Startsäkerhetsverktyg på Mac-datorer med Apple T2-säkerhetskrets
Översikt
På Intel-baserade Mac-datorer med en Apple T2-säkerhetskrets hanterar Startsäkerhetsverktyg flera olika säkerhetspolicyinställningar. Du kommer åt verktyget som genom att starta med recoveryOS och sedan välja Startsäkerhetsverktyg från menyn Verktyg. Verktyget skyddar säkerhetsinställningar som stöds från att enkelt manipuleras av en angripare.
Autentisering krävs för kritiska policyändringar även i återställningsläge. Första gången Startsäkerhetsverktyg öppnas ber det användaren att ange ett administratörslösenord från den primära macOS-installationen som är associerad med det recoveryOS som är startat för tillfället. Om det inte finns någon administratör måste du skapa en innan policyn kan ändras. T2-kretsen kräver att Mac-datorn har startats i recoveryOS och att en autentisering med en Secure Enclave-förknippad ID-handling har skett innan en sådan policyändring kan genomföras. Säkerhetspolicyändringar har två implicita krav. recoveryOS måste:
Startas från en lagringsenhet direkt ansluten till T2-kretsen eftersom partitioner på andra enheter inte har Secure Enclave-förknippade ID-handlingar som är knutna till den interna lagringsenheten.
Finnas på en APFS-baserad volym eftersom det endast finns stöd för att lagra autentiseringen i ID-handlingarna för återställning som skickas till Secure Enclave på APFS-förstartsvolymen på en enhet. HFS plus-formaterade volymer fungerar inte med säker start.
Den här policyn visas endast i Startsäkerhetsverktyg på Intel-baserade Mac-datorer med en T2-krets. Även om det i det flesta fall inte krävs några ändringar i policyn för säker start så är det användarna som slutligt bestämmer över inställningarna på sina enheter, och beroende på sina behov kan de välja att avaktivera eller nedgradera funktionen för säker start på datorn.
Ändringar av policyn för säker start som sker via den här appen används endast för utvärderingen av tillförlitlighetskedjan som verifieras på Intel-processorn. Alternativet Säker start för T2-kretsen är alltid aktiverat.
Policyn för säker start kan konfigureras till en av tre inställningar: Full säkerhet, Medelsäkerhet och Ingen säkerhet. Ingen säkerhet avaktiverar utvärderingen vid säker start på Intel-processorn helt och hållet och låter användarna starta vad de vill.
Startpolicyn Full säkerhet
Full säkerhet är den förvalda startpolicyn, och den beter sig ungefär på samma sätt som iOS och iPadOS eller Full säkerhet på Mac-datorer med Apple Silicon. När programvaran har hämtats och är förberedd för installation anpassas den med en signatur som innehåller ett ECID (Exclusive Chip Identification) – ett unikt ID som i det här fallet är specifikt för T2-kretsen – som en del av en signeringsbegäran. Den signatur som levereras av signeringsservern är sedan unik och kan endast användas av just den aktuella T2-kretsen. Den fasta UEFI (Unified Extensible Firmware Interface)-programvaran ska säkerställa att en levererad signatur inte bara är signerad av Apple, utan att den är signerad för den aktuella Mac-datorn när policyn Full säkerhet används. I praktiken binder den just den versionen av macOS till just den datorn. Detta hjälper till att förhindra nedgraderingsangrepp på det sätt som beskrivs för Full säkerhet på Mac-datorer med Apple Silicon.
Startpolicyn Medelsäkerhet
Startpolicyn Medelsäkerhet påminner om en traditionell säker UEFI-start där en leverantör (Apple i det här fallet) genererar en digital signatur för koden för att säkerställa att den kommer från leverantören. På så vis kan angripare förhindras från att infoga osignerad kod. Den här signaturen kallas för en ”global” signatur eftersom den kan användas på valfri Mac och under obegränsad tid för en Mac där policyn Medelsäkerhet har ställts in. Varken iOS, iPadOS eller själva T2-kretsen har stöd för globala signaturer. Den här inställningen försöker inte förhindra nedgraderingsangrepp.
Policy för mediestart
Policyn för mediestart finns endast på Intel-baserade Mac-datorer med T2-krets och är fristående från policyn för säker start. Så även om en användare avaktiverar säker start ändrar detta inte det förvalda beteendet att förhindra start från allt utom den lagringsenhet som är direkt kopplad till T2-kretsen. (Policy för mediestart krävs inte på Mac-datorer med Apple Silicon. Mer information finns i Kontroll av säkerhetspolicyn för Startskiva.)