Schutz per Firmware-Passwort bei Intel-basierten Mac-Computern
Auf Intel-basierten Mac-Computern mit Apple T2 Security Chip unterstützt macOS die Verwendung eines Firmware-Passworts, um unbeabsichtigte Änderungen von Firmware-Einstellungen auf dem jeweiligen Mac zu verhindern. Mit dem Firmware-Passwort wird verhindert, dass alternative Boot- oder Startmodi ausgewählt werden – zum Beispiel das Starten im recoveryOS-, Einzelbenutzer- oder Festplattenmodus oder das Starten von einem nicht autorisierten Volume.
Hinweis: Bei Mac-Computern mit Apple Chips ist kein Firmware-Passwort erforderlich, da die kritische Firmware-Funktionalität, die damit beschränkt wurde, in die recoveryOS-Software verlagert wurde (wenn FileVault aktiviert ist) und recoveryOS eine Benutzerauthentifizierung voraussetzt, bevor der Zugang zu kritischen recoveryOS-Funktionen gewährt wird.
Der elementarste Modus für ein Firmware-Passwort lässt sich auf Intel-basierten Mac-Computern ohne T2-Chip über das Dienstprogramm für das im recoveryOS-Modus genutzte Firmware-Passwort und auf Intel-basierten Mac-Computern mit einem T2-Chip über das Startsicherheitsdienstprogramm erzielen. Erweiterte Optionen (etwa die Fähigkeit, bei jedem Start ein Passwort zu verlangen) sind über das Befehlszeilenprogramm firmwarepasswd in macOS verfügbar.
Das Festlegen eines Firmware-Passworts ist besonders wichtig, um das Risiko von Angriffen auf Intel-basierten Mac-Computern ohne T2-Chip durch physisch anwesende Angreifer zu reduzieren. Das Firmware-Passwort kann Angreifer daran hindern, im recoveryOS-Modus zu starten, von dem aus sie den Systemintegritätsschutz (System Integrity Protection, SIP) deaktivieren können. Da das Starten alternativer Medien eingeschränkt wird, haben Angreifer keine Möglichkeit, privilegierten Code aus einem anderen Betriebssystem auszuführen, um die Firmware der Peripherie anzugreifen.
Für Benutzer, die ihr Passwort vergessen haben, gibt es einen Mechanismus zum Zurücksetzen des Firmware-Passworts. Die Benutzer müssen dazu beim Starten eine Tastenkombination drücken, damit ihnen eine modellspezifische Zeichenfolge angezeigt wird, die sie an AppleCare weitergeben können. AppleCare versieht eine Ressource, deren Signatur vom URI (Uniform Resource Identifier) überprüft wird, mit einer digitalen Signatur. Wenn die Signatur validiert wird und der Inhalt für den jeweiligen Mac bestimmt ist, entfernt die UEFI-Firmware das Firmware-Passwort.
Für Benutzer, die erreichen wollen, dass ausschließlich sie selbst ihr Firmware-Passwort per Software entfernen können, wurde in macOS 10.15 die Option -disable-reset-capability zum Befehlszeilenprogramm firmwarepasswd hinzugefügt. Vor dem Aktivieren dieser Option müssen Benutzer zustimmen, dass sie, falls das Passwort vergessen wird und entfernt werden muss, die Kosten für den unvermeidlichen Austausch der Logik-Platine übernehmen werden. Organisationen, die ihre Mac-Computer vor Eingriffen durch externe Angreifer und Mitarbeiter schützen möchten, müssen auf Systemen, deren Eigentümer sie sind, ein Firmware-Passwort einrichten. Dies kann auf folgende Weisen direkt auf dem jeweiligen Gerät geschehen:
Manuell zum Zeitpunkt der Bereitstellung des Geräts mithilfe des Befehlszeilenprogramms
firmwarepasswdMithilfe von Verwaltungswerkzeugen anderer Anbieter, die das Befehlszeilenprogramm
firmwarepasswdnutzenMithilfe einer Lösung für die Mobilgeräteverwaltung (Mobile Device Management, MDM)