Apple T2 güvenlik yongasına sahip bir Mac’te Başlangıç Güvenliği İzlencesi
Genel Bakış
Apple T2 güvenlik yongasına sahip Intel tabanlı bir Mac’te Başlangıç Güvenliği İzlencesi, birçok güvenlik politikası ayarını yönetir. recoveryOS ile başlatıp İzlenceler menüsünden Başlangıç Güvenliği İzlencesi seçilerek izlenceye erişilebilir. İzlence, desteklenen güvenlik ayarlarını bir saldırgan tarafından kolayca değiştirilmeye karşı korur.
Kritik politika değişiklikleri Kurtarma modunda bile kimlik doğrulama gerektirir. Başlangıç Güvenliği İzlencesi ilk kez açıldığında, kullanıcıdan, şu anda başlatılmış olan recoveryOS ile ilişkili birincil macOS yüklemesindeki bir yönetici kullanıcının parolasını girmesi istenir. Hiç yönetici kullanıcı yoksa politikanın değiştirilebilmesi için bir tane yönetici kullanıcı yaratılması gerekir. T2 yongası, böyle bir politika değişikliğinin yapılabilmesi için Mac bilgisayarının şu anda recoveryOS ile başlatılmış ve Secure Enclave destekli bir kimlik bilgisi ile kimlik doğrulama yapılmış olmasını gerektirir. Güvenlik politikası değişikliklerinin iki gizli koşulu vardır. recoveryOS:
Doğrudan T2 yongasına bağlı bir depolama aygıtından başlatılmış olmalıdır. Çünkü diğer aygıtlardaki bölüntülerde dahili depolama aygıtına bağlı Secure Enclave destekli kimlik bilgileri yoktur.
APFS tabanlı bir disk bölümü üzerinde olmalıdır. Çünkü Secure Enclave’e gönderilen Kurtarma modunda kimlik doğrulama bilgilerini yalnızca sürücünün “Ön Yükleme” (Preboot) APFS disk bölümünde saklama desteği vardır. HFS plus biçimli disk bölümleri güvenli başlatmayı kullanamaz.
Bu politika yalnızca T2 yongasına sahip Intel tabanlı bir Mac’teki Başlangıç Güvenliği İzlencesi’nde gösterilir. Çoğu kullanım senaryosu güvenli başlatma politikasında değişiklik gerektirmemesine rağmen, nihayetinde kullanıcılar kendi aygıtlarının ayarlarıyla ilgili denetime sahiptir ve ihtiyaçlarına göre Mac’lerindeki güvenli başlatma işlevini etkisizleştirmeyi veya daha düşük ayarlarla kullanmayı seçebilirler.
Bu uygulamanın içinden yapılan güvenli başlatma politikası değişiklikleri yalnızca Intel işlemcide doğrulanan güven zincirinin değerlendirilmesi için geçerlidir. “T2 yongasını güvenli başlatma” seçeneği her zaman yürürlüktedir.
Güvenli başlatma politikası şu üç ayardan biri olarak yapılandırılabilir: Tam Güvenlik, Orta Düzey Güvenlik ve Güvenlik Yok. Güvenlik Yok, Intel işlemcide güvenli başlatma değerlendirmesini tamamen etkisizleştirir ve kullanıcının istediği şeyle başlatmasına izin verir.
Tam Güvenlik başlatma politikası
Tam Güvenlik, saptanmış başlatma politikasıdır ve iOS, iPadOS veya Apple Silicon yongalı bir Mac’teki Tam Güvenlik gibi davranır. Yazılım indirilip yüklenmeye hazırlandığı zaman, imzalama isteğinin bir parçası olarak Özel Yonga Kimliği (ECID) (bu durumda T2 yongasına özel benzersiz bir tanıtıcı) içeren bir imzayla kişiselleştirilir. İmzalama sunucusu tarafından geri verilen imza da benzersizdir ve yalnızca bu T2 yongası tarafından kullanılabilir. Birleşik Genişletilebilir Firmware Arayüzü (UEFi) firmware’i, Tam Güvenlik politikası yürürlükteyken verilen imzanın yalnızca Apple tarafından imzalanmış olmasını değil aynı zamanda bu belirli Mac için imzalanmış olmasını da (esasen macOS’in bu sürümüyle bu Mac arasında bağlantı kurarak) sağlamak için tasarlanmıştır. Bu, Apple Silicon yongalı bir Mac’teki Tam Güvenlik için açıklandığı şekilde geri döndürme saldırılarının engellenmesine yardımcı olur.
Orta Düzey Güvenlik başlatma politikası
Orta Düzey Güvenlik başlatma politikası, bir bakıma satıcının (burada Apple) kodun kendisine ait olduğunu göstermek üzere kod için bir dijital imza oluşturduğu geleneksel UEFI güvenli başlatma gibidir. Bu şekilde saldırganların imzalanmamış kod eklemesi engellenir. Bu imzaya “genel” imza dememizin nedeni, Orta Düzey Güvenlik politikasının ayarlanmış olduğu herhangi bir Mac’te herhangi bir süre boyunca kullanılabilmesidir. Ne iOS, ne iPadOS ne de T2 yongası genel imzaları destekler. Bu ayar, geri döndürme saldırılarını engellemeye çalışmaz.
Ortam başlatma politikası
Ortam başlatma politikası, yalnızca T2 yongasına sahip Intel tabanlı bir Mac’te bulunur ve güvenli başlatma politikasından bağımsızdır. Bu yüzden kullanıcı güvenli başlatmayı etkisizleştirse bile bu, T2 yongasına doğrudan bağlı depolama aygıtı dışında bir şeyin Mac’i başlatmasını engelleme şeklindeki saptanmış davranışını değiştirmez. (Ortam başlatma politikası, Apple Silicon yongalı bir Mac’te gerekli değildir. Daha fazla bilgi için Başlangıç Diski güvenlik politikası denetimi konusuna bakın.)