Startsikkerhed i macOS
Politikker til startsikkerhed er med til at begrænse, hvem der må starte en Mac, og hvilke enheder der kan bruges til at starte en Mac.
Kontrol af politik til startdiskens sikkerhed på en Mac med Apple Silicon
I modsætning til sikkerhedspolitikker på Intel-baserede Mac-computere understøttes sikkerhedspolitikker til hvert installeret operativsystem på en Mac med Apple Silicon. Det betyder, at der kan være flere macOS-installeringer med forskellige versioner og sikkerhedspolitikker på den samme maskine. Der er derfor føjet en funktion til valg af operativsystem til Startsikkerhedsværktøj.
På en Mac med Apple Silicon viser Startsikkerhedsværktøj den samlede status for brugerdefineret sikkerhed i macOS, f.eks. start af en kext eller konfigurationen af beskyttelse af systemets integritet. Hvis ændring af en sikkerhedsindstilling vil forringe sikkerheden væsentligt eller gøre det nemmere at kompromittere systemet, skal brugerne genstarte i macOS-gendannelse ved at holde afbryderknappen nede (så malware ikke kan udløse signalet, kun en person med fysisk adgang) for at foretage ændringen. En Mac med Apple Silicon har derfor ikke behov for (og understøtter ikke) en firmwareadgangskode, da alle vigtige ændringer er underlagt brugergodkendelse. Du finder flere oplysninger om beskyttelse af systemets integritet i Beskyttelse af systemets integritet i Sikkerhed på Apples platforme.
Organisationer kan dog forhindre adgang til gendannelsesmiljøet, herunder skærmen med startmuligheder, ved at bruge en gendannelsesadgangskode, som findes i macOS 11.5 og nyere versioner. Du kan få flere oplysninger i afsnittet om gendannelsesadgangskode herunder.
Sikkerhedspolitikker
Der er tre sikkerhedspolitikker på en Mac med Apple Silicon:
Fuld sikkerhed: Systemet fungerer som iOS og iPadOS og tillader kun start af software, som var den nyeste, der var tilgængelig på installeringstidspunktet.
Reduceret sikkerhed: Dette politikniveau tillader, at systemet afvikler tidligere versioner af macOS. Det kan ikke undgås, at tidligere versioner af macOS har sikkerhedshuller, der ikke er lukket, og dette sikkerhedsniveau kaldes derfor Reduceret. Det er også det politikniveau, der skal konfigureres manuelt for at starte kerneudvidelser (kext’er) uden brug af en MDM-løsning og automatisk enhedstilmelding med Apple School Manager, Apple Business Manager eller Apple Business Essentials.
Tolerant sikkerhed: Dette politikniveau understøtter brugere, der udvikler, signerer og starter deres egne specielle XNU-kerner. Beskyttelse af systemets integritet skal slås fra, før Tolerant sikkerhed slås til. Du finder flere oplysninger i Beskyttelse af systemets integritet i Sikkerhed på Apples platforme.
Du kan få flere oplysninger om sikkerhedspolitikkerne i Kontrol af politik til startdiskens sikkerhed på en Mac med Apple Silicon i Sikkerhed på Apples platforme.
Gendannelsesadgangskode
En Mac med Apple Silicon og macOS 11.5 eller en nyere version understøtter indstilling af en gendannelsesadgangskode i MDM vha. kommandoen SetRecoveryLock
. Brugeren skal indtaste gendannelsesadgangskoden for at få adgang til gendannelsesmiljøet, herunder skærmen med startmuligheder. En gendannelsesadgangskode kan kun indstilles vha. MDM, og den aktuelle adgangskode skal også angives, før MDM kan opdatere eller fjerne en eksisterende adgangskode. Da gendannelsesadgangskoden kun kan indstilles, opdateres eller fjernes via MDM, bliver adgangskoden også fjernet, hvis en Mac-computer med en gendannelsesadgangskode frameldes i MDM. MDM-administratorer kan desuden kontrollere, om der er indstillet en korrekt gendannelsesadgangskode, med kommandoen VerifyRecoveryLock
.
Bemærk: Indstilling af en gendannelsesadgangskode forhindrer ikke, at en Mac-computer med Apple Silicon kan gendannes via DFU Mode med Apple Configurator, som også gør de tidligere data på Mac-computeren kryptografisk utilgængelige.
Startsikkerhedsværktøj
På Intel-baserede Mac-computere med en Apple T2-sikkerhedschip håndterer Startsikkerhedsværktøj en række indstillinger til sikkerhedspolitikken. Værktøjet kan bruges, hvis man starter i macOS-gendannelse og vælger Startsikkerhedsværktøj på menuen Hjælpeapps, og det beskytter understøttede sikkerhedsindstillinger mod at blive ændret af en person med ondsindede hensigter uden større besvær.
Politikken til sikker start kan konfigureres til en af disse tre indstillinger: Fuld sikkerhed, Middel sikkerhed og Ingen sikkerhed. Ingen sikkerhed slår sikker start-evalueringen fuldstændigt fra på Intel-processoren og lader brugeren starte hvad som helst.
Du kan få flere oplysninger om sikkerhedspolitikkerne i Startsikkerhedsværktøj på en Mac med en Apple T2-sikkerhedschip i Sikkerhed på Apples platforme.
Hjælpeapp til firmwareadgangskode
Mac-computere uden Apple Silicon understøtter brug af en firmwareadgangskode til at forhindre utilsigtede modifikationer af firmwareindstillinger på en Mac-computer. Firmwareadgangskoden bruges til at forhindre, at brugerne vælger andre startfunktioner såsom macOS-gendannelse, Enkeltbrugerfunktion, Computer som ekstern harddisk eller start fra en ikke-godkendt systemenhed. En firmwareadgangskode kan indstilles, opdateres eller fjernes vha. kommandolinjeværktøjet firmwarepasswd
, Hjælpeapp til firmwareadgangskode eller MDM. Inden MDM-løsningen kan opdatere eller slette en firmwareadgangskode, skal den først kende den eksisterende adgangskode, hvis den findes.
Bemærk: Indstilling af en firmwareadgangskode forhindrer ikke, at Apple T2 Security-chippens firmware kan gendannes via DFU Mode med Apple Configurator. Når Mac-computeren er gendannet, fjernes en eventuel firmwareadgangskode på enheden, og dataene på det interne lager slettes på en sikker måde.