Segurança de inicialização no macOS
As políticas de segurança de inicialização podem ajudar a restringir quem pode iniciar um Mac e quais dispositivos podem ser usados para isso.
Controle da política de segurança do disco de inicialização em um Mac com Apple silicon
Ao contrário das políticas de segurança em computadores Mac com processador Intel, as políticas de segurança no Mac com Apple silicon são compatíveis para cada sistema operacional instalado. Isso significa que várias instâncias do macOS instaladas com versões e políticas de segurança diferentes podem existir na mesma máquina. Por esse motivo, um seletor de sistema operacional foi adicionado ao Utilitário de Segurança da Inicialização.
Em um Mac com Apple Silicon, o Utilitário de Segurança da Inicialização indica o estado geral da segurança do macOS configurada pelo usuário, como a inicialização de uma kext ou a configuração da Proteção da Integridade do Sistema (SIP). Se a alteração de uma configuração de segurança degradar significativamente a segurança ou colocar o sistema em risco, os usuários precisam segurar o botão ligar/desligar (para que o malware não acione o sinal, apenas uma pessoa com acesso físico consegue fazer isso) para reiniciar pelo recoveryOS e fazer a alteração. Por causa disso, um Mac com Apple silicon também não exigirá uma senha de firmware (nem será compatível com uma), e todas as alterações críticas já são controladas pela autorização do usuário. Para obter mais informações sobre a SIP, consulte Proteção da Integridade do Sistema em Segurança da Plataforma Apple.
As organizações podem, no entanto, impedir o acesso ao ambiente do recoveryOS, incluindo a tela de opções de inicialização, com o uso de uma senha do recoveryOS, disponível com macOS 11.5 ou posterior. Para obter mais informações, consulte a seção Senha do recoveryOS a seguir.
Políticas de segurança
O Mac com Apple silicon possui três políticas de segurança:
Segurança Total: o sistema se comporta como o iOS e o iPadOS, e só permite a inicialização de softwares identificados como os mais recentes disponíveis no momento da instalação.
Segurança Reduzida: este nível de política permite que o sistema execute versões mais antigas do macOS. Como as versões mais antigas do macOS inevitavelmente têm vulnerabilidades sem correção, este modo de segurança é descrito como Reduzido. Este também é o nível de política que você precisa configurar manualmente para compatibilidade com as extensões de kernel (kexts) de inicialização sem usar um serviço de gerenciamento de dispositivos e Registro de Dispositivo Automatizado com Apple School Manager ou Apple Business Manager.
Segurança Permissiva: este nível de política é compatível com usuários que estão construindo, assinando e inicializando seus próprios kernels XNU personalizados. A Proteção da Integridade do Sistema (SIP) precisa ser desativada antes de ativar o Modo Segurança Permissiva. Para obter mais informações, consulte Proteção da Integridade do Sistema em Segurança da Plataforma Apple.
Para obter mais informações sobre as políticas de segurança, consulte Controle da política de segurança do Disco de Inicialização para um Mac com Apple Silicon em Segurança da Plataforma Apple.
Senha do recoveryOS
Um Mac com Apple Silicon e macOS 11.5 ou posterior é compatível com a definição de uma senha do recoveryOS via serviço de gerenciamento de dispositivos e o comando SetRecoveryLock. A menos que digite a senha do recoveryOS, o usuário não poderá acessar o ambiente de recuperação, incluindo a tela de Opções de Inicialização. Você pode definir uma senha do recoveryOS apenas usando um serviço de gerenciamento de dispositivos e, para que o serviço atualize ou remova uma senha existente, você também deve fornecer a senha atual. Como você pode definir, atualizar ou remover a senha do recoveryOS apenas por meio do serviço, o cancelamento do registro de um Mac que tenha uma senha do recoveryOS nesse serviço também remove a senha. Os administradores do serviço de gerenciamento de dispositivos podem verificar se foi definida uma senha correta para o recoveryOS usando o comando VerifyRecoveryLock.
Nota: definir uma senha do recoveryOS não impede a restauração de um computador Mac com Apple Silicon pelo Modo DFU usando o Apple Configurator, que também torna criptograficamente inacessíveis os dados anteriores contidos no Mac.
Utilitário de Segurança da Inicialização
Em computadores Mac com processador Intel e Chip de Segurança T2 da Apple, o Utilitário de Segurança da Inicialização lida com várias configurações de política de segurança. Para acessar o utilitário, inicialize no recoveryOS e selecione Utilitário de Segurança da Inicialização no menu Utilitários. Ele protege as configurações de segurança compatíveis contra a fácil manipulação por um invasor.
A política de inicialização segura pode ser configurada para usar um de três ajustes: Segurança Total, Segurança Média e Sem Segurança. Sem Segurança desativa completamente a avaliação de inicialização segura no processador Intel e permite que o usuário inicialize o que quiser.
Para obter mais informações sobre as políticas de segurança, consulte Utilitário de Segurança da Inicialização em um Mac com um chip Apple T2 Security em Segurança da Plataforma Apple.
Utilitário de Senha de Firmware
Os computadores Mac sem Apple silicon são compatíveis com uso de uma Senha de Firmware para impedir modificações indesejadas aos ajustes de firmware em um Mac específico. A Senha de Firmware impede que os usuários selecionem modos de inicialização alternativos, como inicializar em Modo de Usuário Único ou recoveryOS, inicializar a partir de um volume não autorizado ou inicializar em Modo de Disco de Destino. Você pode definir, atualizar ou remover uma senha de firmware usando a ferramenta de linha de comando firmwarepasswd, o Utilitário de Senha de Firmware ou um serviço de gerenciamento de dispositivos. Para que um serviço de gerenciamento de dispositivos possa atualizar ou remover uma senha de firmware, ele precisa primeiro possuir a senha existente, se aplicável.
Nota: definir uma senha de firmware não impede a restauração do firmware do chip Apple T2 Security por meio do Modo DFU usando o Apple Configurator. Quando o Mac é restaurado, qualquer senha de firmware definida no dispositivo é removida e os dados no armazenamento interno são apagados com segurança.