Securitatea la inițializare în macOS
Politicile de securitate la inițializare pot contribui la restricționarea celor care pornesc un Mac și ce dispozitive pot fi utilizate pentru a porni Mac‑ul.
Controlul politicilor de securitate pentru discul de inițializare al unui Mac cu cip Apple
Spre deosebire de politicile de securitate de pe computerele Mac cu procesor Intel, politicile de securitate de pe un Mac cu chip Apple sunt acceptate pentru fiecare sistem de operare instalat. Aceasta înseamnă că pe aceeași mașină pot exista mai multe ocurențe macOS instalate cu diferite versiuni și politici de securitate. Din acest motiv, în aplicația Utilitar securitate la inițializare a fost adăugat un selector pentru sistemul de operare.
Pe un Mac cu cip Apple, aplicația Utilitar securitate la inițializare indică starea generală a securității macOS configurate de utilizator, precum inițializarea unei extensii de kernel sau configurarea funcționalității Protecție integritate sistem (SIP). Dacă modificarea unei configurări de securitate ar degrada în mod semnificativ securitatea sau ar face sistemul mai ușor de compromis, utilizatorii trebuie să repornească în recoveryOS ținând apăsat butonul de alimentare (pentru ca malware-ul să nu poată declanșa semnalul, ci doar o persoană cu acces fizic) pentru a face modificarea respectivă. Din acest motiv, un Mac cu cip Apple nu va necesita (sau accepta) o parolă de firmware – toate modificările critice sunt deja protejate prin autorizarea de către utilizator. Pentru informații suplimentare despre SIP, consultați Protecția integrității sistemului în Securitatea platformelor Apple.
Cu toate acestea, organizațiile pot împiedica accesul la mediul recoveryOS, inclusiv ecranul de opțiuni de inițializare, utilizând parola recoveryOS, disponibilă cu macOS 11.5 sau versiunile următoare. Pentru mai multe informații, consultați secțiunea “Parolă recoveryOS” de mai jos.
Politici de securitate
Există trei politici de securitate pentru un Mac cu cip Apple:
Securitate completă: Sistemul se comportă ca iOS și iPadOS și permite doar inițializarea software‑ului care era cunoscut drept cel mai recent software disponibil la momentul instalării.
Securitate redusă: Acest nivel al politicii permite sistemului să ruleze versiuni mai vechi de macOS. Deoarece versiunile de macOS mai vechi au în mod inevitabil vulnerabilități nerezolvate, acest mod de securitate este descris ca Redus. Acesta este și nivelul politicii pe care trebuie să îl configurați manual pentru a accepta inițializarea extensiilor de kernel (kexts) fără utilizarea serviciului de gestionare a dispozitivelor și înscrierea automată a dispozitivului în Apple School Manager sau Apple Business Manager.
Securitate permisivă: Acest nivel al politicii acceptă utilizatorii care construiesc, semnează și inițializează propriile kerneluri personalizate XNU. Protecția integrității sistemului (SIP) trebuie să fie dezactivată înainte de a activa modul Securitate permisivă. Pentru informații suplimentare, consultați Protecția integrității sistemului în Securitatea platformelor Apple.
Pentru informații suplimentare despre politicile de securitate, consultați Controlul politicilor de securitate pentru discul de inițializare al unui Mac cu chip Apple în Securitatea platformelor Apple.
Parola recoveryOS
Un Mac cu cip Apple și macOS 11.5 sau o versiune ulterioară acceptă configurarea unei parole recoveryOS folosind un serviciu de gestionare a dispozitivelor, folosind comanda SetRecoveryLock. Dacă nu introduce parola recoveryOS, utilizatorul nu poate accesa mediul de recuperare, inclusiv ecranul Opțiuni de inițializare. Puteți configura o parolă recoveryOS doar folosind un serviciu de gestionare a dispozitivelor; pentru ca serviciul să actualizeze sau să elimine o parolă existentă, trebuie să furnizați și parola curentă. Deoarece puteți configura, actualiza sau elimina parola recoveryOS doar prin serviciul de gestionare a dispozitivelor, anularea înscrierii unui Mac care are o parolă recoveryOS configurată în serviciul respectiv determină și eliminarea parolei. Administratorii serviciului de gestionare a dispozitivelor pot verifica dacă este fixată parola recoveryOS corectă utilizând comanda VerifyRecoveryLock.
Notă: Stabilirea unei parole recoveryOS nu împiedică restaurarea unui computer Mac cu cip Apple prin modul DFU utilizându‑se Apple Configurator, care, de asemenea, face inaccesibile criptografic datele anterioare de pe Mac.
Utilitar securitate la inițializare
Pe computerele Mac cu procesor Intel cu cip de securitate Apple T2, aplicația Utilitar securitate la inițializare gestionează numeroase configurări ale politicii de securitate. Utilitarul este accesibil prin inițializarea în recoveryOS și selectarea opțiunii Utilitar securitate la inițializare din meniul Utilitare și protejează configurările de securitate acceptate împotriva manipulării cu ușurință de către un atacator.
Politica de inițializare securizată poate fi configurată la una din aceste trei configurări: Securitate completă, Securitate medie și Fără securitate. Configurarea “Fără securitate” dezactivează complet evaluarea de inițializare securizată de pe procesorul Intel și îi permite utilizatorului să inițializeze orice dorește.
Pentru informații suplimentare despre politicile de securitate, consultați Utilitar securitate la inițializare pe un Mac cu cip de securitate Apple T2 în Securitatea platformelor Apple.
Utilitar parolă firmware
Computerele Mac fără cip Apple acceptă utilizarea unei parole de firmware pentru a împiedica modificările nedorite ale configurărilor firmware pe un anumit Mac. Parola de firmware împiedică utilizatorii să selecteze moduri alternative de inițializare, cum ar fi inițializarea în modul recoveryOS sau Utilizator unic, inițializarea de pe un volum neautorizat sau în modul Disc țintă. Puteți configura, actualiza sau elimina o parolă firmware folosind instrumentul în linie de comandă firmwarepasswd, utilitarul Parolă firmware sau un serviciu de gestionare a dispozitivelor. Pentru ca un serviciu de gestionare a dispozitivelor să poată actualiza sau elimina o parolă firmware, acesta trebuie mai întâi să cunoască parola (dacă este cazul).
Notă: Stabilirea unei parole firmware nu împiedică restaurarea firmware-ului Cip de securitate Apple T2 prin modul DFU utilizându‑se Apple Configurator. Când Mac-ul este restaurat, orice parolă de firmware configurată pe dispozitiv este eliminată și datele de pe stocarea internă sunt șterse în mod securizat.