Stap over op macOS Wis alle inhoud en instellingen voor snelle en veilige herimplementatie

Jamf Blog heeft de afgelopen jaren een reeks berichten bijgehouden met de titel 'Een schone macOS opnieuw installeren met één druk op de knop'. Het idee voor het opnieuw installeren van een schoon besturingssysteem is ontstaan uit een axioma dat beheerders hebben gevolgd, namelijk om altijd computerstations te wissen en opnieuw te installeren voordat ze een nieuwe bestemming krijgen, buiten gebruik worden gesteld of wanneer het oplossen van problemen is mislukt.

Apple elimineert de noodzaak om alles te wissen en opnieuw te installeren en wist daarentegen alleen de gegevens en laat het besturingssysteem met rust. Als beheerders of beveiligingsprofessionals daar vreemd van op kijken, is dat begrijpelijk. Ze hebben de praktijk van wissen/herinstalleren gevolgd sinds de computer in de jaren negentig een vaste plaats op het bureaublad begon in te nemen.

"Omdat het altijd zo is gedaan" is echter geen reden om deze nieuwe functie, die pas vorig jaar met Monterey op macOS werd geïntroduceerd, te vermijden. Laten we eens kijken:

• Hoe Alle inhoud en instellingen wissen werkt
• De stappen naar Alle inhoud en instellingen wissen op macOS
• De veiligheidsaspecten van Alle inhoud en instellingen wissen
• De functie Alle inhoud en instellingen wissen doorlopen
• Wanneer we misschien toch volledig moeten wissen en installeren

Ons doel zou moeten zijn om de praktijk van het wissen van de hele Mac-schijf te verplaatsen naar een eigen, geïsoleerd eilandje midden in de Dode Zee.

Hoe Alle inhoud en instellingen wissen werkt

iOs ondersteunt al meer dan tien jaar, ten minste sinds de introductie van de iPhone 3, het wissen van alle inhoud en instellingen. Apple heeft deze functie van het begin af aan ontworpen als een veilige methode om een iPhone te resetten zonder iOS opnieuw te hoeven installeren. Vergeet niet dat de iPhone eerst een consumentenproduct was en dat Apple dit proces consumentvriendelijk wilde maken.

Ze deden twee dingen.

Ten eerste is de gegevensopslag op de iPhone altijd versleuteld geweest. De toevoeging van een pincode gaf de consument een middel om het apparaat te ontsleutelen voor gebruik en een manier om zijn gegevens te beschermen wanneer deze niet in gebruik was. Maar Apple heeft de consument nooit directe toegang gegeven tot het iOS-besturingssysteem zelf. Het kon niet worden aangepast.

Vervolgens werd de iPhone-opslag gepartitioneerd in een alleen-lezen besturingssysteempartitie en een schrijfbare gegevenspartitie. De besturingssysteempartitie werd alleen gewijzigd bij het toepassen van een update. Het bleef alleen-lezen en onveranderlijk tijdens normaal gebruik.

Wanneer de consument zijn iPhone wilde verkopen of aan een familielid geven, verwijderde de functie Alle inhoud en instellingen wissen gewoon de encryptiesleutel van de gegevenspartitie en liet de partitie van het besturingssysteem met rust. Het voordeel was snelheid en gemak. Het besturingssysteem was er altijd en hoefde niet opnieuw te worden geïnstalleerd en het was net zo up-to-date als de laatst toegepaste update.

De stappen naar Alle inhoud en instellingen wissen op macOS

Deze snelle en handige optie ontbrak daarentegen tot voor kort op de Mac. Dat komt omdat het in de loop van de tijd een reeks grote veranderingen moest ondergaan om te voldoen aan het beveiligingsniveau dat vanaf het begin in iOS was ingebouwd.

De grens waar de overgang begon is vaag, maar een goede plek om te beginnen is met OS X El Capitan 10.11, toen Apple System Integrity Protection (SIP) introduceerde. SIP was het begin van de bescherming van het Mac-besturingssysteem tegen externe bedreigingen zoals malware, of zelfs beheerders, door hen de mogelijkheid te ontnemen het rechtstreeks te wijzigen. Hiervoor moesten ze nu opstarten naar de Recovery HD om eerst SIP uit te schakelen. En dit kon alleen gedaan worden door een mens die voor de computer zat.

Tijdens de volgende grote releases viel steeds meer van het besturingssysteem onder SIP. Om de beveiliging verder te verhogen, introduceerde Apple zijn Apple File System (APFS) met de introductie van macOS High Sierra 10.13, wat de weg vrijmaakte voor enkele grote veranderingen onder de motorkap met betrekking tot de manier waarop het gegevens op de schijf kon verwerken. En het koppelde het besturingssysteem aan specifieke hardwaremodellen door firmware te vereisen. Dat installatieproces vereiste een internetverbinding om de machinespecifieke firmwareversie te downloaden.

Apple introduceerde vanaf 2017 een andere nieuwe beveiligingsfunctie die gebonden was aan de hardware en niet aan het besturingssysteem: de T2-beveiligingschip. Deze chip werd samen met de eind 2020 geïntroduceerde Apple Silicon-chip belangrijk voor het beveiligen van macOS-installaties. Net zoals iOS-apparaten standaard werden versleuteld, konden deze chips Mac-schijven standaard versleutelen.

In maart 2018 introduceerde Apple het commando startosinstall in het macOS High Sierra 10.13.4-installatieprogramma. Het bevatte een --eraseinstall optie om het besturingssysteem op een schijf volledig te wissen (plus de gebruikersgegevens) en vervolgens een schone versie van macOS te installeren. Omdat startosinstall een commandoregel-tool was, was het gemakkelijk om deze op afstand aan te roepen op Macs. Een technicus hoefde niet langer voor de computer te zitten en deze op te starten naar een externe schijf om het voor te bereiden op iets anders.

MacOS Catalina 10.15 begon het proces van het verdelen van de computerschijf in een alleen-lezen besturingssysteem en een schrijfbare partitie voor gebruikersgegevens. Dit was het eerste voor de hand liggende teken dat Alle inhoud en instellingen wissen eraan kwam. Het legde ook de basis voor macOS Big Sur 11.0 om ondertekening voor het systeemvolume te introduceren, dat zowel bij de installatie als bij elke keer opstarten een rigoureus checksum-validatieproces doorloopt om de integriteit ervan te waarborgen.

Toen alle stukjes op hun plaats lagen, introduceerde macOS Monterey Alle inhoud en instellingen wissen op de Mac. Het nieuwe proces nam slechts vier à vijf minuten in beslag, in vergelijking met het gebruik van het commando startosinstall met de optie --eraseinstall, dat 20 minuten kon duren op een snelle Mac of nog langer, afhankelijk van het model.

De veiligheidsaspecten van Alle inhoud en instellingen wissen

Een lokale computerbeheerder kan de functie Alle inhoud en instellingen wissen aanroepen. Het doet de volgende dingen:

• Meldt de eindgebruiker af bij alle Apple-diensten, zoals iCloud
• Verwijdert vingerafdrukken van Touch ID
• Ontkoppelt Bluetooth-accessoires
• Schakelt Zoek mijn Mac en Activeringsvergrendeling uit
• Wist apps, gegevens en gebruikersinstellingen
• Wist alle andere volumes, inclusief systeemvolumes met behulp van BOOTCAMP

Op dezelfde manier zal het verzenden van de opdracht EraseDevice vanaf een Mobile Device Management-server (MDM) zoals Jamf Now, Jamf Pro of Jamf School de functie Alle inhoud en instellingen wissen aanroepen op macOS Monterey- en Ventura-computers, in plaats van de hele schijf te wissen.

Het eerste wat Alle inhoud en instellingen wissen zal doen is controleren of het besturingssysteem niet is gewijzigd of beschadigd. Hoe weet het dat?

Dit is waar de T2- of Apple Silicon chip in beeld komt. Elke chip bevat een gebied dat de Secure Enclave wordt genoemd. De Secure Enclave slaat een cryptografische sleutel op die specifiek is voor elke Mac. Met die cryptografische sleutel kan de computer het ondertekende systeemvolume ontgrendelen. (bedenk dat het systeemvolume standaard gecodeerd is)

Als de cryptografische sleutel niet overeenkomt met het ondertekende systeemvolume, geeft de functie Alle inhoud en instellingen wissen een waarschuwing dat het macOS opnieuw moet worden geïnstalleerd. Het zal niet toestaan dat een gewijzigd of 'corrupt' macOS-systeem op de computer blijft staan. En de enige manier om een nieuw besturingssysteem te krijgen is van Apple.

Maar waarom zou een beheerder niet zijn eigen aangepaste besturingssysteem kunnen installeren? Dit kan nog steeds, maar alleen als de beveiliging van de Mac is verlaagd van Volledige beveiliging naar Permissieve beveiliging (Apple Silicon) of Geen beveiliging Security (Intel). Dit type beveiliging is bedoeld voor ontwikkelaars die software op laag niveau moeten testen.

Alle inhoud en instellingen wissen voert daarnaast nog een zeer belangrijke taak uit. Als het beveiligingsniveau van een Mac werd verlaagd van Volledige beveiliging naar een lagere beveiligingsinstelling, wordt het niveau teruggezet naar Volledige beveiliging, waarbij alle beveiligingsmechanismen van de beveiligde enclave en het cryptografisch ondertekende systeemvolume worden hersteld.

Om het beveiligingsniveau van een Intel- of Apple Silicon-Mac te controleren met Jamf Pro, navigeer je naar het computerrecord en selecteer je Inventarisatie > Beveiliging. Je kunt ook een geavanceerde computerzoekopdracht of slimme computergroep maken door een lijst te maken met het criterium Secure Boot Level.

Onthoud dat zelfs als Jamf Pro verminderde beveiliging rapporteert, het uitvoeren van Alle inhoud en instellingen wissen of de opdracht EraseDevice met succes de Mac zal herstellen naar de veiligste instellingen, voordat deze wordt voorbereid voor een ander doel.

De opdracht Alle inhoud en instellingen wissen uitvoeren

Een eindgebruiker kan alle inhoud en instellingen direct vanaf de computer zelf wissen of een MDM-beheerder kan de opdracht EraseDevice naar een of meer computers sturen. Beide hebben dezelfde eisen:

• Intel-computers moeten een T2-beveiligingschip bevatten
• Alle Apple Silicon-computers ondersteunen Alle inhoud en instellingen wissen
• Op de computer moet macOS Monterey 12.0 of nieuwer draaien
• Als de opdracht wordt uitgevoerd vanaf de computer zelf, moet een beheerder op het account zijn aangemeld en de nodige inloggegevens hebben om zich af te melden bij iCloud

Om de opdracht op macOS Ventura uit te voeren, open je Systeeminstellingen (voorheen Systeemvoorkeuren) > Algemeen > Overbrengen of opnieuw instellen en klik je op Alle inhoud en instellingen wissen. De wisassistent vraagt eerst om inloggegevens als beheerder.

De wisassistent geeft vervolgens een overzicht van wat er gaat gebeuren.

Als de computer verbonden is met iCloud, wordt de beheerder gevraagd om het wachtwoord van de Apple ID van het account.

Na authenticatie krijgt de eindgebruiker een laatste waarschuwing dat alle gegevens, instellingen en apps worden gewist en dat dit niet ongedaan kan worden gemaakt.

De computer zal tijdelijk opnieuw opstarten in de Recovery Assistant-modus om de Mac te activeren. Het zal na ongeveer 60 seconden opnieuw starten als de eindgebruiker geen actie onderneemt. Ook tijdens dit proces gebruikt de Mac de cryptografische sleutel die is opgeslagen in de Secure Enclave om de integriteit van het geïnstalleerde macOS te controleren en, indien nodig, het beveiligingsniveau terug te brengen naar Volledige beveiliging.

Als de eindgebruiker na ongeveer vier à vijf minuten het woord 'Hallo' in meerdere talen ziet verschijnen, is de computer effectief teruggezet naar de standaard instellingen met volledige beveiliging ingeschakeld. Als ze in plaats daarvan een bericht zien dat macOS opnieuw moet worden geïnstalleerd, is het huidige systeem corrupt bevonden. Ze kunnen via de Recovery Assistant een geheel nieuw macOS-systeem downloaden en installeren.

Maar wat gebeurt er als een MDM-beheerder het commando EraseDevice verstuurt terwijl de computer is aangemeld met een iCloud-account?

Om de opdracht EraseDevice naar slechts één computer van Jamf Pro te sturen, navigeer je eerst naar de computerrecord en klik je op Beheer > Beheeropdrachten > Computer wissen. Als de computer Alle inhoud en instellingen wissen ondersteunt (zie de eerder genoemde criteria), zal deze doorgaan met het wissen van alleen de gebruikersgegevens en -instellingen. Maar wees voorzichtig. Met dezelfde knop kan het everything (besturingssysteem, gebruikersgegevens en instellingen) worden gewist op computers die geen ondersteuning bieden voor Alle inhoud en instellingen wissen.

Het verzenden van de opdracht kan twee dingen vereisen: de instructie Activeringsvergrendeling opheffen inschakelen en een Toegangscode voor wissen op afstand verstrekken.

Als u de activeringsvergrendeling opheft, wordt de computer effectief losgekoppeld van een iCloud-account en het verstrekken van een toegangscode voor Wissen op afstand werkt alleen indien Vergrendeling op afstand op de computer is ingeschakeld. Als Vergrendeling op afstand niet is ingeschakeld, werkt elk willekeurig getal van zes cijfers. Na het klikken op Computer schoonvegen moet de beheerder nog één keer bevestigen dat hij wil doorgaan.

Als een computer niet met iCloud is verbonden of is aangemeld met een Jamf Pro PreStage-inschrijving die Activeringsvergrendeling tegenhield, is de optie om Activeringsvergrendeling uit te schakelen niet van toepassing. De beheerder kan een bericht ontvangen dat Activeringsvergrendeling niet kon worden opgeheven. Ze kunnen toch gewoon doorgaan door op OK te klikken.

Het versturen van het commando EraseDevice naar meerdere computers is tegenwoordig alleen mogelijk met behulp van de Jamf Pro Classic-API. Het wordt niet ondersteund met de actieknop onderaan een geavanceerde computerzoekopdracht of slimme computergroep. Het wordt ook nog niet ondersteund door de nieuwere Jamf Pro-API.

De basisscriptsyntaxis voor het verzenden van de opdracht EraseDevice naar een computer met behulp van de Classic API ziet er ongeveer zo uit:

De string '123456' in de laatste regel representeert de zescijferige toegangscode die nodig is om de computer uit Apparaatvergrendeling te verwijderen en de string '1,5,18,24' representeert een lijst met computers met hun Jamf-ID's. De Classic API ondersteunt alleen het identificeren van computers aan de hand van hun ID's.

Voor een vollediger script, zie dit GitHub-overzicht.

Het gebruik van de Classic API om het EraseDevice-commando naar meerdere Macs te sturen is vooral nuttig voor beheerders van Macs die worden gebruikt in schoollokalen en die in de schoolvakanties moeten worden bijgewerkt. Samen met de optie PreStage-inschrijvingen om automatisch de Setup Assistant te doorlopen, kan dit bijwerken praktisch hands-free plaatsvinden.

Wanneer we misschien toch volledig moeten wissen en installeren

Werkt het commando startosinstall met de optie --eraseinstall niet langer?

Toch wel. De twee macOS-systemen die Alle inhoud en instellingen wissen ondersteunen, Monterey en Ventura, draaien nog steeds op een handvol oudere computermodellen die geen T2-beveiligingschips hebben. Totdat Apple een besturingssysteem uitbrengt dat alleen draait op computers met T2- of Apple Silicon-chips, kan het commando startosinstall nog steeds nuttig zijn voor beheerders.

We kunnen voorzien dat Apple over een paar jaar een macOS-versie uitbrengt waarbij requires een Secure Enclave is. Net als iOS en iPadOS vandaag, zal de noodzaak om een schone macOS opnieuw te installeren waarschijnlijk beperkt blijven tot bepaalde ontwikkelaars die op lage niveaus van het besturingssysteem tussen de kernel en de hardware werken. De gemiddelde en niet zo gemiddelde apparaatbeheerder zal waarschijnlijk nooit op dat niveau werken.

Wat dan? Alle inhoud en instellingen wissen is slechts één functie in het lange ontwikkelingtraject van Apple waarmee macOS en iOS waarschijnlijk steeds dichter bij elkaar zullen komen, tot er op een dag slechts één besturingssysteem is voor alle apparaten. Het is een langzaam proces, maar het is ook goed te zien dat Apple er agressief aan heeft gewerkt.

Onthoud voorlopig dat Alle inhoud en instellingen wissen de vervanging is voor startosinstall. En het is een veilige methode om gebruikersgegevens te wissen en een computer terug te zetten naar de standaardinstellingen.