配对 recoveryOS 的访问限制
在运行 macOS 12.0.1 或更高版本的设备上,每次安装新 macOS 时,也会将配对版本的 recoveryOS 安装到对应的 APFS 宗卷组。基于 Intel 的 Mac 电脑用户非常熟悉此设计,但在搭载 Apple 芯片的 Mac 上,其提供了额外的安全性和兼容性保障。因为现在每次 macOS 安装都有专用的配对 recoveryOS,这有助于确保只有该专用的配对 recoveryOS 可执行安全性降级操作。此设计有助于保护新版本 macOS 的安装免受旧版本 macOS 发起的篡改,反之亦然。
配对访问限制按照以下方式强制执行:
所有 macOS 11 安装都与 recoveryOS 配对。在搭载 Apple 芯片的 Mac 上,如果选择默认启动 macOS 11 安装,可在启动时按住电源按钮来启动 recoveryOS。recoveryOS 可降级任何 macOS 11 安装的安全性设置,但不可对任何 macOS 12.0.1 安装执行此操作。
如果选择默认启动 macOS 12.0.1 或更高版本安装,可在 Mac 开机时按住电源按钮来启动进入其配对 recoveryOS。配对 recoveryOS 可降级配对 macOS 安装的安全性设置,但不可对任何其他 macOS 安装执行此操作。
若要启动进入任何 macOS 安装的配对 recoveryOS,需要通过以下方式将该安装选择为默认:使用“系统设置”中的“通用”>“启动磁盘”(macOS 13 或更高版本);使用“系统偏好设置”中的“启动磁盘”(macOS 12 或更低版本);或者通过启动任何 recoveryOS 并在选择宗卷时按住 Option 键。
【注】回退 recoveryOS 无法为任何 macOS 安装执行降级。