Startsicherheit in macOS
Mit Richtlinien für die Startsicherheit kann beschränkt werden, wer einen Mac starten darf und welche Geräte zum Starten des Macs verwendet werden können.
Sicherheitsrichtlinien für das Startvolume bei einem Mac mit Apple Chips
Anders als bei Sicherheitsrichtlinien auf Intel-basierten Mac-Computern werden die Sicherheitsrichtlinien auf einem Mac mit Apple Chips für jedes installierte Betriebssystem unterstützt. Dies bedeutet, dass mehrere installierte macOS-Instanzen mit unterschiedlichen Versionen und Sicherheitsrichtlinien auf demselben Computer existieren können. Aus diesem Grund wurde im Startsicherheitsdienstprogramm eine Betriebssystemauswahl hinzugefügt.
Auf einem Mac mit Apple Chips gibt das Startsicherheitsdienstprogramm den vom Benutzer konfigurierten Sicherheitsstatus vom macOS insgesamt an, etwa das Starten einer Kernel-Erweiterung (kext) oder die Konfiguration des Systemintegritätsschutzes (System Integrity Protection, SIP). Wenn die Änderung einer Sicherheitseinstellung zur Folge hätte, dass die Sicherheit deutlich verringert würde oder das System einfacher zu schädigen wäre, müssen die Benutzer zum Ausführen von Änderungen einen Neustart im RecoveryOS ausführen, indem sie den Ein-/Ausschalter gedrückt halten (das Signal kann dann nicht von Malware ausgelöst werden, sondern nur von einem Benutzer mit physischem Zugriff). Daher benötigt (oder unterstützt) ein Mac mit Apple Chips kein Firmware-Passwort – alle kritischen Änderungen werden bereits durch die Benutzerautorisierung begrenzt. Weitere Informationen zum Schutz der Systemintegrität findest du unter Systemintegritätsschutz in „Sicherheit der Apple-Plattformen“.
Organisationen können den Zugriff auf die recoveryOS-Umgebung, einschließlich des Bildschirms mit den Startoptionen, mit einem recoveryOS-Passwort verhindern (verfügbar in macOS 11.5 oder neuer). Weitere Informationen findest du unten im Abschnitt zum recoveryOS-Passwort.
Sicherheitsrichtlinien
Für einen Mac mit Apple Chips gibt es drei Sicherheitsrichtlinien:
Volle Sicherheit: Das System verhält sich wie iOS und iPadOS und erlaubt nur das Starten der Software, die zum Zeitpunkt der Installation bekanntermaßen als letzte verfügbar war.
Reduzierte Sicherheit: Diese Sicherheitsstufe erlaubt es dem System ältere Versionen von macOS auszuführen. Da ältere macOS-Versionen zwangsläufig nicht geschlossene Sicherheitslücken aufweisen, wird dieser Sicherheitsmodus als Reduziert bezeichnet. Dies ist auch die Sicherheitsstufe, die zur Unterstützung des Startens von Kernel-Erweiterungen (kexts) ohne MDM-Lösung und automatische Geräteregistrierung mit Apple School Manager, Apple Business Manager oder Apple Business Essentials manuell konfiguriert werden muss.
Permissive Sicherheit: Diese Sicherheitsstufe unterstützt Benutzer, die eigene XNU-Kernels erstellen, signieren und starten. Der Systemintegritätsschutz (SIP) muss deaktiviert werden, bevor der Modus „Permissive Sicherheit“ aktiviert wird. Weitere Informationen findest du unter Systemintegritätsschutz in „Sicherheit der Apple-Plattformen“.
Weitere Informationen zu den Sicherheitsrichtlinien findest du unter Sicherheitsrichtlinien für das Startvolume bei einem Mac mit Apple Chips in „Sicherheit der Apple-Plattformen“.
recoveryOS-Passwort
Auf einem Mac mit Apple Chips, auf dem macOS 11.5 (oder neuer) verwendet wird, kann mit dem Befehl SetRecoveryLock ein recoveryOS-Passwort über die MDM-Lösung festgelegt werden. Nur wenn das recoveryOS-Passwort eingegeben wird, erhält der Benutzer Zugriff auf die Wiederherstellungsumgebung. Dies gilt auch für den Bildschirm mit Startoptionen. Ein recoveryOS-Passwort kann nur via MDM festgelegt werden. Das aktuelle Passwort muss auch bereitgestellt werden, damit MDM ein vorhandenes Passwort aktualisieren oder entfernen kann. Da das recoveryOS-Passwort nur via MDM festgelegt, aktualisiert oder entfernt werden kann, wird beim Aufheben der Registrierung eines Mac-Computers vom MDM-System, auf dem ein recoveryOS-Passwort festgelegt wurde, auch dieses Passwort entfernt. Mit dem Befehl „VerifyRecoveryLock“ können MDM-Admins auch prüfen, ob das korrekte recoveryOS-Passwort festgelegt wurde.
Hinweis: Das Festlegen eines recoveryOS-Passworts verhindert nicht die Wiederherstellung eines Mac-Computers mit Apple Chips über den DFU-Modus mit Apple Configurator, bei dem die vorherigen Daten auf dem Mac mittels Verschlüsselung unzugänglich gemacht werden.
Startsicherheitsdienstprogramm
Auf Intel-basierten Mac-Computern mit einem Apple T2 Security Chip handhabt das Startsicherheitsdienstprogramm eine Reihe von Einstellungen für Sicherheitsrichtlinien. Durch Starten im RecoveryOS und Auswählen des Startsicherheitsdienstprogramms im Menü „Dienstprogramme“ ist der Zugriff auf dieses Dienstprogramm möglich. Es schützt Sicherheitseinstellungen davor, von einem Angreifer auf einfache Weise manipuliert zu werden.
Die Richtlinie für sicheres Starten kann mit einer der folgenden drei Einstellungen konfiguriert werden: „Volle Sicherheit“, „Mittlere Sicherheit“ und „Ohne Sicherheit“. Mit der Einstellung „Ohne Sicherheit“ wird die Evaluierung für sicheres Starten auf dem Intel-Prozessor vollständig deaktiviert und der Benutzer kann das System ganz nach Belieben starten.
Weitere Informationen zu den Sicherheitsrichtlinien findest du unter Startsicherheitsdienstprogramm auf einem Mac mit einem Apple T2-Security Chip in „Sicherheit der Apple-Plattformen“.
Firmware-Passwortdienstprogramm
Mac-Computer ohne Apple Chips unterstützen die Verwendung eines Firmware-Passworts, um unbeabsichtigte Änderungen der Firmware-Einstellungen eines bestimmten Macs zu verhindern. Mit dem Firmware-Passwort wird verhindert, dass Benutzer alternative Startmodi wählen können, etwa Starten im RecoveryOS oder Einzelbenutzermodus, Starten von einem nicht autorisierten Volume oder Starten im Festplattenmodus. Ein Firmware-Passwort kann mit dem Befehlszeilenprogramm firmwarepasswd, dem Firmware-Passwortdienstprogramm oder der MDM-Lösung festgelegt, aktualisiert oder entfernt werden. Damit die MDM-Lösung ein Firmware-Passwort aktualisieren oder entfernen kann, muss sie das vorhandene Passwort kennen (falls erforderlich).
Hinweis: Das Festlegen eines Firmware-Passworts verhindert nicht die Wiederherstellung der Firmware des Apple T2-Security Chip im DFU-Modus mit Apple Configurator. Bei der Wiederherstellung des Mac wird ein ggf. festgelegtes Firmware-Passwort auf dem Gerät entfernt und die Daten im internen Speicher werden sicher gelöscht.