Startsicherheit in macOS
Mit Richtlinien für die Startsicherheit kann beschränkt werden, wer einen Mac starten darf und welche Geräte zum Starten des Macs verwendet werden können.
Sicherheitsrichtlinien für das Startvolume bei einem Mac mit Apple Chips
Anders als bei Sicherheitsrichtlinien auf Intel-basierten Mac-Computern werden die Sicherheitsrichtlinien auf einem Mac mit Apple Chips für jedes installierte Betriebssystem unterstützt. Dies bedeutet, dass mehrere installierte macOS-Instanzen mit unterschiedlichen Versionen und Sicherheitsrichtlinien auf demselben Computer existieren können. Aus diesem Grund wurde im Startsicherheitsdienstprogramm eine Betriebssystemauswahl hinzugefügt.
Auf einem Mac mit Apple Chips gibt das Startsicherheitsdienstprogramm den vom Benutzer konfigurierten Sicherheitsstatus vom macOS insgesamt an, etwa das Starten einer Kernel-Erweiterung (kext) oder die Konfiguration des Systemintegritätsschutzes (System Integrity Protection, SIP). Wenn die Änderung einer Sicherheitseinstellung zur Folge hätte, dass die Sicherheit deutlich verringert würde oder das System einfacher zu schädigen wäre, müssen die Benutzer:innen zum Ausführen von Änderungen einen Neustart im RecoveryOS ausführen, indem sie den Ein-/Ausschalter gedrückt halten (das Signal kann dann nicht von Malware ausgelöst werden, sondern nur von einer Person mit physischem Zugriff). Daher benötigt (oder unterstützt) ein Mac mit Apple Chips kein Firmware-Passwort – alle kritischen Änderungen werden bereits durch die Benutzerautorisierung begrenzt. Weitere Informationen zum Schutz der Systemintegrität findest du unter Systemintegritätsschutz in „Sicherheit der Apple-Plattformen“.
Organisationen können jedoch den Zugriff auf die recoveryOS-Umgebung, einschließlich des Bildschirms mit den Startoptionen, mit einem recoveryOS-Passwort verhindern (verfügbar mit macOS 11.5 oder neuer). Weitere Informationen findest du unten im Abschnitt zum recoveryOS-Passwort.
Sicherheitsrichtlinien
Für einen Mac mit Apple Chips gibt es drei Sicherheitsrichtlinien:
Volle Sicherheit: Das System verhält sich wie iOS und iPadOS und erlaubt nur das Starten der Software, die zum Zeitpunkt der Installation bekanntermaßen als letzte verfügbar war.
Reduzierte Sicherheit: Diese Sicherheitsstufe erlaubt es dem System ältere Versionen von macOS auszuführen. Da ältere macOS-Versionen zwangsläufig nicht geschlossene Sicherheitslücken aufweisen, wird dieser Sicherheitsmodus als Reduziert bezeichnet. Dies ist auch die Sicherheitsstufe, die du zur Unterstützung des Startens von Kernel-Erweiterungen (kexts) ohne Geräteverwaltungsdienst und automatische Geräteregistrierung mit Apple School Manager oder Apple Business Manager manuell konfigurieren musst.
Permissive Sicherheit: Diese Sicherheitsstufe unterstützt Benutzer, die eigene XNU-Kernels erstellen, signieren und starten. Der Systemintegritätsschutz (SIP) muss deaktiviert werden, bevor der Modus „Permissive Sicherheit“ aktiviert wird. Weitere Informationen findest du unter Systemintegritätsschutz in „Sicherheit der Apple-Plattformen“.
Weitere Informationen zu den Sicherheitsrichtlinien findest du unter Sicherheitsrichtlinien für das Startvolume bei einem Mac mit Apple Chips in „Sicherheit der Apple-Plattformen“.
recoveryOS-Passwort
Auf einem Mac mit Apple Chips, auf dem macOS 11.5 (oder neuer) verwendet wird, kann mit dem Befehl SetRecoveryLock ein recoveryOS-Passwort über einen Geräteverwaltungsdienst festgelegt werden. Nur wenn Benutzer:innen das recoveryOS-Passwort eingegeben haben, erhalten sie Zugriff auf die Wiederherstellungsumgebung, einschließlich des Bildschirms mit Startoptionen. Ein recoveryOS-Passwort kann nur über einen Geräteverwaltungsdienst festgelegt werden. Das aktuelle Passwort muss auch bereitgestellt werden, damit der Dienst ein vorhandenes Passwort aktualisieren oder entfernen kann. Da das recoveryOS-Passwort nur über den Dienst festgelegt, aktualisiert oder entfernt werden kann, wird beim Aufheben der Registrierung eines Mac mit festgelegtem recoveryOS-Passwort von diesem Dienst auch das Passwort entfernt. Mit dem Befehl „VerifyRecoveryLock“ können Admins von Geräteverwaltungsdiensten auch prüfen, ob das korrekte recoveryOS-Passwort festgelegt wurde.
Hinweis: Das Festlegen eines recoveryOS-Passworts verhindert nicht die Wiederherstellung eines Mac-Computers mit Apple Chips über den DFU-Modus mit Apple Configurator, bei dem die vorherigen Daten auf dem Mac mittels Verschlüsselung unzugänglich gemacht werden.
Startsicherheitsdienstprogramm
Auf Intel-basierten Mac-Computern mit einem Apple T2 Security Chip handhabt das Startsicherheitsdienstprogramm eine Reihe von Einstellungen für Sicherheitsrichtlinien. Durch Starten im RecoveryOS und Auswählen des Startsicherheitsdienstprogramms im Menü „Dienstprogramme“ ist der Zugriff auf dieses Dienstprogramm möglich. Es schützt Sicherheitseinstellungen davor, von einem Angreifer auf einfache Weise manipuliert zu werden.
Die Richtlinie für sicheres Starten kann mit einer der folgenden drei Einstellungen konfiguriert werden: „Volle Sicherheit“, „Mittlere Sicherheit“ und „Ohne Sicherheit“. Mit der Einstellung „Ohne Sicherheit“ wird die Evaluierung für sicheres Starten auf dem Intel-Prozessor vollständig deaktiviert und der Benutzer kann das System ganz nach Belieben starten.
Weitere Informationen zu den Sicherheitsrichtlinien findest du unter Startsicherheitsdienstprogramm auf einem Mac mit einem Apple T2-Security Chip in „Sicherheit der Apple-Plattformen“.
Firmware-Passwortdienstprogramm
Mac-Computer ohne Apple Chips unterstützen die Verwendung eines Firmware-Passworts, um unbeabsichtigte Änderungen der Firmware-Einstellungen eines bestimmten Macs zu verhindern. Das Firmware-Passwort verhindert, dass Benutzer:innen alternative Startmodi wählen können, etwa Starten im RecoveryOS oder Einzelbenutzermodus, Starten von einem nicht autorisierten Volume oder Starten im Festplattenmodus. Du kannst ein Firmware-Passwort mit dem Befehlszeilenprogramm firmwarepasswd, dem Firmware-Passwortdienstprogramm oder einem Geräteverwaltungsdienst festlegen, aktualisieren oder entfernen. Damit ein Geräteverwaltungsdienst ein Firmwarepasswort aktualisieren oder löschen kann, muss er zuerst das vorhandene Passwort kennen (falls erforderlich).
Hinweis: Das Festlegen eines Firmware-Passworts verhindert nicht die Wiederherstellung der Firmware des Apple T2-Security Chip im DFU-Modus mit Apple Configurator. Bei der Wiederherstellung des Mac wird ein ggf. festgelegtes Firmware-Passwort auf dem Gerät entfernt und die Daten im internen Speicher werden sicher gelöscht.