Laiteohjelmiston salasanasuojaus Intel-pohjaisessa Macissa
Intel-pohjaisissa Mac-tietokoneissa, joissa on Apple T2 Security -siru, macOS tukee laiteohjelmiston salasanaa, joka auttaa estämään laiteohjelmiston asetusten tahatonta muokkaamista tietyssä Macissa. Laiteohjelmiston salasana on suunniteltu estämään vaihtoehtoisten käynnistystilojen valitseminen, kuten käynnistäminen recoveryOS:ään tai yhden käyttäjän tilaan, järjestelmän käynnistäminen valtuuttamattomalta taltiolta tai kohdelevytilaan käynnistäminen.
Huomaa: Laiteohjelmiston salasanaa ei tarvita Apple siliconilla varustetussa Macissa, koska sen rajoittama kriittinen laiteohjelmistotoiminnallisuus on siirretty recoveryOS:ään ja (kun FileVault on käytössä) recoveryOS vaatii käyttäjän todennuksen ennen kriittiseen toiminnallisuuteen pääsyä.
Laiteohjelmistosalasanan perustilaan päästään recoveryOS:n Laiteohjelmiston salasanatyökalusta Intel-pohjaisessa Macissa, jossa ei ole T2-sirua, ja Käynnistyksen suojaustyökalusta Intel-pohjaisessa Macissa, jossa on T2-siru. Lisävalinnat (kuten mahdollisuus kysyä salasanaa jokaisen käynnistyksen yhteydessä) ovat saatavilla firmwarepasswd-komentorivityökalulla macOS:ssä.
Laiteohjelmiston salasanan asettaminen on erityisen tärkeää fyysisen hyökkäysriskin pienentämiseksi Intel-pohjaisissa Mac-tietokoneissa, joissa ei ole T2-sirua. Laiteohjelmiston salasana voi auttaa estämään hyökkääjää käynnistämästä recoveryOS:ään, josta hän muuten voisi ottaa järjestelmän eheyden suojauksen (SIP) pois käytöstä. Koska käynnistämistä vaihtoehtoiselta tallennusvälineeltä rajoitetaan, hyökkääjä ei voi suorittaa etuoikeutettua koodia toisesta käyttöjärjestelmästä ja hyökätä oheislaitteiden laiteohjelmistoihin.
Laiteohjelmistosalasanan nollausmekanismi auttaa käyttäjiä, jotka unohtavat salasanansa. Käyttäjät painavat näppäinyhdistelmää käynnistyksen yhteydessä, jolloin näkyviin tulee mallikohtainen merkkijono, joka annetaan AppleCarelle. AppleCare allekirjoittaa digitaalisesti resurssin, jonka allekirjoituksen tarkistaa URI-tunniste (Uniform Resource Identifier). Jos allekirjoitus kelpaa ja sisältö sopii kyseiseen Maciin, UEFI-laiteohjelmisto poistaa laiteohjelmiston salasanan.
macOS 10.15:ssä lisättiin -disable-reset-capability-valinta firmwarepasswd-komentorivityökaluun, jotta käyttäjät voivat halutessaan valita, että vain he itse voivat poistaa laiteohjelmiston salasanan ohjelmiston avulla. Ennen tämän asetuksen määrittämistä käyttäjien täytyy hyväksyä, että jos salasana unohtuu ja se täytyy poistaa, käyttäjä vastaa siihen tarvittavan emolevyn vaihdon kustannuksista. Organisaatioiden, jotka haluavat suojata Mac-tietokoneitaan ulkoisilta hyökkääjiltä ja työntekijöiltä, täytyy asettaa laiteohjelmiston salasana organisaation omistamille järjestelmille. Tämä voidaan tehdä laitteelle seuraavilla tavoilla:
provisiointivaiheessa käsin käyttämällä
firmwarepasswd-komentorivityökaluamuun valmistajan hallintatyökaluilla, jotka käyttävät
firmwarepasswd-komentorivityökaluamobiililaitteiden hallinnan (MDM) avulla