Securitatea la inițializare în macOS
Politicile de securitate la inițializare pot contribui la restricționarea celor care pornesc un Mac și ce dispozitive pot fi utilizate pentru a porni Mac‑ul.
Controlul politicilor de securitate pentru discul de inițializare al unui Mac cu cip Apple
Spre deosebire de politicile de securitate de pe computerele Mac cu procesor Intel, politicile de securitate de pe un Mac cu chip Apple sunt acceptate pentru fiecare sistem de operare instalat. Aceasta înseamnă că pe aceeași mașină pot exista mai multe ocurențe macOS instalate cu diferite versiuni și politici de securitate. Din acest motiv, în aplicația Utilitar securitate la inițializare a fost adăugat un selector pentru sistemul de operare.
Pe un Mac cu cip Apple, aplicația Utilitar securitate la inițializare indică starea generală a securității macOS configurate de utilizator, precum inițializarea unei extensii de kernel sau configurarea funcționalității Protecție integritate sistem (SIP). Dacă modificarea unei configurări de securitate ar degrada în mod semnificativ securitatea sau ar face sistemul mai ușor de compromis, utilizatorii trebuie să repornească în recoveryOS ținând apăsat butonul de alimentare (pentru ca malware-ul să nu poată declanșa semnalul, ci doar o persoană cu acces fizic) pentru a face modificarea respectivă. Din acest motiv, un Mac cu cip Apple nu va necesita (sau accepta) o parolă de firmware – toate modificările critice sunt deja protejate prin autorizarea de către utilizator. Pentru informații suplimentare despre SIP, consultați Protecția integrității sistemului în Securitatea platformelor Apple.
Cu toate acestea, organizatorii pot împiedica accesul la mediul recoveryOS, inclusiv ecranul de opțiuni de inițializare, utilizând parola recoveryOS, disponibilă în macOS 11.5 sau versiunile următoare. Pentru mai multe informații, consultați secțiunea “Parolă recoveryOS” de mai jos.
Politici de securitate
Există trei politici de securitate pentru un Mac cu cip Apple:
Securitate completă: Sistemul se comportă ca iOS și iPadOS și permite doar inițializarea software‑ului care era cunoscut drept cel mai recent software disponibil la momentul instalării.
Securitate redusă: Acest nivel al politicii permite sistemului să ruleze versiuni mai vechi de macOS. Deoarece versiunile de macOS mai vechi au în mod inevitabil vulnerabilități nerezolvate, acest mod de securitate este descris ca Redus. Acesta este și nivelul politicii ce trebuie configurat manual pentru a accepta inițializarea extensiilor de kernel (kexts) fără utilizarea soluției de gestionare a dispozitivelor mobile (MDM) și înscrierea automată a dispozitivului cu Apple School Manager, Apple Business Manager sau Apple Business Essentials.
Securitate permisivă: Acest nivel al politicii acceptă utilizatorii care construiesc, semnează și inițializează propriile kerneluri personalizate XNU. Protecția integrității sistemului (SIP) trebuie să fie dezactivată înainte de a activa modul Securitate permisivă. Pentru informații suplimentare, consultați Protecția integrității sistemului în Securitatea platformelor Apple.
Pentru informații suplimentare despre politicile de securitate, consultați Controlul politicilor de securitate pentru discul de inițializare al unui Mac cu chip Apple în Securitatea platformelor Apple.
Parola recoveryOS
Un Mac cu cip Apple care utilizează macOS 11.5 sau o versiune ulterioară acceptă configurarea unei parole recoveryOS cu ajutorul MDM, folosind comanda SetRecoveryLock. Dacă nu introduce parola recoveryOS, utilizatorul nu poate accesa mediul de recuperare, inclusiv ecranul de opțiuni de inițializare. O parolă recoveryOS poate fi configurată doar utilizându-se MDM; pentru ca MDM să actualizeze sau să elimine o parolă existentă, trebuie furnizată și parola curentă. Deoarece parola recoveryOS poate fi configurată, actualizată sau eliminată doar prin MDM, retragerea înscrierii din MDM a unui computer Mac care are o parolă recoveryOS configurată determină și eliminarea parolei. Administratorii MDM pot verifica dacă este configurată parola recoveryOS corectă utilizând comanda VerifyRecoveryLock.
Notă: Stabilirea unei parole recoveryOS nu împiedică restaurarea unui computer Mac cu cip Apple prin modul DFU utilizându‑se Apple Configurator, care, de asemenea, face inaccesibile criptografic datele anterioare de pe Mac.
Utilitar securitate la inițializare
Pe computerele Mac cu procesor Intel cu cip de securitate Apple T2, aplicația Utilitar securitate la inițializare gestionează numeroase configurări ale politicii de securitate. Utilitarul este accesibil prin inițializarea în recoveryOS și selectarea opțiunii Utilitar securitate la inițializare din meniul Utilitare și protejează configurările de securitate acceptate împotriva manipulării cu ușurință de către un atacator.
Politica de inițializare securizată poate fi configurată la una din aceste trei configurări: Securitate completă, Securitate medie și Fără securitate. Configurarea “Fără securitate” dezactivează complet evaluarea de inițializare securizată de pe procesorul Intel și îi permite utilizatorului să inițializeze orice dorește.
Pentru informații suplimentare despre politicile de securitate, consultați Utilitar securitate la inițializare pe un Mac cu cip de securitate Apple T2 în Securitatea platformelor Apple.
Utilitar parolă firmware
Computerele Mac fără cip Apple acceptă utilizarea unei parole de firmware pentru a împiedica modificările nedorite ale configurărilor firmware pe un anumit Mac. Parola de firmware este utilizată pentru a împiedica utilizatorii să selecteze moduri alternative de inițializare, cum ar fi inițializarea în modul recoveryOS sau Utilizator unic, inițializarea de pe un volum neautorizat sau în modul Disc țintă. O parolă firmware poate fi configurată, actualizată sau eliminată utilizându-se instrumentul în linie de comandă firmwarepasswd, Utilitar parolă firmware sau MDM. Pentru ca soluția MDM să poată actualiza sau elimina o parolă firmware, aceasta trebuie să cunoască parola (dacă este cazul).
Notă: Stabilirea unei parole firmware nu împiedică restaurarea firmware-ului Cip de securitate Apple T2 prin modul DFU utilizându‑se Apple Configurator. Când Mac-ul este restaurat, orice parolă de firmware configurată pe dispozitiv este eliminată și datele de pe stocarea internă sunt șterse în mod securizat.