أمن بدء التشغيل في macOS
يمكن أن تساعد سياسات أمن بدء التشغيل في تقييد من يمكنه بدء تشغيل Mac والأجهزة التي يمكن استخدامها لبدء تشغيل Mac.
التحكم في سياسة أمن قرص بدء التشغيل على Mac مزود برقاقات Apple
على عكس سياسات الأمن على أجهزة كمبيوتر Mac المستندة إلى Intel، فإن سياسات الأمن على أجهزة كمبيوتر Mac المزودة برقاقات Apple تكون مدعومة لكل نظام تشغيل مثبت. وهذا يعني أنه يمكن وجود مثيلات macOS المتعددة المثبتة بإصدارات وسياسات أمن مختلفة على الجهاز نفسه. لهذا السبب، يُضاف مُحدِّد نظام التشغيل إلى أداة بدء النظام.
على Mac مزود برقاقات Apple، تشير أداة بدء النظام إلى الحالة الأمنية الشاملة التي تم تكوينها بواسطة المستخدم على macOS، مثل تمهيد kext أو تكوين حماية تكامل النظام (SIP). إذا كان تغيير إعداد الأمن سيؤدي إلى تدهور الحالة الأمنية بشكل كبير أو تسهيل اختراق النظام، يجب على المستخدم إعادة تشغيل الجهاز في نمط recoveryOS بالضغط مطولاً على زر الطاقة (حتى لا تتمكن البرامج الضارة من تشغيل الإشارة، يمكن ذلك فقط لأي بشري لديه إمكانية الوصول المادي) لإجراء التغيير. لهذا السبب، لن يتطلب (أو يدعم) أي Mac مزود برقاقات Apple أيضًا كلمة سر للبرامج الثابتة؛ فجميع التغييرات المهمة يتم تمريرها بالفعل من خلال تفويض المستخدم. لمزيد من المعلومات حول SIP، انظر حماية تكامل النظام في أمن أنظمة Apple الأساسية.
يمكن للمؤسسات منع الوصول إلى بيئة recoveryOS، بما في ذلك شاشة خيارات بدء التشغيل، من خلال استخدام كلمة سر recoveryOS، المتوفرة في macOS 11.5 أو أحدث. لمزيد من المعلومات، انظر قسم كلمة سر recoveryOS أدناه.
سياسات الأمن
توجد ثلاث سياسات أمن لأجهزة كمبيوتر Mac المزودة برقاقات Apple:
تأمين كامل: يتصرف النظام مثل iOS و iPadOS، ويسمح فقط ببرنامج التمهيد الذي كان معروفًا أنه الأحدث في وقت التثبيت.
تأمين مخفَّض: يتيح ذلك المستوى الأمني للنظام تشغيل إصدارات أقدم من macOS. نظرًا لأن الإصدارات الأقدم من macOS تحتوي حتمًا على ثغرات أمنية لم يتم إصلاحها، يُوصف وضع الأمن هذا بأنه مُخفَّض. يُعد ذلك أيضًا مستوى السياسة الذي يجب تكوينه يدويًا لدعم تمهيد ملحقات kernel (kexts) من دون استخدام حل إدارة جهاز الجوال (MDM) وتسجيل الجهاز التلقائي باستخدام Apple School Manager أو Apple Business Manager أو Apple Business Essentials.
تأمين متساهل: يوفر مستوى السياسة هذا دعمًا للمستخدمين في إنشاء ملحقات XNU kernels المخصصة الخاصة بهم وتوقيعها وتمهيدها. يجب تعطيل حماية تكامل النظام (SIP) قبل تمكين نمط التأمين المتساهل. لمزيد من المعلومات، انظر حماية تكامل النظام في أمن أنظمة Apple الأساسية.
لمزيد من المعلومات حول سياسات الأمن، انظر التحكم في سياسة أمن قرص بدء التشغيل على Mac مزود برقاقات Apple في أمن أنظمة Apple الأساسية.
كلمة سر recoveryOS
يدعم Mac المزود برقاقات Apple ومثبت عليه macOS 11.5 أو أحدث إعداد كلمة سر recoveryOS باستخدام MDM عبر الأمر SetRecoveryLock. ما لم يتم إدخال كلمة سر recoveryOS، يُمنع المستخدم من الوصول إلى بيئة الاسترداد، بما في ذلك شاشة خيارات بدء التشغيل. لا يمكن تعيين كلمة سر recoveryOS إلا باستخدام MDM، ولكي يقوم MDM بتحديث أو إزالة كلمة سر موجودة، يجب أيضًا إدخال كلمة السر الحالية. نظرًا لأنه لا يمكن تعيين كلمة سر recoveryOS أو تحديثها أو إزالتها إلا من خلال MDM، فإن إلغاء تسجيل كمبيوتر Mac من MDM قام بتعيين كلمة سر recoveryOS يؤدي أيضًا إلى إزالة كلمة السر. يمكن لمسؤولي MDM أيضًا التحقق من تعيين كلمة سر recoveryOS الصحيحة باستخدام الأمر VerifyRecoveryLock.
ملاحظة: لا يمنع تعيين كلمة سر recoveryOS استعادة كمبيوتر Mac مزود برقاقات Apple من خلال نمط DFU باستخدام أداة إعداد Apple، الذي يجعل أيضًا البيانات السابقة على Mac غير قابلة للوصول إليها بطريقة مشفرة.
أداة أمن بدء التشغيل
على أجهزة كمبيوتر Mac المستندة إلى Intel المزودة بشريحة Apple T2 أمنية، تتعامل أداة أمن بدء التشغيل مع عدد من إعدادات سياسة الأمن. يمكن الوصول إلى الأداة عن طريق التمهيد في recoveryOS وتحديد أداة أمن بدء التشغيل من قائمة الأدوات المساعدة، وتحمي إعدادات الأمن المدعومة من التلاعب السهل من قِبل أي مهاجم.
يمكن تكوين سياسة التمهيد الآمن إلى أحد الإعدادات الثلاثة التالية: تأمين كامل وتأمين متوسط وبلا تأمين. "بلا تأمين" يعطّل تقييم التمهيد الآمن تمامًا على معالج Intel ويسمح للمستخدم بتمهيد كل ما يريد.
لمزيد من المعلومات حول سياسات الأمن، انظر أداة أمن بدء التشغيل على Mac مزود بشريحة Apple T2 أمنية في أمن أنظمة Apple الأساسية.
أداة كلمة سر البرنامج الثابت
تدعم أجهزة كمبيوتر Mac غير المزودة برقاقات Apple استخدام كلمة سر البرنامج الثابت لمنع التعديلات غير المقصودة على إعدادات البرنامج الثابت على Mac معين. وتُستخدم كلمة سر البرنامج الثابت لمنع المستخدمين من تحديد أنماط التمهيد البديلة مثل التمهيد في نمط recoveryOS أو نمط المستخدم الواحد، أو التمهيد من وحدة تخزين غير مصرح بها، أو التمهيد في نمط القرص المستهدف. يمكن تعيين كلمة سر البرنامج الثابت أو تحديثها أو إزالتها باستخدام أداة سطر الأوامر firmwarepasswd أو أداة كلمة سر البرنامج الثابت أو MDM. لكي يتمكن MDM من تحديث أو مسح كلمة سر البرنامج الثابت، يجب عليه أولاً معرفة كلمة السر الحالية، إن أمكن.
ملاحظة: لا يؤدي تعيين كلمة سر للبرنامج الثابت إلى منع استعادة البرنامج الثابت لشريحة Apple T2 الأمنية من خلال نمط DFU باستخدام أداة إعداد Apple. عند استعادة Mac، تتم إزالة أي كلمة سر تم تعيينها للبرنامج الثابت على الجهاز ومسح البيانات الموجودة على وحدة التخزين الداخلية بشكل آمن.