关于搭载 Apple T2 安全芯片的 Mac 上的“启动安全性实用工具”
使用“启动安全性实用工具”可确保 Mac 始终从你指定的启动磁盘以及合法的受信任操作系统启动。
如果你使用的是搭载 Apple T2 安全芯片的 Mac,则“启动安全性实用工具”会提供以下三项功能来协助保护你的 Mac 免受未经授权的访问:固件密码保护、安全启动,以及用于设置允许的启动介质的功能。
如果你使用的是搭载 Apple 芯片的 Mac,请了解如何在搭载 Apple 芯片的 Mac 上更改安全性设置。
打开“启动安全性实用工具”
将你的 Mac 开机,在看到 Apple 标志后立即按住 Command (⌘)-R 键。你的 Mac 会从“macOS 恢复”启动。
当系统要求你选择一个你知道相应密码的用户时,请选择这样的用户,点按“下一步”,然后输入用户的管理员密码。
当你看到“macOS 实用工具”窗口时,从菜单栏中选取“实用工具”>“启动安全性实用工具”。
当系统要求你进行认证时,点按“输入 macOS 密码”,然后选取管理员账户并输入相应密码。
设置固件密码
你可以使用固件密码来阻止不知道密码的人从你指定的启动磁盘以外的其他磁盘启动。要在“启动安全性实用工具”中设置固件密码,请点按“开启固件密码”,然后按照屏幕上的说明操作。进一步了解固件密码。
你也可以不允许从外部介质或可移动介质启动,这样即使他人知道固件密码,也无法从这类介质启动。
更改“安全启动”设置
使用以下设置可确保 Mac 始终从合法的受信任操作系统启动。
完整安全性
“完整安全性”是默认设置,提供了最高级别的安全性。以前只有 iOS 设备才提供这个级别的安全性。
在启动期间,Mac 会验证启动磁盘上操作系统 (OS) 的完整性,以确保操作系统是合法的。如果 OS 未知或者无法确认 OS 是合法的,则 Mac 会连接到 Apple,以便下载所需的更新版完整性信息来验证 OS。这些是你 Mac 特有的信息,可以确保你的 Mac 从 Apple 信任的 OS 启动。
如果在 Mac 尝试下载更新版完整性信息时,“文件保险箱”处于启用状态,则系统会要求你输入密码以解锁磁盘。请输入你的管理员密码,然后点按“解锁”以完成下载。
如果 OS 没有通过验证:
macOS:系统会显示一条提醒信息,告知你需要更新软件才能使用这个启动磁盘。请点按“更新”以打开 macOS 安装器,你可以使用这个安装器在启动磁盘上重新安装 macOS。或者点按“启动磁盘”,然后选取其他启动磁盘,Mac 也会尝试验证相应启动磁盘。
Windows:系统会显示一条提醒信息,告知你需要使用“启动转换助理”安装 Windows。
如果你的 Mac 无法接入互联网,则系统会显示一条提醒信息,提示需要接入互联网。
检查你的互联网连接,例如从菜单栏的 Wi-Fi 状态菜单
中选取一个有效的网络。然后,点按“重试”。或者点按“启动磁盘”,然后选取其他启动磁盘。
或者使用“启动安全性实用工具”降低安全级别。
中等安全性
启动过程中,如果“中等安全性”已打开,则 Mac 在对 OS 进行验证时只会确保启动磁盘上的 OS 已经由 Apple (macOS) 或 Microsoft (Windows) 正确签名。对于这种情况,不需要接入互联网,也不需要来自 Apple 的更新版完整性信息,因此无法防止 Mac 使用 Apple 不再信任的 OS。
如果 OS 没有通过验证:
macOS:系统会显示一条提醒信息,告知你需要更新软件才能使用这个启动磁盘。请点按“更新”以打开 macOS 安装器,你可以使用这个安装器在启动磁盘上重新安装 macOS。这需要接入互联网。或者点按“启动磁盘”,然后选取其他启动磁盘,Mac 也会尝试验证相应启动磁盘。
Windows:系统会显示一条提醒信息,告知你需要使用“启动转换助理”安装 Windows。
无安全性
如果选择“无安全性”,则 Mac 不会对启动磁盘强制实施上述任何安全要求。
设置允许的启动介质
通过这项功能,你可以控制 Mac 是不是可以从外部介质或可移动介质启动。默认设置为“不允许”,这是最安全的设置。如果你尝试从这类介质启动,并收到一条警告,提示安全设置不允许这样操作,那么你可以在“启动安全性实用工具”中更改相应设置。
无论你是不是允许从外部介质或可移动介质启动,你的 Mac 都不支持从网络宗卷启动。
