Beskyttelse med firmwareadgangskode på en Intel-baseret Mac
macOS på Intel-baserede Mac-computere med en Apple T2-sikkerhedschip understøtter brugen af en firmwareadgangskode for at bidrage til at forhindre utilsigtede ændringer af firmwareindstillinger på en Mac-computer. Firmwareadgangskoden har til formål at forhindre valg af andre starttilstande såsom macOS-gendannelse, Enkeltbrugerfunktion, Computer som ekstern harddisk eller start fra en ikke-godkendt systemenhed.
Bemærk: Der er ikke behov for firmwareadgangskoden på en Mac med Apple Silicon, fordi den kritiske firmwarefunktionalitet, den beskyttede, er flyttet til macOS-gendannelse, og macOS-gendannelse kræver brugerens godkendelse (når FileVault er slået til), før der gives adgang til kritisk funktionalitet.
Den enkleste version af firmwareadgangskoder findes i Hjælpeprogram til firmwareadgangskode i macOS-gendannelsestilstand på en Intel-baseret Mac uden en T2-chip og i Startsikkerhedsværktøj på en Intel-baseret Mac med en T2-chip. Avancerede indstillinger (såsom mulighed for at bede om adgangskode, hver gang Mac-computeren starter) findes i kommandoen firmwarepasswd
i macOS.
Det er særlig vigtigt at indstille en firmwareadgangskode for at nedbringe risikoen for angreb på Intel-baserede Mac-computere uden en T2-chip, hvor en hacker har fysisk adgang til computeren. Firmwareadgangskoden er med til at forhindre en person med onde hensigter i at starte computeren fra macOS-gendannelsestilstand, hvorfra Beskyttelse af systemets integritet kan slås fra. Når muligheden for at starte Mac-computeren fra alternative medier begrænses, kan en hacker ikke afvikle priviligeret kode fra et andet operativsystem med henblik på at angribe firmware i eksterne enheder.
Der findes en funktion til nulstilling af firmwareadgangskoden, hvis brugeren har glemt sin adgangskode. Brugeren benytter en tastkombination ved start og får en modelafhængig streng, der skal oplyses til AppleCare. AppleCare signerer en ressource digitalt, hvorefter den bliver signaturkontrolleret af Uniform Resource Identifier (URI). Hvis signaturen bliver godkendt, og indholdet er beregnet til den pågældende Mac, fjerner UEFI-firmwaren firmwareadgangskoden.
Af hensyn til brugere, som ikke ønsker, at andre end de selv skal kunne fjerne firmwareadgangskoden med software, blev parameteren -disable-reset-capability
føjet til kommandoen firmwarepasswd
i macOS 10.15. Inden denne mulighed indstilles, skal brugeren bekræfte, at det påhviler vedkommende at afholde udgifterne til et nyt hovedkort, hvis adgangskoden glemmes og skal fjernes. Organisationer, der vil beskytte deres Mac-computere mod eksterne personer med onde hensigter og mod medarbejdere, skal indstille en firmwareadgangskode på systemer, der ejes af organisationen. Det kan gøres på enheden på følgende måder:
På klargøringstidspunktet ved hjælp af kommandoen
firmwarepasswd
på kommandolinjenVed hjælp af administrationsværktøjer fra tredjeparter, der bruger kommandoen
firmwarepasswd
på kommandolinjenVed hjælp af administration af mobile enheder (MDM)