Rendszerindítás-védelem a macOS rendszerben
A rendszerindítás védelem házirendek segítségével korlátozható, ki, és milyen eszközök segítségével indíthatja el a Macet.
Indítólemez biztonsági házirend vezérlés Apple-chippel rendelkező Maceken
Az Intel-alapú Macek biztonsági házirendjeivel ellentétben az Apple-chippel rendelkező Macek biztonsági házirendjei minden telepített operációs rendszer esetében támogatottak. Ez azt jelenti, hogy több telepített, különböző verziókkal rendelkező macOS példány és biztonsági házirend is létezhet ugyanazon gépen. Ezen okból kifolyólag, egy operációs rendszer választó került hozzáadásra a Rendszerindítás-védelem segédprogramhoz.
Az Apple-chippel rendelkező Maceken a Rendszerindítás-védelem segédprogram jelzi a felhasználó által konfigurált macOS rendszer biztonsági állapotát, például egy kext rendszerindítását vagy a Rendszerintegritás-védelem (SIP) konfigurációját. Ha egy biztonsági beállítás módosítása jelentősen csökkentené a biztonságot, vagy ha könnyebben sérthetővé tenné a rendszert, a felhasználóknak a bekapcsoló gomb nyomva tartásával újra kell indítaniuk a gépet a visszaállítási operációs rendszerben (így csak a fizikai hozzáféréssel rendelkező személyek aktiválhatják a jelet, a rosszindulató szoftverek nem), a módosítás elvégzéséhez. Ebből adódóan, az Apple-chippel rendelkező Macek nem igénylik (vagy támogatják) a firmware jelszót - a kritikus módosítások mind felhasználói azonosításhoz vannak kötve. Az SIP-vel kapcsolatos további információkért, lásd az Apple platformbiztonság Rendszerintegritás-védelem részét.
A szervezetek azonban megakadályozhatják a visszaállítási operációs rendszer elérését; ebbe beletartozik a visszaállítási operációs rendszer jelszavával elérhetők indítási beállítások képernyője (a macOS 11.5 és újabb rendszerekben érhető el). További információért olvassa el A visszaállítási operációs rendszer jelszava című lentebbi szakaszt.
Biztonsági házirendek
Az Apple-chippel rendelkező Maceken három biztonsági házirend érhető el:
Teljes biztonság: A rendszer az iOS-hez és iPadOS-hez hasonlóan viselkedik, és kizárólag a telepítés idejekor elérhető legújabb rendszerindító szoftvereket engedélyezi.
Csökkentett biztonság: Ez a házirendi szint lehetővé teszi a rendszer számára a macOS rendszer korábbi verzióinak futtatását is. Mivel a macOS rendszer korábbi verziói javítatlan biztonsági résekkel rendelkeznek, ezt a biztonsági módot Csökkentett módnak nevezik. Továbbá ez a házirendi szint az, amelyet manuálisan konfigurálni kell ahhoz, hogy a kernel-bővítményeket (kexteket) el lehessen indítani anélkül, hogy mobileszköz-felügyeleti (MDM) megoldás és automatizált eszközregisztráció használatára legyen szükség az Apple School Managerrel, az Apple Business Managerrel vagy az Apple Business Essentialsszel.
Megengedő biztonság: Ez a házirendi szint támogatja a saját, egyéni XNU kerneleket építő, aláíró és rendszerindító felhasználókat. A Megengedő biztonság mód engedélyezését megelőzően a Rendszerintegritás-védelmet (SIP) ki kell kapcsolni. További információkért, lásd az Apple platformbiztonság Rendszerintegritás-védelem részét.
A biztonsági házirendekkel kapcsolatos további információkért, lásd az Apple platformbiztonság Indítólemez biztonsági házirend vezérlés Apple-chippel rendelkező Maceken részét.
A visszaállítási operációs rendszer jelszava
A macOS 11.5 vagy újabb rendszerű, Apple-chippel rendelkező Macek lehetővé teszik, hogy beállítson egy jelszót az MDM-megoldáson keresztül a visszaállítási operációs rendszerhez a SetRecoveryLock parancs használatával. Hacsak nem képes megadni a visszaállítási operációs rendszer jelszavát, a felhasználó nem fog hozzáférni a visszaállítási környezethez (ideértve az indítási beállítások képernyőjét). A visszaállítási operációs rendszer jelszava csak MDM használatával adható meg, és az MDM csak akkor tudja frissíteni vagy eltávolítani a meglévő jelszót, ha a felhasználó megadja az aktuális jelszót. Mivel a visszaállítási operációs rendszer jelszava csak az MDM-en keresztül állítható be, frissíthető és távolítható el, ha megszünteti az olyan Mac regisztrációját az MDM-ben, amelynél a visszaállítási operációs rendszerhez jelszó van beállítva, akkor a jelszót is eltávolítja. Az MDM-adminisztrátorok a VerifyRecoveryLock parancs segítségével ellenőrizhetik, hogy korábban a megfelelő jelszót állították be a visszaállítási operációs rendszerhez.
Megjegyzés: Ha jelszót állít be a visszaállítási operációs rendszerre, azzal nem akadályozza meg, hogy az Apple-chippel rendelkező Macet DFU-módban, az Apple Configurator használatával állítsák vissza; ez a művelet a Macen lévő adatokat kriptográfiailag elérhetetlenné teszi.
Rendszerindítás-védelem segédprogram
Az Apple T2 biztonsági chippel rendelkező Intel-alapú Maceken a Rendszerindítás-védelem segédprogram számos biztonsági házirend beállítást kezel. A segédprogram a gép visszaállítási operációs rendszer módjának betöltését és a Segédprogramok menü Rendszerindítás-védelem segédprogramjának kiválasztásával érthető el, és védelmet biztosít a támogatott biztonsági beállítások számára a támadóktól érkező manipuláció ellen.
A biztonságos rendszerindítási irányelv a következő három beállításra konfigurálható: Teljes biztonság, Közepes biztonság és Nincs biztonság. A Nincs biztonság beállítás teljesen kikapcsolja a biztonságos rendszerindítási kiértékelést az Intel processzoron, és a felhasználó tetszés szerinti rendszerindítást hajthat végre.
A biztonsági házirendekkel kapcsolatos további információkért, lásd az Apple platformbiztonság Rendszerindítás-védelem segédprogram az Apple T2 biztonsági chippel rendelkező Maceken részét.
Firmware-jelszó segédprogram
Az Apple-chippel nem rendelkező Macek a firmware-jelszó használata révén támogatják a firmware-beállítások nem szándékos módosításainak megelőzését. A firmware-jelszó beállításával megakadályozhatja, hogy a felhasználók alternatív rendszerindítási módokat válasszanak ki, mint például a visszaállítási operációs rendszer vagy az egyetlen felhasználó mód, illetve a jogosulatlan kötetről való rendszerindítás és a céllemez módban való rendszerindítás. A firmware-jelszó beállítható, frissíthető és eltávolítható a firmwarepasswd parancssori eszközzel, a Firmware-jelszó segédprogrammal vagy az MDM-mel. Az MDM akkor tudja frissíteni vagy törölni a firmware-jelszót, ha ismeri a meglévőt (ha van).
Megjegyzés: A firmware-jelszó beállítása nem akadályozza meg, hogy az Apple T2 biztonsági chip firmware-je vissza legyen állítva DFU-módon keresztül, az Apple Configurator használatával. A Mac visszaállítása után az eszközön beállított firmware-jelszavak el lesznek távolítva, és a belső tárhelyen lévő adatok biztonságosan törlődnek.