Opstartbeveiliging in macOS
Met een opstartbeveiligingsbeleid kan worden bepaald wie een Mac mag opstarten en vanaf welke apparaten de Mac kan worden opgestart.
Beveiligingsbeleid voor de opstartschijf van een Mac met Apple silicon
Anders dan bij Intel-Macs kan op een Mac met Apple silicon voor elk geïnstalleerd besturingssysteem een beveiligingsbeleid worden gebruikt. Dit betekent dat op een en dezelfde computer verschillende versies van macOS met elk een eigen beveiligingsbeleid kunnen worden geïnstalleerd. Daarom is aan Opstartbeveiligingshulpprogramma een kiezer voor het besturingssysteem toegevoegd.
Op een Mac met Apple silicon geeft Opstartbeveiligingshulpprogramma de algehele door de gebruiker geconfigureerde beveiligingsstatus van macOS aan. Denk bijvoorbeeld aan het opstarten van een kext of de configuratie van System Integrity Protection (SIP). Als het wijzigen van een beveiligingsinstelling de beveiliging aanzienlijk zou verslechteren of het systeem kwetsbaarder zou maken, moeten gebruikers de wijziging aanbrengen door opnieuw op te starten met recoveryOS. Hiervoor moeten ze de aan/uit-knop ingedrukt houden (zodat alleen iemand met fysieke toegang het signaal kan activeren en malware dit niet kan doen). Op een Mac met Apple silicon is dan ook geen firmwarewachtwoord nodig (en wordt dit niet ondersteund), omdat voor alle kritieke wijzigingen gebruikersautorisatie vereist is. Zie System Integrity Protection in Apple Platform Security (Engelstalig) voor meer informatie over SIP.
In macOS 11.5 of nieuwer kunnen organisaties echter voorkomen dat gebruikers toegang hebben tot de recoveryOS-omgeving, inclusief het scherm met opstartopties, door een recoveryOS-wachtwoord in te stellen. Zie het gedeelte "recoveryOS-wachtwoord" hieronder voor meer informatie.
Beveiligingsbeleid
Het beveiligingsbeleid op een Mac met Apple silicon kent drie niveaus:
Volledige beveiliging: Net als in iOS en iPadOS kan het systeem alleen worden opgestart met software waarvan bekend is dat er tijdens de installatie geen nieuwere versie beschikbaar was.
Verminderde beveiliging: Bij dit beleidsniveau kunnen ook oudere versies van macOS worden uitgevoerd. Omdat het onvermijdelijk is dat oudere versies van macOS nog zwakke plekken bevatten, wordt deze beveiligingsmodus Verminderd genoemd. Dit is ook het beleidsniveau dat handmatig moet worden geconfigureerd voor ondersteuning van het opstarten van kernelextensies (kexts) zonder MDM-oplossing en automatische apparaatinschrijving bij Apple School Manager, Apple Business Manager of Apple Business Essentials.
Lichte beveiliging: Dit beleidsniveau is geschikt voor gebruikers die hun eigen aangepaste XNU-kernels bouwen, ondertekenen en opstarten. System Integrity Protection (SIP) moet worden uitgeschakeld voordat de modus 'Lichte beveiliging' kan worden ingeschakeld. Zie System Integrity Protection in Apple Platform Security (Engelstalig) voor meer informatie.
Zie Startup Disk security policy control for a Mac with Apple silicon in Apple Platform Security (Engelstalig) voor meer informatie over het beveiligingsbeleid.
recoveryOS-wachtwoord
Op Macs met Apple silicon waarop macOS 11.5 of nieuwer is geïnstalleerd, kan via MDM een recoveryOS-wachtwoord worden ingesteld met het commando SetRecoveryLock. Het recoveryOS-wachtwoord voorkomt dat een gebruiker toegang heeft tot de herstelomgeving, inclusief het scherm met opstartopties, tenzij het wachtwoord wordt ingevoerd. Een recoveryOS-wachtwoord kan alleen met MDM worden ingesteld. Als je een bestaand wachtwoord wilt wijzigen of verwijderen via MDM, moet je het huidige wachtwoord ook opgeven. Omdat het recoveryOS-wachtwoord alleen via MDM kan worden ingesteld, gewijzigd of verwijderd, wordt het verwijderd als een Mac-computer met een recoveryOS-wachtwoord wordt uitgeschreven bij MDM. Met het commando VerifyRecoveryLock kunnen MDM-beheerders verifiëren of het juiste recoveryOS-wachtwoord is ingesteld.
Opmerking: Als een recoveryOS-wachtwoord is ingesteld, kan een Mac-computer met Apple silicon nog wel via de DFU-modus worden hersteld met Apple Configurator. Hierbij worden de aanwezige gegevens op de Mac cryptografisch ontoegankelijk gemaakt.
Opstartbeveiligingshulpprogramma
Op Intel-Macs met een Apple T2 Security-chip worden diverse instellingen voor het beveiligingsbeleid beheerd met Opstartbeveiligingshulpprogramma. Dit hulpprogramma is toegankelijk door op te starten met recoveryOS en 'Opstartbeveiligingshulpprogramma' te kiezen uit het Hulpprogramma's-menu. Het programma zorgt ervoor dat ondersteunde beveiligingsinstellingen niet eenvoudig door een aanvaller te manipuleren zijn.
Het beleid voor veilig opstarten kan op drie manieren worden geconfigureerd: 'Volledige beveiliging', 'Gemiddelde beveiliging' en 'Geen beveiliging'. Met 'Geen beveiliging' wordt de evaluatie voor veilig opstarten op de Intel-processor volledig uitgeschakeld en kan de gebruiker overal mee opstarten.
Zie Startup Security Utility on a Mac with an Apple T2 Security Chip in Apple Platform Security (Engelstalig) voor meer informatie over het beveiligingsbeleid.
Firmwarewachtwoordprogramma
Mac-computers zonder Apple silicon ondersteunen het gebruik van een firmwarewachtwoord om ongewenste aanpassingen van de firmware-instellingen op een specifieke Mac te voorkomen. Het firmwarewachtwoord wordt gebruikt om te voorkomen dat gebruikers alternatieve opstartmethoden selecteren, zoals opstarten met recoveryOS of in de modus voor één gebruiker, opstarten vanaf een niet-geautoriseerd volume of opstarten in de doelschijfmodus. Een firmwarewachtwoord kan worden ingesteld, gewijzigd of verwijderd met de commandoregeltool firmwarepasswd, het firmwarewachtwoordprogramma of MDM. Om een firmwarewachtwoord te kunnen wijzigen of wissen met MDM, moet het bestaande wachtwoord eerst worden ingevoerd (indien van toepassing).
Opmerking: Als een firmwarewachtwoord is ingesteld, kan de firmware van de Apple T2 Security-chip nog wel via de DFU-modus worden hersteld met Apple Configurator. Tijdens het herstel van de Mac wordt het firmwarewachtwoord van het apparaat verwijderd en worden de gegevens op het interne opslagapparaat veilig gewist.