Käynnistyksen suojaustyökalu Macissa, jossa on Apple T2 Security -siru
Yleiskatsaus
Intel-pohjaisessa Macissa, jossa on Apple T2 Security -siru, Käynnistyksen suojaustyökalu käsittelee useita suojauskäytännön asetuksia. Työkaluun pääsee käynnistämällä recoveryOS:ään ja valitsemalla Lisäapit-valikosta Käynnistyksen suojaustyökalun, ja se suojaa tuettuja suojausasetuksia, jottei hyökkääjä pääsisi helposti muuttamaan niitä.
Kriittiset käytäntömuutokset vaativat todentamisen, myös palautustilassa. Kun Käynnistyksen suojaustyökalu avataan ensimmäisen kerran, se pyytää käyttäjää syöttämään ylläpitäjän salasanan ensisijaisesta macOS-asennuksesta, joka on liitetty nykyiseen käynnistettävään recoveryOS:ään. Jos ylläpitäjää ei ole, sellainen täytyy luoda ennen kuin käytäntöä voidaan muuttaa. T2-siru vaatii, että Mac-tietokone on käynnistetty recoveryOS:ään ja että Secure Enclave -pohjaisilla tunnistetiedoilla todentaminen on tapahtunut, ennen kuin tällainen käytännön muutos voidaan tehdä. Suojauskäytännön muutoksilla on kaksi implisiittistä vaatimusta. recoceryOS täytyy olla:
käynnistetty tallennuslaitteelta, joka on suoraan yhdistettynä T2-siruun, koska muiden laitteiden osioissa ei ole Secure Enclaven tukemia tunnistetietoja, jotka on sidottu sisäiseen tallennuslaitteeseen.
APFS-pohjaisessa taltiossa, koska vain levyn esikäynnistys-APFS-taltion Secure Enclave -alueelle lähetettyjen todentamistietojen säilyttämistä tuetaan. HFS plus -alustetut taltiot eivät voi käyttää suojattua käynnistystä.
Tämä käytäntö on näkyvissä vain T2-sirulla varustettujen Intel-pohjaisten Mac-tietokoneiden Käynnistyksen suojaustyökalussa. Vaikka useimmissa käyttötapauksissa suojatun käynnistyksen käytäntöön ei pitäisi tarvita muutoksia, käyttäjät lopulta kuitenkin hallitsevat laitteen asetuksia ja voivat valita suojatun käynnistystoiminnon ottamisen pois käytöstä tai heikentämisen Macissa omista tarpeistaan riippuen.
Suojatun käynnistyksen käytännön muutokset, jotka tehdään tästä apista, koskevat vain Intel-prosessorissa tehtävää luottamusketjun arvioinnin vahvistamista. T2-sirun suojattu käynnistys -valinta on aina käytössä.
Suojatun käynnistyksen käytäntö voidaan määrittää johonkin näistä kolmesta asetuksesta: Täysi suojaus, Keskitason suojaus ja Ei suojausta. Ei suojausta -asetus ottaa Intel-prosessorin suojatun käynnistyksen arvioinnin kokonaan pois käytöstä ja sallii käyttäjän käynnistää, mitä hän haluaa.
Täysi suojaus -käynnistyskäytäntö
Täysi suojaus on oletuksena käytettävä käynnistyskäytäntö, ja se käyttäytyy paljolti samoin kuin iOS ja iPadOS tai Apple siliconilla varustetun Macin Täysi suojaus. Kun ohjelmisto ladataan ja sen asennusta valmistellaan, sille hankitaan yksilöllinen allekirjoitus, jonka allekirjoituspyynnössä on ECID-tunniste (Exclusive Chip Identification), joka on tässä tapauksessa T2-sirun yksilöllinen tunnus. Allekirjoituspalvelimen takaisin antama allekirjoitus on siten yksilöllinen ja käytettävissä vain kyseisessä T2-sirussa. UEFi (Unified Extensible Firmware Interface) ‑laiteohjelmisto on suunniteltu varmistamaan, että kun Täysi suojaus ‑käytäntö on käytössä, annettu allekirjoitus on Applen allekirjoittama ja lisäksi allekirjoitettu tälle tietylle Macille, mikä sitoo macOS:n version tähän Maciin. Tämä auttaa estämään heikennyshyökkäyksiä, joista kerrotaan Apple siliconilla varustetun Macin täyttä suojausta käsittelevässä osiossa.
Keskitason suojaus -käynnistyskäytäntö
Keskitason suojaus -käynnistyskäytäntö on melko samanlainen kuin perinteinen UEFI:n suojattu käynnistys, jossa toimittaja (tässä tapauksessa Apple) luo digitaalisen allekirjoituksen koodiin varmistaakseen, että se on peräisin toimittajalta. Tällä tavalla hyökkääjiä estetään syöttämästä allekirjoittamatonta koodia. Kutsumme tätä allekirjoitusta ”yleiseksi” allekirjoitukseksi, koska sitä voidaan käyttää kuinka kauan tahansa missä tahansa sellaisessa Macissa, jossa on sillä hetkellä asetettuna Keskitason suojaus -käytäntö. iOS, iPadOS ja itse T2-siru eivät tue yleisiä allekirjoituksia. Tämä asetus ei yritä estää heikennyshyökkäyksiä.
Tallennusvälineen käynnistyskäytäntö
Tallennusvälineen käynnistyskäytäntö on olemassa vain Intel-pohjaisessa T2-sirulla varustetussa Macissa, ja se on riippumaton suojatun käynnistyksen käytännöstä. Niinpä vaikka käyttäjä ottaisi suojatun käynnistyksen pois käytöstä, tämä ei muuta sitä, että oletuksena Macin käynnistys miltä tahansa muulta tallennusvälineeltä kuin suoraan T2-siruun yhteydessä olevalta tallennusvälineeltä estetään. (Tallennusvälineen käynnistyskäytäntöä ei tarvita Apple siliconilla varustetussa Macissa. Jos haluat lisätietoja, katso Käynnistyslevyn suojauskäytäntöhallinta.)