Startsikkerhedsværktøj til en Mac med en Apple T2-sikkerhedschip
Oversigt
På en Intel-baseret Mac med en Apple T2-sikkerhedschip håndterer Startsikkerhedsværktøj en række indstillinger til sikkerhedspolitikker. Værktøjet kan bruges, hvis man starter i macOS-gendannelse og vælger Startsikkerhedsværktøj på menuen Hjælpeapps. Det beskytter mod, at en hacker nemt kan ændre understøttede sikkerhedsindstillinger.
Vigtige ændringer i politikken kræver godkendelse – selv i macOS-gendannelsestilstand. Første gang Startsikkerhedsværktøj åbnes, bliver brugeren bedt om at indtaste en administratoradgangskode fra den primære macOS-installering, der er knyttet til den macOS-gendannelse, der er startet fra. Hvis der ikke er nogen administratorkonto, skal der oprettes en, før politikken kan ændres. T2-chippen kræver, at Mac-computeren i øjeblikket er startet i macOS-gendannelse, og at der er foretaget godkendelse med Secure Enclave-godkendelsesoplysninger, før der kan foretages ændringer i politikken. Der er to implicitte krav ved ændringer af sikkerhedspolitikken. macOS-gendannelse skal:
Startes fra en lagringsenhed, der er direkte forbundet til T2-chippen, fordi partitioner på andre enheder ikke har Secure Enclave-sikkerhedsoplysninger, der er knyttet til den interne lagringsenhed.
Være placeret på en APFS-baseret enhed, fordi den kun understøtter opbevaring af godkendelsesoplysninger til Godkendelse i gendannelse sendt til Secure Enclave på et drevs “Preboot” APFS-enhed. HFS plus-formaterede enheder kan ikke bruge sikker start.
Denne politik vises kun i Startsikkerhedsværktøj på en Intel-baseret Mac med en T2-chip. Selvom de fleste brugssituationer ikke burde kræve, at der foretages ændringer i politikken til sikker start, har brugere i sidste ende kontrol over indstillingerne på deres enhed og kan efter behov vælge at slå funktionen sikker start fra eller nedgradere den på deres Mac.
Ændringer i politikken til sikker start, der foretages fra denne app, gælder kun for evaluering af godkendelseskæden på Intel-processoren. Muligheden “Sikker start: T2-chip” er altid i funktion.
Politikken til sikker start kan konfigureres til en af disse tre indstillinger: Fuld sikkerhed, Middel sikkerhed og Ingen sikkerhed. Ingen sikkerhed slår sikker start-evalueringen fuldstændigt fra på Intel-processoren og lader brugeren starte hvad som helst.
Sikker start med Fuld sikkerhed
Fuld sikkerhed er standardstartpolitikken, og det fungerer stort set som i iOS og iPadOS og på en Mac med Apple Silicon. På det tidspunkt, hvor software hentes og klargøres til installering, bliver den personliggjort med en signatur, der indeholder ECID (Exclusive Chip Identification) – et unikt id, der er specifikt for T2-chippen i dette tilfælde – som en del af signeringsanmodningen. Signaturen, der leveres tilbage af signeringsserveren, er derfor unik og kan kun bruges af den pågældende T2-chip. UEFI-firmwaren (Unified Extensible Firmware Interface) har til formål at sikre, at en given signatur ikke kun er signeret af Apple, når politikken Fuld sikkerhed er slået til, men er signeret til netop den pågældende Mac-computer, så denne version af macOS bliver knyttet til præcis denne Mac. Det bidrager til at forhindre rollback-angreb som beskrevet i Fuld sikkerhed på en Mac med Apple Silicon.
Sikker start med Middel sikkerhed
Startpolitikken Middel sikkerhed svarer nogenlunde til en traditionel sikker start med UEFI, hvor en producent (i dette tilfælde Apple) genererer en digital signatur til koden for at fastslå, at den kommer fra producenten. På den måde kan hackere ikke introducere kode, der ikke er signeret. Vi kalder denne type signatur en “global” signatur, fordi den kan bruges på enhver Mac, lige så længe det skal være, hvis den er konfigureret med Reduceret sikkerhed. Hverken iOS, iPadOS eller selve T2-chippen understøtter globale signaturer. Denne indstilling gør intet forsøg på at forhindre rollback-angreb.
Politik for start fra medier
Politikken for start fra medier findes kun på en Intel-baseret Mac med en T2-chip og har intet at gøre med politikken for sikker start. Det betyder, at selvom en bruger slår sikker start fra, ændrer det ikke på standardvirkemåden, som kun tillader, at Mac-computeren startes fra den lagringsenhed, der er sluttet direkte til T2-chippen. (Der er ikke behov for en politik for start fra medier på en Mac med Apple Silicon. Du kan få flere oplysninger i Styring af sikkerhedspolitik for Startdisk).