפכו אולי לאיומים על רשתות הארגון.

אבטחה היא נושא מורכב וישנן דרכים רבות בהן תוכל להגביר את האבטחה של מחשבי ה-Mac שלך.

לא סקרנו את אבטחת FileVault, וגם לא את הגנת שלמות המערכת של ה-Mac במאמר זה, אליו נגיע במאמר עתידי.

Related articles