Oppstartssikkerhetsverktøy på Macer med Apple T2-sikkerhetsbrikke
Oversikt
Oppstartssikkerhetsverktøy håndterer en rekke innstillinger for sikkerhetsregelsett på Intel-baserte Macer med Apple T2-sikkerhetsbrikke. Verktøyet er tilgjengelig når du starter i recoveryOS og velger Oppstartssikkerhetsverktøy fra Verktøy-menyen, og det beskytter støttede sikkerhetsinnstillinger fra enkel manipulering av en angriper.
Kritiske regelsettendringer krever autentisering, selv i gjenopprettingsmodus. Når Oppstartssikkerhetsverktøy åpnes for første gang, ber den brukeren om å oppgi et administratorpassord fra den primære macOS-installeringen som er knyttet til den startede recoveryOS. Hvis ingen administrator eksisterer, må det opprettes en før regelsettet kan endres. T2-brikken krever at Macen er startet opp i recoveryOS, og at autentisering med et Secure Enclave-støttet akkreditiv har funnet sted før en slik regelsettendring kan utføres. Endringer av sikkerhetsregelsett har to underforståtte krav. recoveryOS må:
Være startet fra en lagringsenhet som er koblet direkte til T2-brikken, ettersom partisjoner på andre enheter ikke har Secure Enclave-støttede akkreditiver knyttet til den interne lagringsenheten.
Være på et APFS-basert volum, ettersom det kun er støtte for lagring av Authentication in Recovery-akkreditiver som er sendt til Secure Enclave på «Preboot» APFS-volumet til en stasjon. HFS-plus-formaterte volumer kan ikke bruke sikker oppstart.
Dette regelsettet vises kun i Oppstartssikkerhetsverktøy på Intel-baserte Macer med T2-brikke. Selv om de fleste brukstilfeller ikke skulle kreve endringer i regelsettet for sikker oppstart, har brukere i siste instans kontroll over enhetens innstillinger og kan velge, avhengig av behov, å deaktivere eller nedgradere sikker oppstart-funksjonaliteten på Macen.
Endringer i regelsettet for sikker oppstart som gjøres med denne appen, gjelder kun evaluering av godkjenningskjedet som verifiseres på Intel-prosessoren. Valget for sikker oppstart av T2-brikken er alltid på.
Regelsettet for sikker oppstart kan konfigureres med én av tre innstillinger: Full sikkerhet, Middels sikkerhet og Ingen sikkerhet. Ingen sikkerhet deaktiverer sikker oppstart-evaluering helt på Intel-prosessoren og tillater at brukere kan starte hva de vil.
Full sikkerhet-oppstartsregelsett
Full sikkerhet er standardregelsettet for oppstart, og det fungerer i stor grad som iOS og iPadOS og Full sikkerhet på Macer med Apple-chip. Når programvaren lastes ned og klargjøres for installering, tilpasses den, som en del av signeringsforespørselen, med en signatur som inkluderer Exclusive Chip Identification (ECID). Dette er en unik ID som i dette tilfellet er spesifikk for T2-brikken. Signaturen som returneres fra signeringstjeneren, er da unik og kan kun brukes av den spesifikke T2-brikken. UEFI-firmware (Unified Extensible Firmware Interface) er utviklet for å sikre at når Full sikkerhet-regelsettet er i bruk, vil ikke en gitt signatur bare signeres av Apple, men også signeres for denne spesifikke Macen, noe som i praksis binder den aktuelle versjonen av macOS til Macen. Dette bidrar til å forhindre tilbakerullingsangrep, som beskrevet for Full sikkerhet på Macer med Apple-chip.
Middels sikkerhet-oppstartsregelsett
Middels sikkerhet-oppstartsregelsett har likhetstrekk med en sikker oppstart med UEFI, der en leverandør (Apple i dette tilfellet) genererer en digital signatur for koden for å bekrefte at den kommer fra den forhandleren. På denne måten hindres angripere i å sette inn usignert kode. Vi kaller denne signaturen en «global» signatur fordi den kan brukes på en hvilken som helst Mac, uten tidsbegrensning, for en Mac som for øyeblikket har et Middels sikkerhet-regelsett. Verken iOS, iPadOS eller selve T2-brikken støtter globale signaturer. Denne innstillingen forsøker ikke å forhindre tilbakerullingsangrep.
Regelsett for medieoppstart
Regelsettet for medieoppstart eksisterer kun på Intel-baserte Macer med T2-brikke og er uavhengig av regelsettet for sikker oppstart. Selv om en bruker deaktiverer sikker oppstart, endrer det ikke standardadferden med å forhindre at noe annet enn lagringsenheten som er direkte koblet til T2-brikken, starter Macen. (Regelsett for medieoppstart er ikke påkrevd på Macer med Apple-chip. Du finner mer informasjon i Kontroll av sikkerhetsregelsett for Startdisk.)