Утилита безопасной загрузки на компьютере Mac с чипом безопасности Apple T2
На Mac с процессором Intel и чипом безопасности Apple T2 Утилита безопасной загрузки управляет рядом параметров политики безопасности. Для доступа к этой утилите пользователи выполняют загрузку в режиме recoveryOS и выбирают Утилиту безопасной загрузки. Она защищает поддерживаемые параметры безопасности, усложняя манипуляции с ними со стороны злоумышленников.
Для внесения критически важных изменений в политику безопасности требуется аутентификация — даже в режиме восстановления. При первом открытии Утилиты безопасной загрузки она запрашивает у пользователя пароль администратора для основной установки macOS, которая связана с текущей загруженной версией recoveryOS. Если администратора не существует, сначала необходимо его создать, и только затем можно будет изменить политику. Прежде чем чип T2 разрешит изменение политики, необходимо загрузить Mac в recoveryOS, а пользователь должен пройти аутентификацию с учетными данными, которые защищены Secure Enclave. Для изменения политики безопасности необходимо соблюдение двух неявных требований. recoveryOS:
должна быть загружена с устройства хранения, напрямую подключенного к чипу T2, так как разделы на других устройствах не имеют учетных данных, которые защищены Secure Enclave и привязаны к внутреннему устройству хранения;
должна находиться на томе APFS, так как поддерживается хранение только учетных данных аутентификации в режиме восстановления, отправленных в Secure Enclave на предзагрузочном томе APFS на диске. Тома в формате HFS+ не могут использовать безопасную загрузку.
Эта политика отображается только в Утилите безопасной загрузки на компьютерах Mac с процессором Intel и чипом T2. В большинстве случаев изменять политику безопасной загрузки не требуется, но окончательное решение по настройке своих устройств остается за пользователями. Они могут выключить функцию безопасной загрузки на своем Mac в зависимости от своих потребностей или снять часть ограничений, действующих для этой функции.
Изменения политики безопасной загрузки, внесенные в этом приложении, применяются только к оценке цепочки доверия, проверяемой процессором Intel. Параметр безопасной загрузки чипа T2 отключить невозможно.
Для политики безопасной загрузки можно установить один из трех вариантов: «Высший уровень безопасности», «Средний уровень безопасности» и «Функции безопасности выключены». Если выбран вариант «Функции безопасности выключены», процессор Intel не выполняет оценку безопасной загрузки, и пользователь может загружать все, что хочет.
Политика загрузки «Высший уровень безопасности»
Высший уровень безопасности — это политика загрузки по умолчанию, которая во многом похожа на механизм работы iOS и iPadOS или на высший уровень безопасности на Mac с чипом Apple. При загрузке и подготовке к установке такого программного обеспечения оно «персонализируется» с помощью подписи, чей запрос на подписание содержит универсальный идентификатор чипа (ECID), то есть идентификатор чипа T2 в данном случае. В этом случае подпись, возвращаемая сервером подписания, является уникальной и может использоваться только этим конкретным чипом T2. Прошивка унифицированного расширяемого интерфейса (UEFI) проверяет, что при использовании высшего уровня безопасности подпись не просто предоставлена Apple, а предназначена для этого конкретного Mac, то есть эта версия macOS привязана к этому Mac. Это помогает предупредить атаки методом отката, как описано в разделе, посвященном высшему уровню безопасности на компьютере Mac с чипом Apple.
Политика загрузки «Средний уровень безопасности»
Политика загрузки «Средний уровень безопасности» в некоторой степени похожа на традиционную безопасную загрузку UEFI, когда поставщик (в данном случае Apple) генерирует цифровую подпись для кода, чтобы подтвердить, что он получен от поставщика. Это не позволяет злоумышленникам вставить неподписанный код. Мы называем эту подпись «глобальной», поскольку ее можно использовать на любом компьютере Mac в течение любого периода времени, если в настоящее время на компьютере установлена политика «Средний уровень безопасности». iOS, iPadOS и сам чип T2 не поддерживают глобальные подписи. При такой настройке не предпринимается никаких действий для предотвращения атак методом отката.
Политика загрузки с носителя
Политика загрузки с носителя существует только на компьютере Mac с процессором Intel и чипом T2 и не зависит от политики безопасной загрузки. Даже если пользователь выключает безопасную загрузку, это не влияет на заданный по умолчанию запрет загрузки Mac с любого устройства, кроме устройства хранения, напрямую подключенного к чипу T2. (Политика загрузки с носителя не требуется на Mac с чипом Apple.) См. раздел Управление политикой безопасности Загрузочного диска.