配備 Apple T2 安全晶片的 Mac 所採用的開機安全性工具程式
概覽
在採用 Intel 架構並配備 Apple T2 安全晶片的 Mac 上,「開機安全性工具程式」會處理許多安全性規則設定。開機進入 RecoveryOS 並從「工具程式」選單中選取「開機安全性工具程式」,即可取用此工具程式,並保護受支援的安全性設定,避免遭攻擊者輕鬆操控。
即使處於復原模式也需要認證才能才能重要規則。初次打開「開機安全性工具程式」時,會提示使用者輸入管理者密碼,此密碼必須來自已安裝的主要 macOS,而且此份 macOS 必須與目前啟動的 RecoveryOS 相關聯。如果不存在管理者,必須先建立管理者才能更改規則。T2 晶片需要 Mac 電腦在開機當下進入 RecoveryOS,且必須透過以「安全隔離區」支援的憑證進行認證,才能更改規則。安全性規則更動有兩個隱式需求,RecoveryOS 必須:
從直接連接 T2 晶片的儲存裝置啟動,因為其他裝置上的磁碟分割區沒有以「安全隔離區」支援的憑證綁定內部儲存裝置。
位於 APFS 型卷宗上,由於僅支援儲存傳送至磁碟中「開機前」APFS 卷宗的「安全隔離區」之「復原中認證」憑證,因此 HFS plus 格式的卷宗無法使用安全開機。
此規則只會顯示於採用 Intel 架構並配備 T2 晶片的 Mac 上的「開機安全性工具程式」中。雖然大多數使用情況應該都不需要更改安全開機規則,不過使用者最終可控制其裝置設定,且可根據需要選擇停用或降級 Mac 上的安全開機功能。
從此 App 中進行的安全開機規則更動,只會套用到 Intel 處理器上進行驗證的信任鏈。「安全啟動 T2 晶片」選項永遠有效。
安全開機規則可設為以下三個設定中的其中一個:「完整安全性」、「中等安全性」和「無安全性」。「無安全性」會完全停用 Intel 處理器上的安全開機評估,並允許使用者隨時開機。
完整安全性開機規則
「完整安全性」是預設的開機規則,其行為類似 iOS 和 iPadOS 或配備 Apple 晶片的 Mac 上的「完整安全性」。下載軟體並準備安裝時,簽章要求的一部分會在簽章中包含唯一晶片識別碼(ECID)(此案例中為 T2 晶片專屬的唯一 ID),透過這個簽章進行個人化。簽署伺服器傳回的簽章會變為唯一簽章,且只有該特定 T2 晶片可以使用。當「完整安全性」規則生效,統一可延伸韌體介面(UEFi)韌體的設計會確保指定的簽章不僅是由 Apple 簽署,而且是專為此特定 Mac 簽署,本質上就是將該 macOS 版本與該 Mac 綁定。這有助於防止回復攻擊,如同針對配備 Apple 晶片的 Mac 上的「完整安全性」說明的情況。
中等安全性開機規則
「中等安全性」開機規則某種程度上類似於傳統 UEFI 安全開機,廠商(此例中為 Apple)會為程式碼產生數位簽章來宣告其為該廠商所提供。如此一來,便能防止攻擊者插入未簽署的程式碼。我們將這類簽章稱為「全域」簽章,因為可在任何 Mac 上使用(目前已設定「中等安全性」規則的 Mac),且次數不限。無論是 iOS、iPadOS 還是 T2 晶片本身均不支援全域簽章。此設定不會嘗試防止回復攻擊。
媒體開機規則
媒體開機規則只存在於配備 T2 晶片的 Intel 架構 Mac 上,且獨立於安全開機規則。因此即便使用者停用安全開機,也不會更改禁止從非直接連接 T2 晶片的儲存裝置啟動 Mac 的預設行為。(配備 Apple 晶片的 Mac 不需要媒體開機規則。如需更多資訊,請參閱:「啟動磁碟」安全性規則控制。)