配備 Apple T2 安全晶片的 Mac 之開機保安工具程式
概覽
在以 Intel 為基礎並配備 Apple T2 安全晶片的 Mac 上,「開機保安工具程式」會處理許多保安規則設定。開機進入 RecoveryOS 並從「工具程式」選單中選取「開機保安工具程式」,即可取用此工具程式,並保護受支援的保安設定,避免遭攻擊者輕鬆操控。
即使處於「還原」模式也需要認證才能更改重要規則。首次開啟「開機保安工具程式」時,會提示用户輸入管理員密碼,此密碼必須來自已安裝的主要 macOS,而且此份 macOS 必須連繫至目前啟動的 RecoveryOS。如沒有管理員,必須先建立一個管理員才能更改規則。T2 晶片需要 Mac 電腦在開機當下進入 RecoveryOS,且必須透過以「安全隔離區」支援的憑證進行認證,才能更改規則。保安規則更動有兩個間接要求,RecoveryOS 必須:
從直接連接至 T2 晶片的儲存裝置啟動,因為其他裝置上的分割區沒有將「安全隔離區」支援憑證綑綁至內置儲存裝置。
位處基於 APFS 的卷宗,因為僅在磁碟中「預開機」APFS 卷宗上才會提供支援,來儲存「還原」憑證中傳送至「安全隔離區」的「認證」。HFS plus 格式的卷宗無法使用安全啟動。
此規則只會顯示於以 Intel 為基礎並配備 T2 保安晶片的 Mac 上的「開機保安工具程式」中。雖然大多數使用案例應該都不需要更改安全啟動規則,不過用户最終可控制其裝置設定,且可根據需要選擇停用或降級 Mac 上的安全啟動功能。
從這個 App 中進行的安全啟動規則變更,只會套用到 Intel 處理器上進行驗證的信任鏈評估。「安全啟動 T2 晶片」選項永遠有效。
安全啟動規則可選用以下三項設定的其中之一:「完整保安」、「中等保安」及「無保安」。「無保安」會徹底停用 Intel 處理器上的安全啟動評估,且允許用户以其所想的任何方式開機。
「完整保安」開機規則
「完整保安」是預設的開機規則,其行為與 iOS 和 iPadOS 或配備 Apple 晶片的 Mac 上的「完整保安」十分相似。下載軟件並準備安裝時,作為簽署要求的一部份,會在簽署中包含唯一晶片識別碼(ECID)(此案例中為 T2 晶片專屬的唯一 ID),透過這個簽署進行個人化。簽署伺服器傳回的簽署會變為唯一簽署,且只有該特定 T2 晶片可以使用。統一可延伸韌體介面(UEFi)韌體的設計用意是確保在「完整保安」規則生效時,所給予的簽署並非只由 Apple 簽署,而是為此特定的 Mac 簽署,實質上將該版本的 macOS 與此 Mac 相連。這有助於防止回滾攻擊,如同針對配備 Apple 晶片的 Mac 上的「完整保安」説明的情況。
中等保安開機規則
「中等保安」開機規則某種程度上類似於傳統 UEFI 安全啟動,廠商(此例中為 Apple)會為程式碼產生電子簽署來宣吿其為該廠商所提供。這樣可以防止攻擊者插入未簽署的代碼。我們將這類簽署稱為「全域」簽署,因為可在任何 Mac 上使用(目前已設定「中等保安」規則的 Mac),且次數不限。無論是 iOS、iPadOS 還是 T2 晶片本身均不支援全域簽署。此設定不會嘗試防止回滾攻擊。
媒體開機規則
媒體開機規則只存在於配備 T2 晶片並以 Intel 為基礎的 Mac 上,且獨立於安全啟動規則。因此即便用户停用安全啟動,也不會更改禁止從非直接連接 T2 晶片的儲存裝置啟動 Mac 的預設行為。(配備 Apple 晶片的 Mac 不需要媒體開機規則。如需更多資料,請參閲:「啟動磁碟」保安規則控制。)