Rendszerindítás-védelem a macOS rendszerben
A rendszerindítás védelem házirendek segítségével korlátozható, ki, és milyen eszközök segítségével indíthatja el a Macet.
Indítólemez biztonsági házirend vezérlés Apple-chippel rendelkező Maceken
Az Intel-alapú Macek biztonsági házirendjeivel ellentétben az Apple-chippel rendelkező Macek biztonsági házirendjei minden telepített operációs rendszer esetében támogatottak. Ez azt jelenti, hogy több telepített, különböző verziókkal rendelkező macOS példány és biztonsági házirend is létezhet ugyanazon gépen. Ezen okból kifolyólag, egy operációs rendszer választó került hozzáadásra a Rendszerindítás-védelem segédprogramhoz.
Az Apple-chippel rendelkező Maceken a Rendszerindítás-védelem segédprogram jelzi a felhasználó által konfigurált macOS rendszer biztonsági állapotát, például egy kext rendszerindítását vagy a Rendszerintegritás-védelem (SIP) konfigurációját. Ha egy biztonsági beállítás módosítása jelentősen csökkentené a biztonságot vagy sérülékenyebbé tenné a rendszert, a felhasználóknak a bekapcsológomb nyomva tartásával újra kell indítaniuk a gépet a visszaállítási operációs rendszerben (így csak a fizikai hozzáféréssel rendelkező személyek aktiválhatják a jelet, a rosszindulatú szoftverek nem) a módosítás elvégzéséhez. Ebből adódóan, az Apple-chippel rendelkező Macek nem igénylik (vagy támogatják) a firmware jelszót - a kritikus módosítások mind felhasználói azonosításhoz vannak kötve. Az SIP-vel kapcsolatos további információkért, lásd az Apple platformbiztonság Rendszerintegritás-védelem részét.
A szervezetek azonban megakadályozhatják a visszaállítási operációs rendszer elérését; ebbe beletartozik a visszaállítási operációs rendszer jelszavával elérhetők indítási beállítások képernyője (a macOS 11.5 és újabb rendszerekhez érhető el). További információért olvassa el A visszaállítási operációs rendszer jelszava című lentebbi szakaszt.
Biztonsági házirendek
Az Apple-chippel rendelkező Maceken három biztonsági házirend érhető el:
Teljes biztonság: A rendszer az iOS-hez és iPadOS-hez hasonlóan viselkedik, és kizárólag a telepítés idejekor elérhető legújabb rendszerindító szoftvereket engedélyezi.
Csökkentett biztonság: Ez a házirendi szint lehetővé teszi a rendszer számára a macOS rendszer korábbi verzióinak futtatását is. Mivel a macOS rendszer korábbi verziói javítatlan biztonsági résekkel rendelkeznek, ezt a biztonsági módot Csökkentett módnak nevezik. Továbbá ez a házirendi szint az, amelyet manuálisan konfigurálnia kell ahhoz, hogy a kernelbővítményeket (kexteket) el lehessen indítani anélkül, hogy eszközfelügyeleti szolgáltatás és automatizált eszközregisztráció használatára legyen szükség az Apple School Managerrel vagy az Apple Business Managerrel.
Megengedő biztonság: Ez a házirendi szint támogatja a saját, egyéni XNU kerneleket építő, aláíró és rendszerindító felhasználókat. A Megengedő biztonság mód engedélyezését megelőzően a Rendszerintegritás-védelmet (SIP) ki kell kapcsolni. További információkért, lásd az Apple platformbiztonság Rendszerintegritás-védelem részét.
A biztonsági házirendekkel kapcsolatos további információkért, lásd az Apple platformbiztonság Indítólemez biztonsági házirend vezérlés Apple-chippel rendelkező Maceken részét.
A visszaállítási operációs rendszer jelszava
A macOS 11.5 vagy újabb rendszerű, Apple-chippel rendelkező Macek lehetővé teszik, hogy beállítson egy jelszót az eszközfelügyeleti szolgáltatáson keresztül a visszaállítási operációs rendszerhez a SetRecoveryLock parancs használatával. Ha a felhasználó nem tudja megadni a visszaállítási operációs rendszer jelszavát, nem fog tudni hozzáférni a visszaállítási környezethez (többek között az indítási beállítások képernyőjéhez sem). A visszaállítási operációs rendszer jelszavát csak eszközfelügyeleti szolgáltatás használatával állíthatja be, és az aktuális jelszót is meg kell adnia ahhoz, hogy a meglévő jelszót a szolgáltatás frissíteni tudja vagy el tudja távolítani. A visszaállítási operációs rendszer jelszavát csak a szolgáltatáson keresztül állíthatja be, frissítheti és távolíthatja el, ezért ha megszünteti egy olyan Mac regisztrációját a szolgáltatásban, amelynél a visszaállítási operációs rendszerhez jelszó van beállítva, akkor a jelszót is eltávolítja. Az eszközfelügyeleti szolgáltatások adminisztrátorai a VerifyRecoveryLock parancs segítségével ellenőrizhetik, hogy a megfelelő jelszót állították be a visszaállítási operációs rendszerhez.
Megjegyzés: Ha jelszót állít be a visszaállítási operációs rendszerre, azzal nem akadályozza meg, hogy az Apple-chippel rendelkező Macet DFU-módban, az Apple Configurator használatával állítsák vissza; ez a művelet a Macen lévő adatokat kriptográfiailag elérhetetlenné teszi.
Rendszerindítás-védelem segédprogram
Az Apple T2 biztonsági chippel rendelkező Intel-alapú Maceken a Rendszerindítás-védelem segédprogram számos biztonsági házirend beállítást kezel. A segédprogram a gép visszaállítási operációs rendszer módjának betöltését és a Segédprogramok menü Rendszerindítás-védelem segédprogramjának kiválasztásával érthető el, és védelmet biztosít a támogatott biztonsági beállítások számára a támadóktól érkező manipuláció ellen.
A biztonságos rendszerindítási irányelv a következő három beállításra konfigurálható: Teljes biztonság, Közepes biztonság és Nincs biztonság. A Nincs biztonság beállítás teljesen kikapcsolja a biztonságos rendszerindítási kiértékelést az Intel processzoron, és a felhasználó tetszés szerinti rendszerindítást hajthat végre.
A biztonsági házirendekkel kapcsolatos további információkért, lásd az Apple platformbiztonság Rendszerindítás-védelem segédprogram az Apple T2 biztonsági chippel rendelkező Maceken részét.
Firmware-jelszó segédprogram
Az Apple-chippel nem rendelkező Macek a firmware-jelszó használata révén támogatják a firmware-beállítások nem szándékos módosításainak megelőzését. A firmware-jelszó megakadályozza, hogy a felhasználók alternatív rendszerindítási módokat válasszanak ki, mint például a visszaállítási operációs rendszerben vagy az Egyetlen felhasználó módban történő rendszerindítást, illetve a jogosulatlan kötetről vagy a Céllemez módban való rendszerindítást. A firmware-jelszót beállíthatja, frissítheti és eltávolíthatja a firmwarepasswd parancssori eszközzel, a Firmware-jelszó segédprogrammal vagy az eszközfelügyeleti szolgáltatással. Ahhoz, hogy az eszközfelügyeleti szolgáltatás frissíteni vagy törölni tudja a firmware-jelszót, először ismernie kell a meglévőt (ha van).
Megjegyzés: A firmware-jelszó beállítása nem akadályozza meg, hogy az Apple T2 biztonsági chip firmware-je vissza legyen állítva DFU-módon keresztül, az Apple Configurator használatával. A Mac visszaállítása után az eszközön beállított firmware-jelszavak el lesznek távolítva, és a belső tárhelyen lévő adatok biztonságosan törlődnek.