以 Intel 為基礎的 Mac 之韌體密碼保護
以 Intel 為基礎並配備 Apple T2 安全晶片的 Mac 電腦之 macOS,支援使用「韌體密碼」來協助防止在特定 Mac 上對韌體設定進行非故意的修改。「韌體密碼」的設計用意是防止選取替用開機模式,例如開機進入 RecoveryOS 或「單一用户」模式、從未授權的卷宗開機,或是開機進入目標磁碟模式。
附註:配備 Apple 晶片的 Mac 不需要韌體密碼,因為其限制的重要韌體功能已移到 RecoveryOS(當「檔案保險箱」啟用時)中,且 RecoveryOS 要求用户進行認證才能取用其重要功能。
最基本的韌體密碼模式,在未配備 T2 晶片並以 Intel 為基礎的 Mac 上,可從 RecoveryOS「韌體密碼工具程式」取用;在以 Intel 為基礎並配備 T2 晶片的 Mac 上,則需透過「開機保安工具程式」取用。進階選項(例如每次開機都提示輸入密碼的功能)可從 macOS 中的 firmwarepasswd 命令列工具取用。
設定韌體密碼尤其重要,可降低未配備 T2 晶片並以 Intel 為基礎的 Mac 電腦受到實際在場的攻擊者攻擊之風險。韌體密碼有助於防止攻擊者開機進入 RecoveryOS(如進入便可停用「系統完整保護」(SIP))。透過限制替用媒體啟動,攻擊者便無法從其他作業系統執行有權限的程式碼以攻擊周邊韌體。
提供「韌體密碼」重設機制,以協助忘記密碼的用户。用户在開機時按下按鍵組合,就會顯示一組型號專屬的字串,此字串需提供給 AppleCare。AppleCare 會以電子方式簽署通過「統一資源識別碼」(URI)簽署檢查的資源。如果簽署通過驗證,且內容為特定 Mac 專用,UEFI 韌體便會移除韌體密碼。
如用户想透過軟件方式親自移除其韌體密碼(而非依靠其他人),-disable-reset-capability 選項已加至 macOS 10.15 的 firmwarepasswd 命令列工具。設定此選項前,用户必須了解當忘記密碼且需移除時,用户需自行承擔達成此目的所需的主機板更換費用。機構如想保護其 Mac 電腦,防禦來自外部攻擊者和員工的攻擊,則必須在組織所屬系統上設定韌體密碼。此操作可在裝置上透過以下任何方式完成:
配置時,手動使用
firmwarepasswd命令列工具配備使用
firmwarepasswd命令列工具的第三方管理工具使用流動裝置管理(MDM)