إذا كنت ترغب في تشغيل مُلحقات Kernel بغض النظر ، فيجب عليك السماح لها عن طريق تعديل سياسة أمان Mac عبر استرداد macOS. إليك كيفية القيام بذلك.
بدءًا من macOS 11 ، إذا تم تمكين ملحقات kernel التابعة لجهات خارجية (kexts) ، فلا يُمكن تحميلها في kernel عند الطلب . بدلاً من ذلك ، يتم دمجها في مجموعة kernel المُساعدة (AuxKC)، والتي يتم تحميلها أثناء عملية التمهيد. بالنسبة لأجهزة كمبيوتر Mac المُزودة بـ Apple Silicon ، يتم تسجيل قياس AuxKC في LocalPolicy (بينما في الأجهزة السابقة، يُوجد AuxKC على وحدة تخزين البيانات). وتتطلب إعادة بناء AuxKC موافقة المستخدم وإعادة تشغيل macOS لتحميل التغييرات إلى kernel ، كما تتطلب تكوين التمهيد الآمن على مستوى التأمين المنخفض. تحقق من كيفية إصلاح خطأ الاستخدام العالي لوحدة المعالجة المركزية من kernel_task.
هام: لم يعد من المُستحسن تشغيل Kexts لـ macOS. تُخاطر Kexts بتكامل وموثوقية نظام التشغيل ، وتنصح Apple المُستخدمين بتحديد الحلول التي لا تتطلب توسيع kernel.
ملحقات Kernel في أجهزة الـ Mac المُزودة بـ Apple Silicon
يجب تمكين Kexts بشكل صريح لأجهزة كمبيوتر Mac المزودة بـ Apple Silicon عن طريق الضغط على زر الطاقة عند بدء التشغيل للدخول في نمط One True Recovery (1TR) ، ثم الرجوع إلى التأمين المُنخفض وتحديد المربع لتمكين ملحقات kernel. يتطلب هذا الإجراء أيضًا إدخال كلمة سر المسؤول لتفويض الرجوع إلى إصدار أقدم. يجعل الجمع بين متطلبات 1TR وكلمة السر من الصعب على المهاجمين الذين يستخدمون البرامج فقط بدءًا من داخل macOS إدخال kexts في macOS ، والتي يمكنهم استغلالها بعد ذلك للحصول على امتيازات kernel.
بعد أن يأذن المستخدم بتحميل kexts ، يتم استخدام تحميل ملحقات Kernel المُعتمدة من المستخدم أعلاه للسماح بتثبيت kexts. يستخدم التفويض المُستخدم للتدفق أعلاه أيضًا لالتقاط تجزئة SHA384 لقائمة kext المُعتمدة من المستخدم (UAKL) في LocalPolicy. يُعد برنامج إدارة kernel (kmd) مسؤولاً عن التحقق من صحة kexts الموجودة في UAKL لتضمينها في AuxKC.
الخطوة 1. الدخول إلى استرداد macOS
يجب أن تبدأ بالوصول إلى استرداد macOS على الـ Mac المُزود بـ Apple Silicon.
- قم بإيقاف تشغيل الـ Mac الخاص بك.
- أعد تشغيله ، لكن استمر في الضغط باستمرار على زر التشغيل حتى ترى تحميل خيارات بدء التشغيل تُومض على الشاشة.
- انتظر حتى تصل إلى شاشة خيارات بدء التشغيل.
- حدد
خيارات -> متابعة. - حدد حساب مسؤول Mac وأدخل كلمة السر لتحميل استرداد macOS.
الخطوة 2. السماح بمُلحقات Kernel
في استرداد macOS ، استخدم “أداة أمن بدء التشغيل” للسماح بمُلحقات kernel على الـ Mac الخاص بك.
- حدد
"الأدوات المساعدة" -> "أداة أمن بدء التشغيل"من شريط القائمة. - حدد قرص بدء التشغيل الخاص بك وحدد زر نهج الأمان.
- حدد زر الاختيار بجوار الأمان المُنخفض. بعد ذلك ، حدد المربع بجوار السماح بإدارة المستخدم لملحقات kernel من المطورين المحددين.
- حدد موافق.
- عندما يُطلب منك المُصادقة ، انقر على “أدخل كلمة سر macOS”، ثم اختر حساب مسؤول وأدخل كلمة السر الخاصة به. ثم اختر مُتابعة.
- افتح قائمة Apple ، وحدد إعادة التشغيل ، واترك الـ Mac يعمل بشكل طبيعي.
الخطوة 3. تمكين ملحقات Kernel
لتنشيط ملف kext يتم تثبيته جنبًا إلى جنب مع أحد البرامج ، استخدم تطبيق تفضيلات نظام Mac.
- افتح تطبيق تفضيلات النظام وحدد الأمان والخصوصية.
- حدد رمز القفل وأدخل كلمة مرور مسؤول Mac.
- حدد السماح.
- حدد إعادة التشغيل.
- انتظر حتى ينتهي جهاز Mac الخاص بك من إعادة التشغيل.
بدائل Kexts
يُتيح macOS 10.15 للمطورين توسيع إمكانات macOS عن طريق تثبيت وإدارة ملحقات النظام التي تعمل في مساحة المُستخدم بدلاً من العمل على مستوى kernel. من خلال التشغيل في مساحة المستخدم ، تزيد ملحقات النظام من استقرار وأمن macOS. وبالرغم من تمتع kexts بطبيعتها بالوصول الكامل إلى نظام التشغيل بأكمله ، فإنَّ الملحقات التي تعمل في مساحة المستخدم لا تُمنح إلا الامتيازات اللازمة لتنفيذ وظيفتها المُحددة.
يُمكن للمطورين استخدام إطارات العمل بما في ذلك DriverKit و EndpointSecurity و NetworkExtension لكتابة برامج تشغيل USB والواجهات البشرية وأدوات أمن نقطة النهاية (مثل منع فقدان البيانات أو وكلاء نقطة النهاية الآخرين) و VPN وأدوات الشبكة ، كل ذلك دون الحاجة إلى كتابة kexts. ولا ينبغي استخدام وكلاء الأمن التابعين لجهات خارجية إلا إذا استخدموا واجهات API هذه أو كانت لديهم خريطة طريق قوية للانتقال إليها وبعيدًا عن ملحقات kernel. تحقق من كيفية إعداد كلمة سر البرنامج الثابت لتأمين الـ Mac.
فقط قم بتمكين Kexts التي تثق بها
يمكن أن تُعرِّض مُلحقات Kernel أمان الـ Mac للخطر ، لذا قم بتمكينها فقط من المُطورين الذين تثق بهم. إذا كانت لديك شكوك حول kext مُعين ، فلا يجب أن تدعه يعمل. عند الانتهاء من استخدام kexts ، من الأفضل عكس التغييرات التي أجريتها هنا لإعادة سياسة أمان Mac إلى وضعها الطبيعي. يُمكنك الإطلاع الآن على ما هي أذونات الأمان والخصوصية في MacOS التي تحميك منها؟
