Seguridad de arranque en macOS
Las políticas de seguridad de arranque pueden contribuir a restringir quién puede arrancar un Mac y qué dispositivos se pueden utilizar para iniciarlo.
Control de la política de seguridad de “Disco de arranque” en un Mac con chip de Apple
A diferencia de las políticas de seguridad de los ordenadores Mac con procesador Intel, las políticas de seguridad de los Mac con chip de Apple son compatibles con cada sistema operativo instalado. Esto significa que en el mismo ordenador puede haber instaladas varias instancias de macOS con distintas versiones y políticas de seguridad. Por este motivo, se ha añadido a la Utilidad de Seguridad de Arranque un selector de sistema operativo.
En los ordenadores Mac con chip de Apple, la Utilidad de Seguridad de Arranque indica el estado general de seguridad configurado por el usuario de macOS, como el arranque de una extensión del kernel o la configuración de la protección de la integridad del sistema (SIP). Si el cambio de un ajuste de seguridad podría perjudicar significativamente a la seguridad o facilitaría que se pusiera en peligro el sistema, los usuarios deben reiniciar el equipo en recoveryOS manteniendo pulsado el botón de encendido para efectuar el cambio (de manera que ningún software malicioso pueda activar la señal, ya que solo las personas con acceso físico pueden hacerlo). Por este motivo, los ordenadores Mac con chip de Apple no requieren (ni la aceptan) contraseña de firmware: todos los cambios críticos ya están sujetos a la autorización del usuario. Para obtener más información sobre la SIP, consulta Protección de la integridad del sistema en Seguridad de las plataformas de Apple.
No obstante, las organizaciones pueden impedir el acceso al entorno de recoveryOS, incluida la pantalla de opciones de arranque, mediante el uso de una contraseña de recoveryOS, disponible en macOS 11.5 o posterior. Para obtener más información, consulta más adelante la sección de contraseña de recoveryOS.
Políticas de seguridad
Para los Mac con chip de Apple existen tres políticas de seguridad:
Seguridad total: El sistema se comporta como iOS y iPadOS, y solo permite arrancar software que se sabe que era el más reciente que estaba disponible en el momento de la instalación.
Seguridad reducida: Este nivel de política permite al sistema ejecutar versiones anteriores de macOS. Dado que es inevitable que las versiones antiguas de macOS tengan vulnerabilidades no corregidas, esta opción de seguridad se califica como Reducida. Este es también el nivel de política que se debe configurar manualmente para poder arrancar extensiones de kernel (kext) sin usar una solución de gestión de dispositivos móviles (MDM) y una inscripción automatizada de dispositivos con Apple School Manager, Apple Business Manager o Apple Business Essentials.
Seguridad permisiva: Este nivel de política es útil para los usuarios que crean, firman y arrancan sus propios kernels XNU personalizados. Para poder activar el modo “Seguridad permisiva”, la protección de la integridad del sistema (SIP) debe estar desactivada. Para obtener más información, consulta Protección de la integridad del sistema en Seguridad de las plataformas de Apple.
Para obtener más información sobre las políticas de seguridad, consulta Control de la política de seguridad de “Disco de arranque” en un Mac con chip de Apple en Seguridad de las plataformas de Apple.
Contraseña de recoveryOS
Los Mac con chip de Apple que usen macOS 11.5 o posterior permiten definir una contraseña de recoveryOS usando MDM, con el comando SetRecoveryLock. A menos que se introduzca la contraseña de recoveryOS, un usuario no puede acceder al entorno de recuperación, incluida la pantalla de opciones de arranque. La contraseña de recoveryOS solo se puede definir utilizando MDM, y para que MDM actualice o elimine una contraseña existente, también se debe proporcionar la contraseña actual. Puesto que la contraseña de recoveryOS se puede definir, actualizar o eliminar solo mediante MDM, al anular de MDM la inscripción de un ordenador Mac que tenga una contraseña de recoveryOS, también se elimina la contraseña. Los administradores de MDM también pueden verificar que se haya establecido la contraseña para recoveryOS correcta mediante el comando VerifyRecoveryLock.
Nota: Definir una contraseña de recoveryOS no impide que se restaure un ordenador Mac con chip de Apple con el modo DFU utilizando Apple Configurator, que también hace que la información previa del Mac sea criptográficamente inaccesible.
Utilidad de Seguridad de Arranque
En los ordenadores Mac con procesador Intel dotados de chip de seguridad T2 de Apple, la Utilidad de Seguridad de Arranque maneja un conjunto de ajustes de la política de seguridad. A la utilidad se accede arrancando en la modalidad de recoveryOS y seleccionando Utilidad de Seguridad de Arranque en el menú Utilidades, y protege los ajustes de seguridad admitidos para que ningún atacante pueda manipularlos fácilmente.
Hay tres ajustes para configurar la política de arranque seguro: “Seguridad total”, “Seguridad media” y “Sin seguridad”. “Sin seguridad” desactiva por completo la evaluación del arranque seguro en el procesador de Intel y permite al usuario arrancar lo que quiera.
Para obtener más información sobre las políticas de seguridad, consulta Utilidad de Seguridad de Arranque en un Mac con chip de seguridad T2 de Apple en Seguridad de las plataformas de Apple.
Utilidad de Contraseña de Firmware
Los ordenadores Mac sin chip de Apple admiten el uso de una contraseña de firmware para impedir modificaciones no deseadas en los ajustes de firmware de un sistema Mac determinado. La contraseña de firmware se utiliza para impedir que los usuarios seleccionen otras modalidades de arranque alternativas, como arrancar en la modalidad de recoveryOS o de usuario único, arrancar desde un volumen no autorizado o arrancar desde la modalidad de disco de destino. Las contraseñas de firmware se pueden definir, actualizar o eliminar utilizando la herramienta de línea de comandos firmwarepasswd, Utilidad de Contraseña de Firmware o MDM. Para que MDM pueda actualizar o eliminar una contraseña de firmware, primero debe conocer la contraseña existente, si la hay.
Nota: Definir una contraseña de software no impide que se restaure el firmware del chip de seguridad T2 de Apple mediante el modo DFU usando Apple Configurator. Si se restaura el Mac, se elimina cualquier contraseña de firmware que haya definida en el dispositivo y se borra de manera segura la información existente en el almacenamiento interno.