Descripción general de Utilidad de Seguridad de Arranque
Utilidad de seguridad de Arranque sustituye a la anterior Utilidad de contraseña de firmware. En los ordenadores Mac con un chip de seguridad T2 de Apple, gestiona un conjunto más grande de ajustes de políticas de seguridad. Los ordenadores Mac sin un chip T2 siguen usando la Utilidad de contraseña de firmware. Se puede acceder a la utilidad al arrancar el sistema operativo de recuperación y seleccionar Utilidad de Seguridad de Arranque en el menú Utilidades. La ventaja de establecer los controles de políticas de seguridad del sistema más importantes en el sistema operativo de recuperación (como el arranque seguro o SIP) es que se comprueba la integridad de todo el sistema operativo. Esto garantiza que el código de cualquier atacante que haya logrado acceder al Mac, no puede hacerse pasar por el usuario para desactivar aún más las políticas de seguridad.
Los cambios en las políticas más importantes ahora requieren autenticación, incluso en el modo de recuperación. Esta función solo está disponible en los ordenadores Mac con el chip T2. Cuando se abre Utilidad de Seguridad de Arranque por primera vez, pide al usuario que introduzca una contraseña de administrador para la instalación de macOS principal asociada con el modo de recuperación de macOS que se ha arrancado en ese momento. Si no hay ningún administrador, se debe crear uno antes de poder cambiar la política. El chip T2 requiere que el ordenador Mac esté arrancado en ese momento en el modo de recuperación de macOS y que se produzca una autenticación con credenciales respaldadas por Secure Enclave antes de poder realizar el cambio de dicha política. Los cambios en la política de seguridad tienen dos requisitos implícitos. El modo de recuperación de macOS se debe:
Arrancar desde un dispositivo de almacenamiento conectado directamente al chip T2, puesto que las particiones de otros dispositivos no tienen credenciales respaldadas por Secure Enclave vinculadas al dispositivo de almacenamiento interno.
Almacenar en un volumen APFS, porque solo se pueden almacenar las credenciales de autenticación del modo de recuperación enviadas a Secure Enclave en el volumen APFS Prearranque de una unidad. Los volúmenes con formato HFS+ no pueden usar el arranque seguro.
Esta política solo se muestra en Utilidad de Seguridad de Arranque en los ordenadores Mac con un chip de seguridad T2 de Apple. Aunque en la mayoría de casos de uso la política de arranque seguro no debería requerir cambios, los usuarios son los que, en última instancia, tienen el control de los ajustes de su dispositivo y pueden optar (en función de sus necesidades) por desactivar o utilizar una opción menos segura de la funcionalidad de arranque seguro del Mac.
Los cambios a la política de arranque seguro llevados a cabo desde esta app solo se aplican a la evaluación de la cadena de confianza que se verifica en el procesador Intel. La opción “Arranque seguro del chip T2” siempre se aplica.
La política de arranque seguro se puede configurar en uno de estos tres ajustes: “Seguridad total”, “Seguridad media”, y “Sin seguridad”. “Sin seguridad” desactiva la evaluación del arranque seguro por completo en el procesador Intel y permite que el usuario inicie el proceso de arranque con lo que quiera.