Zabezpečené spouštění v macOS
Zásady zabezpečeného spouštění umožňují omezit okruh uživatelů, které mohou spustit Mac, a také okruh zařízení, z nichž lze Mac spustit.
Nastavení zásad zabezpečení pro startovací disk na Macích s čipy Apple
Na rozdíl od zásad zabezpečení na počítačích Mac s procesorem Intel jsou zásady zabezpečení na Macích s čipy Apple podporovány pro všechny nainstalované operační systémy. To znamená, že na témže počítači můžou existovat různé instance macOS s různými verzemi a zásadami zabezpečení. Z tohoto důvodu byl do Utility zabezpečeného spouštění přidán výběr operačního systému.
Utilita zabezpečeného spouštění na Macích s čipy Apple informuje o celkovém stavu zabezpečení systému macOS nakonfigurovaného uživatelem, jako je například zavedení rozšíření kernelu nebo konfigurace ochrany integrity systému (System Integrity Protection – SIP). Pokud by změna některého parametru zabezpečení znamenala podstatné snížení úrovně zabezpečení nebo zvýšenou zranitelnost vůči prolomení, musí uživatel před provedením změny restartovat počítač do režimu recoveryOS podržením zapínacího tlačítka (aby tento signál nemohl spustit škodlivý kód, ale pouze osoba s fyzickým přístupem k počítači). Macy s čipy Apple ze stejného důvodu nevyžadují (ani nepodporují) heslo firmwaru – všechny kritické změny jsou už ošetřeny autorizací uživatele. Další informace o ochraně SIP najdete v příručce Apple Platform Security (Zabezpečení platforem Apple) v části System Integrity Protection (Ochrana integrity systému).
Organizace však můžou přístup do režimu recoveryOS včetně obrazovky s volbami spuštění zabezpečit heslem režimu recoveryOS, které je k dispozici v systémech macOS 11.5 a novějších. Další informace najdete níže v části Heslo režimu recoveryOS.
Zásady zabezpečení
Na Macích s čipy Apple jsou k dispozici tři úrovně zásad zabezpečení:
Úplné zabezpečení: Systém se chová podobně jako iOS a iPadOS, tzn. umožňuje jen zavedení nejaktuálnější verze softwaru, která byla podle dostupných informací k dispozici v době instalace.
Snížené zabezpečení: Tato úroveň zásad zajišťuje možnost spouštění i starších verzí systému macOS. Vzhledem k tomu, že starší verze macOS nevyhnutelně obsahují neopravené slabiny, označujeme zabezpečení v tomto režimu jako snížené. Zároveň se jedná o úroveň zásad, kterou musíte nakonfigurovat ručně, pokud chcete podporovat zavádění rozšíření kernelu (kext) bez použití systému správy zařízení a automatické registrace zařízení v Apple School Manageru nebo Apple Business Manageru.
Propustné zabezpečení: Tato úroveň zásad podporuje uživatele, kteří sestavují, podepisují a zavádějí vlastní kernely XNU. Před aktivací režimu propustného zabezpečení je nutné vypnout ochranu integrity systému (SIP). Další informace najdete v příručce Apple Platform Security (Zabezpečení platforem Apple) v části System Integrity Protection (Ochrana integrity systému).
Další informace o zásadách zabezpečení najdete v příručce Apple Platform Security (Zabezpečení platforem Apple) v části Startup Disk security policy control for a Mac with Apple silicon (Nastavení zásad zabezpečení pro startovací disk na Macích s čipy Apple).
Heslo režimu recoveryOS
Macy s čipem Apple a systémem macOS 11.5 nebo novějším podporují nastavení hesla režimu recoveryOS pomocí služby správy zařízení a příkazu SetRecoveryLock. Pokud uživatel heslo režimu recoveryOS nezadá, systém mu neumožní přístup do režimu zotavení ani k obrazovce s volbami pro spuštění. Heslo režimu recoveryOS můžete nastavit jen pomocí služby správy zařízení. Pokud chcete v této službě aktualizovat nebo odstranit stávající heslo, musíte ho nejprve zadat. Vzhledem k tomu, že heslo režimu recoveryOS můžete nastavit, aktualizovat a odstranit jen prostřednictvím služby správy zařízení, bude z Macu, na kterém je nastavené, odstraněno také při zrušení jeho registrace v této službě. Správci služby správy zařízení můžou pomocí příkazu VerifyRecoveryLock ověřit, zda je heslo režimu recoveryOS nastavené správně.
Poznámka: Nastavení hesla recoveryOS nebrání v obnově počítače Mac s čipem Apple silicon prostřednictvím režimu DFU za pomoci Apple Configuratoru, přičemž se předchozí data na Macu stanou kryptograficky nedostupnými.
Utilita zabezpečeného spouštění
Na počítačích Mac s procesorem Intel se zabezpečovacím čipem Apple T2 pracuje Utilita zabezpečeného spouštění s řadou parametrů pro zásady zabezpečení. Utilita je dostupná po spuštění systému recoveryOS prostřednictvím volby Utilita zabezpečeného spouštění z nabídky Utility. Zajišťuje ochranu podporovaných parametrů zabezpečení před snadnou manipulací ze strany útočníků.
Pravidla zabezpečeného spouštění lze nastavit na jeden ze tří režimů: Úplné zabezpečení, Střední zabezpečení nebo Žádné zabezpečení. V režimu Žádné zabezpečení se vyhodnocování zabezpečeného spouštění procesorem Intel úplně vypne a uživatel může počítač spustit s jakýmkoli kódem.
Další informace o zásadách zabezpečení najdete v příručce Apple Platform Security (Zabezpečení platforem Apple) v části Startup Security Utility on a Mac with an Apple T2 Security Chip (Utilita zabezpečeného spouštění na Macu se zabezpečovacím čipem Apple T2).
Utilita Heslo firmwaru
Počítače Mac bez čipů Apple podporují použití hesel k firmwaru, která brání nežádoucím změnám nastavení firmwaru v konkrétním Macu. Bez hesla k firmwaru nemůže uživatel vybrat alternativní režimy spuštění počítače, například spuštění systému recoveryOS, jednouživatelského režimu či diskového režimu nebo spuštění z neautorizovaného svazku. Heslo k firmwaru můžete nastavit, aktualizovat nebo odstranit pomocí nástroje příkazového řádku firmwarepasswd, pomocí utility Heslo k firmwaru nebo služby správy zařízení. Aby mohla služba správy zařízení heslo k firmwaru aktualizovat nebo smazat, potřebuje znát stávající heslo (pokud je nastavené).
Poznámka: Nastavení hesla k firmwaru nebrání v obnovení firmwaru zabezpečovacího čipu Apple T2 prostřednictvím režimu DFU v Apple Configuratoru. Při obnovení Macu bude jakékoli nastavené heslo k firmwaru ze zařízení odstraněno a data v interním úložišti budou bezpečně vymazána.