Startsicherheitsdienstprogramm auf Mac-Computern mit Apple T2 Security Chip
Übersicht
Auf Intel-basierten Mac-Computern mit Apple T2 Security Chip handhabt das Startsicherheitsdienstprogramm eine größere Anzahl von Einstellungen für Sicherheitsrichtlinien. Der Zugriff auf das Dienstprogramm erfolgt durch das Starten im recoveryOS-Modus und die Auswahl der Option „Startsicherheitsdienstprogramm“ im Menü „Dienstprogramme“. Dies schützt die unterstützten Sicherheitseinstellungen vor Manipulationsversuchen durch einen Angreifer.
Kritische Richtlinienänderungen erfordern jetzt eine Authentifizierung, selbst im Wiederherstellungsmodus. Beim erstmaligen Öffnen des Startsicherheitsdienstprogramms wird der Benutzer aufgefordert, ein Administratorpasswort der primären macOS-Installation zu verwenden, das dem aktuell gestarteten recoveryOS zugeordnet ist. Sofern es noch keinen Administrator gibt, muss einer erstellt werden, damit die Richtlinie geändert werden kann. Der T2-Chip macht es erforderlich, dass der Mac aktuell im recoveryOS-Modus gestartet wird und dass eine Authentifizierung mit durch die Secure Enclave gesicherten Anmeldedaten erfolgt, damit eine solche Richtlinienänderung vorgenommen werden kann. Für die Änderungen von Sicherheitsrichtlinien gelten zwei implizite Anforderungen. recoveryOS muss:
von einem Speichergerät gestartet werden, das direkt mit dem T2-Chip verbunden ist, weil Partitionen auf anderen Geräten über keine Secure Enclave-basierten Anmeldedaten verfügen, die an das interne Speichergerät gebunden sind.
auf einem APFS-basierten Volume erfolgen, da nur zur Authentifizierung bei der Wiederherstellung verwendete Anmeldedaten unterstützt werden, die an die Secure Enclave auf dem Preboot-APFS-Volume eines Laufwerks gesendet wurden. Es ist nicht möglich, mit HFS+ formatierte Volumes für das sichere Starten zu verwenden.
Diese Richtlinie wird nur im Startsicherheitsdienstprogramm auf Intel-basierten Mac-Computern angezeigt, die mit einem T2-Chip ausgestattet sind. Während in den meisten Fällen keine Änderungen an der Richtlinie für das sichere Starten erforderlich sind, haben letztendlich die Benutzer die Kontrolle über die Einstellungen ihrer Geräte und können sich entscheiden, die Funktionalität für das sichere Starten auf ihrem Mac ihren Anforderungen entsprechend zu deaktivieren oder herabzustufen.
Änderungen an der Richtlinie für das sichere Starten, die innerhalb dieser App vorgenommen werden, gelten nur für die Evaluierung der Chain of Trust, die auf dem Intel-Prozessor überprüft wird. Die Option für das sichere Starten des T2-Chips ist immer in Kraft.
Die Richtlinie für das sichere Starten kann mit einer dieser drei Einstellungen konfiguriert werden: „Volle Sicherheit“, „Mittlere Sicherheit“ und „Ohne Sicherheit“. Bei Auswahl von „Ohne Sicherheit“ wird die Evaluierung für sicheres Starten auf dem Intel-Prozessor vollständig deaktiviert und dem Benutzer erlaubt so zu starten, wie er es möchte.
Richtlinie für das Starten mit der Option „Volle Sicherheit“
„Volle Sicherheit“ ist die Standardrichtlinie für das Starten. Sie verhält sich ähnlich wie bei iOS, iPadOS und Mac-Computern mit Apple Chips. Zu dem Zeitpunkt, an dem die Software heruntergeladen und zur Installation vorbereitet wird, wird sie mit einer Signatur personalisiert, die die Exclusive Chip Identification (ECID) enthält (eine eindeutige ID, die in diesem Fall für den T2-Chip spezifisch ist). Die vom Signierungsserver zurückgegebene Signatur ist dann eindeutig und nur für diesen bestimmten T2-Chip nutzbar. Die Unified Extensible Firmware Interface (UEFi) firmware soll sicherstellen, dass wenn die Richtlinie „Volle Sicherheit“ aktiv ist, eine bestimmte Signatur nicht nur von Apple signiert, sondern für den spezifischen Mac signiert wird. Auf diese Weise wird die jeweilige Version von macOS an diesen Mac gebunden. Dies trägt, wie unter „Volle Sicherheit“ beschrieben, zum Verhindern von Rollback-Angriffen auf Mac-Computern mit Apple Chips bei.
Richtlinie für das Starten mit der Option „Mittlere Sicherheit“
Die Startrichtlinie „Mittlere Sicherheit“ ist dem herkömmlichen sicheren Start via UEFI ähnlich, bei der ein Hersteller (in diesem Fall Apple) eine digitale Signatur für den Code generiert, um sicherzustellen, dass dieser Code vom Hersteller stammt. Angreifer haben so keine Möglichkeit, nicht signierten Code einzuschleusen. Diese Signatur wird von Apple als „globale“ Signatur bezeichnet, weil sie auf einem beliebigen Mac für beliebig lange Zeit verwendet werden kann, sofern auf diesem Mac die mittlere Sicherheit konfiguriert ist. Weder iOS oder iPadOS noch der T2-Chip selbst unterstützen globale Signaturen. Mit dieser Einstellung wird nicht versucht, Rollback-Angriffe zu verhindern.
Richtlinie für das Starten von Medien
Die Richtlinie für das Starten von Medien wird nur auf Intel-basierten Mac-Computern mit T2-Chip angezeigt und ist ganz und gar unabhängig von der Richtlinie für das sichere Starten. Selbst wenn ein Benutzer das sichere Starten deaktiviert, ändert sich dadurch das Standardverhalten nicht, d. h., das Starten des Mac-Computers von anderen Medien als dem Speichergerät, das direkt mit dem T2-Chip verbunden ist, wird unterbunden. (Bei Mac-Computern mit Apple Chips wird keine bestimmte Richtlinie für das Starten von Medien vorausgesetzt. Weitere Informationen sind unter Sicherheitsrichtlinie „Startup Disk“ zu finden.)