Безпека запуску в macOS
Політики безпеки запуску дозволяють обмежити перелік користувачів, які можуть запускати Mac, і перелік пристроїв, які можна для цього використовувати.
Керування політикою безпеки стартового диска на Mac із процесором Apple
На відміну від політик безпеки на комп’ютерах Mac із процесорами Intel, політики безпеки на Mac із процесором Apple silicon можуть різнитися для кожної інстальованої операційної системи. Це означає, що на одному комп’ютері можна використовувати кілька примірників macOS із різними версіями та політиками безпеки. Для цього в Утиліту безпеки запуску додано селектор операційної системи.
На Mac із процесором Apple Утиліта безпеки запуску відображає загальний стан безпеки macOS, налаштований користувачем, як-от завантаження розширення ядра або конфігурація захисту цілісності системи (SIP). Якщо змінення параметрів безпеки суттєво понижує захист або ставить систему під загрозу, користувач має перезапустити систему в recoveryOS, утримуючи кнопку живлення (тобто шкідливе ПЗ не може запустити сигнал, а лише людина з фізичним доступом), і внести зміни. Через це Mac із процесором Apple silicon також не вимагає (і не підтримує) пароль прошивки — усі критичні зміни фільтруються авторизацією користувача. Більше інформації наведено в статті про захист цілісності системи в розділі «Безпека платформи Apple».
Однак, організації можуть обмежити доступ до середовища recoveryOS, включно з екраном опцій запуску, застосувавши пароль recoveryOS, доступний у macOS 11.5 і новіших. Більше інформації наведено в розділі про пароль recoveryOS нижче.
Політики безпеки
Для Mac із процесором Apple silicon є три політики безпеки:
Повна безпека. Система поводиться як iOS та iPadOS і дозволяє завантаження лише того програмного забезпечення, яке є найновішим на момент інсталювання.
Послаблена безпека. На цьому рівні політики система може запускати старіші версії macOS. Оскільки в старіших версіях macOS неминуче існують незакриті вразливості, цей режим безпеки називають послабленим. Цей рівень безпеки також має бути конфігурований вручну для підтримки завантаження розширення ядра (kexts) без застосування служби керування пристроями і автоматизованої реєстрації пристрою в Apple School Manager чи Apple Business Manager.
Дозвільна безпека. Цей рівень політики підтримує можливість для користувачів створювати, підписувати та завантажувати власні ядра XNU. Перш ніж увімкнути режим дозвільної безпеки, слід вимкнути захист цілісності системи (SIP). Більше інформації наведено в статті про захист цілісності системи в розділі «Безпека платформи Apple».
Більше інформації про політики безпеки наведено в статті про керування політикою безпеки стартового диска на Mac із процесором Apple silicon у розділі «Безпека платформи Apple».
Пароль recoveryOS
Mac із Apple silicon під керуванням macOS 11.5 або новішої підтримує налаштування пароля recoveryOS за допомогою служби керування пристроями і команди SetRecoveryLock. Якщо користувач не введе пароль recoveryOS, він не зможе отримати доступ до середовища відновлення, зокрема до екрана параметрів запуску. Пароль recoveryOS можна налаштувати лише за допомогою служби керування пристроями, і щоб служба оновила або вилучила наявний пароль, потрібно також ввести поточний пароль. Оскільки пароль recoveryOS можна призначити, оновити або вилучити лише через цю службу, скасування реєстрації Mac, на якому призначено пароль recoveryOS, у цій службі також вилучить пароль. Адміністратори служби керування пристроями можуть перевірити налаштування правильного пароля recoveryOS за допомогою команди VerifyRecoveryLock.
Примітка. Призначення пароля recoveryOS не перешкодить відновленню комп’ютера Mac із процесором Apple silicon через режим DFU за допомогою Apple Configurator, який також криптографічними методами робить попередні дані на Mac недоступними.
Утиліта безпеки запуску
Утиліта безпеки запуску відповідає за більшість параметрів політики безпеки на комп’ютерах Mac із процесорами Intel і безпековою мікросхемою Apple T2. Щоб відкрити утиліту, слід завантажити систему в recoveryOS і вибрати «Утиліта безпеки запуску» в меню «Утиліти». Вона захищає підтримувані параметри безпеки від легкого доступу зловмисниками.
Для політики безпеки запуску можна вибрати один із трьох параметрів: «Повна безпека», «Середня безпека» та «Без захисту». Параметр «Без захисту» повністю вимикає оцінювання безпеки запуску в процесорі Intel і дає користувачам змогу завантажувати будь-що.
Більше інформації про політики безпеки наведено в статті про утиліту безпеки запуску на Mac із безпековою мікросхемою Apple T2 в розділі «Безпека платформи Apple».
Утиліта пароля прошивки
Щоб запобігти несанкціонованим змінам прошивки на конкретному Mac, на Mac без процесора Apple silicon можна налаштувати пароль прошивки. Пароль прошивки використовується для блокування альтернативних режимів запуску системи користувачами, як-от запуск із recoveryOS чи в режимі єдиного користувача, запуск із неавторизованого тому чи в режимі зовнішнього диска. Пароль прошивки можна призначити, оновлювати або вилучати за допомогою інструмента командного рядка firmwarepasswd, Утиліти пароля прошивки чи служби керування пристроями. Щоб служба керування пристроями могла оновити або вилучити пароль прошивки, вона повинна мати поточний пароль, якщо такий налаштовано.
Примітка. Призначення пароля прошивки не перешкодить відновленню прошивки безпекової мікросхеми Apple T2 через режим DFU за допомогою Apple Configurator. Під час відновлення Mac пароль прошивки на пристрої вилучається, а дані на внутрішньому пристрої збереження надійно стираються.