macOS में स्टार्टअप सुरक्षा
स्टार्टअप सुरक्षा नीतियाँ इस बात को प्रतिबंधित कर सकती हैं कि Mac को कौन स्टार्टअप कर सकता है और Mac को स्टार्टअप करने में कौन-से डिवाइस का उपयोग किया जा सकता है।
Apple सिलिकॉन वाले Mac के लिए स्टार्टअप डिस्क सुरक्षा नीति नियंत्रण
Intel-आधारित Mac कंप्यूटर की सुरक्षा नीतियों के विपरीत Apple silicon वाले Mac की सुरक्षा नीतियाँ इंस्टॉल की गई प्रत्येक ऑपरेटिंग सिस्टम के लिए समर्थित होती हैं। इसका अर्थ है कि macOS की इंस्टॉल की गईं एकाधिक आवृत्तियाँ, जिसके संस्करण और सुरक्षा नीतियाँ अलग-अलग हैं, वे समान मशीन पर समर्थित हो सकती हैं। इसलिए स्टार्टअप सुरक्षा यूटिलिटी में ऑपरेटिंग सिस्टम चयनिका जोड़ी गई है।
Apple silicon वाले Mac पर स्टार्टअप सुरक्षा यूटिलिटी macOS के यूज़र द्वारा कॉन्फ़िगर की गई सुरक्षा की कुल स्थिति को बताती है, जैसे कि kext का बूटिंग या सिस्टम इंटेग्रिटी सुरक्षा (SIP) का कॉन्फ़िगरेशन। यदि सुरक्षा सेटिंग को बदलने से सुरक्षा काफ़ी डीग्रेड हो जाएगी या उससे सिस्टम के फ़ंक्शन में कमी आ जाएगी, तो यूज़र को बदलाव करने के लिए पावर बटन को दबाए रखकर recoveryOS में रीस्टार्ट करना चाहिए (ताकि मालवेयर सिग्नल को ट्रिगर न कर सके, केवल भौतिक ऐक्सेस प्राप्त व्यक्ति ही कर सके)। इसके कारण Apple silicon वाले Mac को भी फ़र्मवेयर पासवर्ड (या समर्थन) की आवश्यकता नहीं होगी—सभी महत्त्वपूर्ण बदलाव यूज़र अधिकरण द्वारा पहले ही किए जाते हैं। SIP के बारे में अधिक जानकारी के लिए Apple प्लैटफ़ॉर्म सुरक्षा में सिस्टम एकीकरण सुरक्षा देखें।
हालाँकि, संगठन स्टार्टअप विकल्पों के स्क्रीन सहित recoveryOS परिवेश के ऐक्सेस को macOS 11.5 या बाद के संस्करण के साथ मौजूद recoveryOS पासवर्ड के ज़रिए रोक सकते हैं। अधिक जानकारी के लिए, नीचे recoveryOS पासवर्ड सेक्शन देखें।
सुरक्षा नीतियाँ
Apple silicon वाले Mac के लिए तीन सुरक्षा नीतियाँ हैं :
पूर्ण सुरक्षा : सिस्टम iOS और iPadOS की तरह व्यवहार करती है और केवल बूटिंग सॉफ़्टवेयर की अनुमति देती है, जिसकी जानकारी के अनुसार इंस्टॉलेशन के समय नवीनतम उपलब्ध सॉफ़्टवेयर था।
कम की गई सुरक्षा : यह नीति स्तर सिस्टम को macOS के पुराने संस्करणों को रन करने की अनुमति देता है। चूँकि macOS के पुराने संस्करणों में पैच न की गई संवेदनशीलता अवश्य होती है, इसलिए इस सुरक्षा मोड का वर्णन घटाया गया के रूप में किया जाता है। इसमें नीति का स्तर भी होता है जिसे Apple School Manager या Apple Business Manager के साथ डिवाइस प्रबंधन सेवा और ऑटोमैटिकली डिवाइस नामांकन का उपयोग किए बिना बूटिंग कर्नेल एक्सटेंशन (kexts) का समर्थन करने के लिए आपको ही मैन्युअल रूप से कॉन्फ़िगर करना होगा।
परमिसिव सुरक्षा : यह नीति स्तर ऐसे यूज़र का समर्थन करती है जो अपने ख़ुद के कस्टम XNU kernel बना रहे हैं, साइन कर रहे हैं और बूट कर रहे हैं। परमिसिव सुरक्षा मोड को सक्षम करने से पहले सिस्टम एकीकरण सुरक्षा (SIP) को अक्षम करना चाहिए। अधिक जानकारी के लिए, Apple प्लैटफ़ॉर्म सुरक्षा में सिस्टम एकीकरण सुरक्षा देखें।
सुरक्षा नीतियों के बारे में अधिक जानकारी के लिए Apple प्लैटफ़ॉर्म सुरक्षा में Apple silicon वाले Mac के लिए स्टार्टअप डिस्क सुरक्षा नीति नियंत्रण देखें।
recoveryOS पासवर्ड
macOS 11.5 या बाद के संस्करण के साथ Apple silicon वाला Mac SetRecoveryLock कमांड का उपयोग करते हुए डिवाइस प्रबंधन सेवा का उपयोग करके recoveryOS पासवर्ड को सेट करने का समर्थन करता है। जब तक यूज़र recoveryOS पासवर्ड दर्ज नहीं करते, तब तक वे स्टार्टअप विकल्प स्क्रीन सहित रिकवरी इन्वायरन्मेंट को ऐक्सेस नहीं कर सकते हैं। आप सिर्फ़ डिवाइस प्रबंधन सेवा का उपयोग करके ही recoveryOS पासवर्ड सेट कर सकते हैं और सेवा के लिए मौजूदा पासवर्ड को अपडेट करना या हटाना है, तो आपको वर्तमान पासवर्ड भी देना होगा। चूँकि आप recoveryOS पासवर्ड को सिर्फ़ सेवा के ज़रिए ही सेट या अपडेट कर सकते हैं या हटा सकते हैं, इसलिए recoveryOS पासवर्ड सेट वाली उस सेवा से Mac का नामांकन रद्द करके भी पासवर्ड हटा सकते हैं। डिवाइस प्रबंधन सेवा ऐडमिनिस्ट्रेटर सही recoveryOS पासवर्ड को सत्यापित कर सकते हैं जिसे VerifyRecoveryLock कमांड का उपयोग करके सेट किया जाता है।
नोट : recoveryOS पासवर्ड को Apple silicon वाले Mac कंप्यूटर के रीस्टोरेशन को अनुपलब्ध Mac पर मौजूद पिछले डेटा को क्रिप्टोग्राफ़िक रूप से रेंडर करने वाले Apple Configurator का इस्तेमाल करके DFU के साथ सेट करने से रोका नहीं जा सकता है।
स्टार्टअप सुरक्षा यूटिलिटी
Apple T2 सुरक्षा चिप वाले Intel-आधारित Mac कंप्यूटर पर स्टार्टअप सुरक्षा यूटिलिटी कई सुरक्षा नीति सेटिंग्ज़ को संचालित करती है। recoveryOS में बूट करके और यूटिलिटी मेनू से स्टार्टअप सुरक्षा यूटिलिटी चुनकर यूटिलिटी ऐक्सेस करने योग्य है, जो हमलावर की धोखेबाज़ी से समर्थित सुरक्षा सेटिंग्ज़ को सुरक्षित रखती है।
सुरक्षित बूट नीति को निम्न तीन सेटिंग्ज़ में से किसी एक में कॉन्फ़िगर किया जा सकता है : पूर्ण सुरक्षा, मध्यम सुरक्षा और कोई सुरक्षा नहीं। कोई भी सुरक्षा Intel प्रोसेसर पर सुरक्षित बूट मूल्यांकन को पूरी तरह अक्षम नहीं करती है और न ही यूज़र को उसकी इच्छा के अनुसार बूट करने की अनुमति देती है।
सुरक्षा नीतियों के बारे में अधिक जानकारी के लिए Apple प्लैटफ़ॉर्म सुरक्षा में Apple T2 सुरक्षा चिप वाले Mac पर स्टार्टअप सुरक्षा यूटिलिटी देखें।
फ़र्मवेयर पासवर्ड यूटिलिटी
विशिष्ट Mac पर फ़र्मवेयर सेटिंग्ज़ के अवांछित संशोधन को रोकने के लिए Apple silicon रहित Mac कंप्यूटर फ़र्मवेयर पासवर्ड के उपयोग का समर्थन करते हैं। फ़र्मवेयर पासवर्ड recoveryOS में बूट करने, सिंगल-यूज़र मोड, अनधिकृत वॉल्यूम से बूटिंग करने या लक्ष्य डिस्क मोड में बूटिंग करने जैसे वैकल्पिक बूट मोड को चुनने से यूज़र को रोकता है। आप firmwarepasswd कमांड-लाइन टूल, फ़र्मवेयर पासवर्ड यूटिलिटी या डिवाइस प्रबंधन सेवा का उपयोग करके फ़र्मवेयर पासवर्ड सेट और अपडेट कर सकते हैं या हटा सकते हैं। फ़र्मवेयर पासवर्ड को अपडेट या साफ़ करने योग्य होने के लिए, डिवाइस प्रबंधन सेवा को पहले मौजूदा पासवर्ड जानना होगा, यदि लागू होता हो।
नोट : फ़र्मवेयर पासवर्ड को सेट करने से Apple Configurator का इस्तेमाल करके DFU मोड ज़रिए Apple T2 सुरक्षा चिप फ़र्मवेयर के रीस्टोरेशन को रोका नहीं जा सकता है। जब Mac रीस्टोर किया जाता है, तो डिवाइस पर सेट किया गया फ़र्मवेयर हटा दिया जाता है और आंतरिक स्टोरेज पर मौजूद डेटा को सुरक्षित रूप से मिटा दिया जाता है।