Seguridad de Arranque en macOS
Las políticas de seguridad de arranque ayudan a restringir el arranque de una Mac, tanto a personas como dispositivos.
Políticas de seguridad de Disco de Arranque en una Mac con Apple Chip
A diferencia de las políticas de seguridad de las computadoras Mac con procesador Intel, las políticas de seguridad de las computadoras Mac con Apple Chip son compatibles con cada sistema operativo instalado. Esto significa que es posible contar con varias instancias de macOS con diferentes versiones y políticas de seguridad en la misma máquina. Por este motivo, se agregó un selector de sistema operativo a Utilidad de Seguridad de Arranque.
En una Mac con Apple Chip, en la app Utilidad de Seguridad de Arranque se indica el estado de seguridad general de macOS configurado por el usuario, lo que incluye el arranque de una KEXT o la configuración de la protección de integridad del sistema (SIP). Para poder realizar un cambio en la configuración de seguridad que reduzca significativamente la seguridad o que haga que sea más fácil transgredir el sistema, los usuarios tendrán que reiniciar la computadora en recoveryOS (para esto, deben mantener presionado el botón de encendido; hacerlo de esta forma significa que el malware no puede activar la señal, sino que sólo lo puede hacer un humano con acceso físico). Debido a esto, una computadora Mac con Apple Chip tampoco requerirá (ni será compatible) con la contraseña de firmware; todos los cambios críticos requieren la autenticación física del usuario. Para obtener más información sobre SIP, consulta la sección Protección de la integridad del sistema en la guía Seguridad de las plataformas de Apple.
Sin embargo, en macOS 11.5 o posterior, las organizaciones pueden usar una contraseña de recoveryOS para impedir el acceso al entorno de recoveryOS, incluida la pantalla de opciones de arranque. Para obtener más información, consulta la sección sobre la contraseña de recoveryOS a continuación.
Políticas de seguridad
Las computadoras Mac con Apple Chip cuentan con tres políticas de seguridad:
Máxima seguridad: el sistema funciona como iOS y iPadOS, donde sólo se permite arrancar software que se sabe era la versión más reciente disponible en el momento de la instalación.
Seguridad reducida: esta política permite que el sistema ejecute versiones previas de macOS. Dado que las versiones previas de macOS cuentan inevitablemente con vulnerabilidades sin resolver, este modo de seguridad se conoce como Reducido. Este es también el nivel de seguridad que debe configurarse de forma manual para admitir el arranque de extensiones del kernel (kexts) sin utilizar una solución de administración de dispositivos móviles (MDM) y el perfil Inscripción de dispositivos automatizada con Apple School Manager, Apple Business Manager o Apple Business Essentials.
Seguridad permisiva: este nivel de política permite a los usuarios crear, firmar y arrancar sus propios kernels XNU personalizados. Para activar el modo Seguridad permisiva se debe desactivar la función Protección de integridad del sistema (SIP). Para obtener más información, consulta la sección Protección de la integridad del sistema en la guía de referencia Seguridad de las plataformas de Apple.
Para obtener más información sobre las políticas de seguridad, consulta la sección Control de la política de seguridad del disco de arranque para una computadora Mac con Apple Chip en la guía Seguridad de las plataformas de Apple.
Contraseña de recoveryOS
Una Mac con Apple Chip y macOS 11.5 o posterior permite usar el comando de MDM SetRecoveryLock para establecer una contraseña para recoveryOS. A menos que se ingrese la contraseña del recoveryOS, el usuario no podrá acceder al entorno de recuperación, incluida la pantalla de opciones de arranque. Sólo se puede usar una contraseña de recoveryOS mediante una solución de MDM. Para que la solución de MDM actualice o elimine una contraseña existente, también se debe proporcionar la contraseña actual. Dado que la contraseña de recoveryOS sólo se puede establecer, actualizar o eliminar mediante la solución MDM, al cancelar la inscripción de una computadora Mac a la solución MDM que tiene una contraseña de recoveryOS, también se elimina la contraseña. Los administradores de una MDM también pueden usar el nuevo comando VerifyRecoveryLock para verificar si se estableció la contraseña correcta de recoveryOS.
Nota: al configurar una contraseña de recoveryOS no se impide la restauración de una computadora Mac con Apple Chip mediante el modo DFU con Apple Configurator, con lo cual también hace que los datos anteriores de la Mac sean criptográficamente inaccesibles.
Utilidad de Seguridad de Arranque
En las computadoras Mac con procesador Intel y con el chip de seguridad T2 de Apple, Utilidad de Seguridad de Arranque administra una variedad de configuraciones de políticas de seguridad. Para acceder a la utilidad, es necesario arrancar recoveryOS y seleccionar Utilidad de Seguridad de Arranque en el menú Utilidades; su objetivo es proteger la seguridad de arranque de la manipulación de un atacante.
La política de arranque seguro ofrece tres configuraciones: Máxima seguridad, Seguridad media y Sin seguridad. La configuración Sin seguridad desactiva completamente la evaluación de arranque seguro en el procesador de Intel y permite al usuario arrancar lo que quiera.
Para obtener más información sobre las políticas de seguridad, consulta la sección Utilidad de Seguridad de Arranque en computadoras Mac con el chip de seguridad T2 de Apple de la guía de referencia Seguridad de las plataformas de Apple.
Utilidad de Contraseña de Firmware
Las computadoras Mac sin el Apple Chip permiten el uso de una contraseña de firmware para impedir modificaciones no deseadas en la configuración del firmware en una Mac específica. La contraseña del firmware se utiliza para evitar que los usuarios seleccionen modalidades de arranque alternativos, como el arranque con recoveryOS, la modalidad de usuario único, el arranque desde un volumen no autorizado o el arranque en la modalidad de disco de destino. Se puede configurar, actualizar o eliminar una contraseña de firmware mediante la herramienta de línea de comandos firmwarepasswd, Utilidad de Contraseña de Firmware o MDM. Para que la solución de MDM pueda actualizar o borrar una contraseña de firmware, primero debe conocer la contraseña existente, si corresponde.
Nota: al configurar una contraseña de firmware no se impide la restauración del firmware con el chip de seguridad T2 de Apple mediante el modo DFU con Apple Configurator. Después se restaura la Mac, se eliminan todas las contraseñas de firmware del dispositivo y los datos del almacenamiento interna se borran de manera segura.