採用 Intel 架構的 Mac 所具備的韌體密碼保護機制
採用 Intel 架構並配備 Apple T2 安全晶片的 Mac 電腦之 macOS,支援使用「韌體密碼」,以協助防止在特定 Mac 上對韌體設定進行非預期的修改。「韌體密碼」的設計是為了防止選取替用開機模式,例如開機進入 RecoveryOS 或「單一使用者模式」、從未授權的卷宗開機,或是開機進入目標磁碟模式。
【注意】配備 Apple 晶片的 Mac 不需要韌體密碼,因為其限制的重要韌體功能已移到 RecoveryOS(當「檔案保險箱」啟用時)中,且 RecoveryOS 要求使用者進行認證才能取用其重要功能。
最基本的韌體密碼模式,在未配備 T2 晶片的 Intel 架構 Mac 上,可從 RecoveryOS「韌體密碼工具程式」取用;在採用 Intel 架構並配備 T2 晶片的 Mac 上,則需透過「開機安全性工具程式」取用。進階選項(例如每次開機都提示輸入密碼的功能)可從 macOS 中的 firmwarepasswd 命令列工具取用。
設定韌體密碼尤其重要,可降低未配備 T2 晶片的 Intel 架構 Mac 電腦上,從實體存在的攻擊者受到攻擊的風險。韌體密碼有助於防止攻擊者開機進入 RecoveryOS(若進入便可停用「系統完整保護」(SIP))。藉由限制替用媒體啟動,攻擊者便無法從其他作業系統執行有權限的程式碼以攻擊週邊韌體。
提供韌體密碼重設機制,可協助忘記密碼的使用者。使用者在開機時按下按鍵組合,就會顯示一組機型專屬的字串,此字串需提供給 AppleCare。AppleCare 會以數位方式簽署通過「統一資源識別碼」(URI)簽章檢查的資源。如果簽章通過驗證,且內容為特定 Mac 專用,UEFI 韌體便會移除韌體密碼。
使用者若不希望本人以外的任何人透過軟體移除其韌體密碼,可使用已加入 macOS 10.15 中 firmwarepasswd 命令列工具裡的 -disable-reset-capability 選項。設定此選項前,使用者必須瞭解當忘記密碼且需移除時,使用者需自行承擔達成此目的所需的主機板更換費用。組織若想保護其 Mac 電腦,防禦來自外部攻擊者和員工的攻擊,則必須在組織所屬系統上設定韌體密碼。此操作可在裝置上透過以下任何方式完成:
在佈建期間手動使用
firmwarepasswd命令列工具透過使用
firmwarepasswd命令列工具的第三方管理工具使用行動裝置管理(MDM)