Bezpieczeństwo uruchamiania systemu macOS
Zasady ochrony uruchamiania systemu mogą pomóc ograniczyć, kto może uruchamiać Maca oraz jakie urządzenia mogą być używane do jego uruchamiania.
Narzędzie zasad ochrony dysku startowego na komputerze Mac z układem scalonym Apple
W przeciwieństwie do zasad ochrony na komputerach Mac z procesorem Intel, zasady ochrony na komputerach Mac z układem scalonym Apple dotyczą osobno każdego zainstalowanego systemu operacyjnego. Oznacza to, że na tym samym urządzeniu może znajdować się wiele instancji macOS w różnych wersjach i z różnymi zasadami ochrony. Z tego powodu do Narzędzia bezpiecznego uruchamiania dodana została możliwość wyboru systemu operacyjnego.
Narzędzie bezpiecznego uruchamiania na komputerze Mac z układem scalonym Apple wyświetla ogólny status zabezpieczeń systemu macOS skonfigurowanych przez użytkownika, takich jak rozruch plików kext oraz konfiguracja ochrony integralności systemu. Jeśli zmiana danego ustawienia ochrony powoduje znaczne obniżenie bezpieczeństwa lub ułatwia naruszenie systemu, wprowadzenie jej wymaga, aby użytkownik uruchomił komputer ponownie w trybie recoveryOS. Czynność ta wymaga przytrzymanie przycisku zasilania, więc zmiany tej nie może przeprowadzić złośliwe oprogramowanie, a jedynie człowiek z fizycznym dostępem do urządzenia. Z tego powodu Mac z układem scalonym Apple nie wymaga (ani nie obsługuje) hasła sprzętowego — wszystkie krytyczne zmiany są chronione przez uwierzytelnianie użytkownika. Aby uzyskać więcej informacji na temat ochrony integralności systemu, zobacz: Ochrona integralności systemu w dokumencie Bezpieczeństwo platform Apple.
Organizacje mogą blokować dostęp do środowiska recoveryOS, w tym do ekranu opcji uruchamiania, używając hasła recoveryOS (dostępnego w systemie macOS 11.5 lub nowszym). Aby uzyskać więcej informacji, zapoznaj się z sekcją dotyczącą hasła recoveryOS (poniżej).
Zasady ochrony
Na komputerze Mac z układem scalonym Apple istnieją trzy zasady ochrony:
Pełna ochrona: System zachowuje się jak iOS lub iPadOS, pozwalając na rozruch tylko tego oprogramowania, które podczas instalacji było oprogramowaniem najnowszym.
Obniżony poziom zabezpieczeń: Ten poziom zabezpieczeń umożliwia uruchamianie starszych wersji systemu macOS. Ponieważ starsze wersje systemu macOS w nieunikniony sposób zawierają nieusunięte podatności, ten tryb ochrony określany jest jako obniżony. Ten poziom zabezpieczeń (który należy skonfigurować ręcznie) jest wymagany do obsługi rozruchu rozszerzeń jądra (plików kext) bez korzystania z rozwiązania MDM oraz automatycznej rejestracji urządzeń przy użyciu usługi Apple School Manager, Apple Business Manager lub Niezbędnik biznesowy Apple.
Luźne zabezpieczenia: Ten poziom zabezpieczeń przeznaczony jest dla użytkowników kompilujących, podpisujących i uruchamiających własne jądra XNU. Przed włączeniem trybu luźnych zabezpieczeń niezbędne jest wyłączenie ochrony integralności systemu. Aby uzyskać więcej informacji, zobacz: Ochrona integralności systemu w dokumencie Bezpieczeństwo platform Apple.
Aby uzyskać więcej informacji na temat zasad ochrony, zobacz: Narzędzie zasad ochrony dysku startowego na komputerze Mac z układem scalonym Apple w dokumencie Bezpieczeństwo platform Apple.
Hasło recoveryOS
Komputery Mac z układem scalonym Apple oraz systemem macOS 11.5 lub nowszym obsługują ustawianie hasła recoveryOS przez rozwiązanie MDM przy użyciu polecenia SetRecoveryLock. Bez wprowadzenia hasła recoveryOS użytkownik nie ma dostępu do środowiska odzyskiwania, w tym także do ekranu opcji uruchamiania. Hasło recoveryOS może zostać ustawione tylko przy użyciu rozwiązania MDM. Zmiana lub usunięcie istniejącego hasła przy użyciu rozwiązania MDM wymaga podania aktualnego hasła. Hasło recoveryOS może zostać ustawione, uaktualnione lub usunięte tylko przy użyciu rozwiązania MDM, więc wyrejestrowanie Maca z hasłem recoveryOS z MDM powoduje usunięcie tego hasła. Administratorzy MDM mają także do dyspozycji nowe polecenie VerifyRecoveryLock, przy użyciu którego mogą sprawdzać, czy ustawione jest właściwe hasło recoveryOS.
Uwaga: Ustawienie hasła recoveryOS nie uniemożliwia odtworzenia Maca z układem scalonym Apple przy użyciu trybu DFU i aplikacji Apple Configurator. Czynność ta sprawia także, że dane na Macu stają się kryptograficznie niedostępne.
Narzędzie bezpiecznego uruchamiania
Narzędzie bezpiecznego uruchamiania na komputerach Mac z procesorem Intel lub układem zabezpieczającym Apple T2 obsługuje różne ustawienia dotyczące zasad ochrony. Narzędzie to jest dostępne po wykonaniu rozruchu w trybie recoveryOS i wybraniu polecenia Narzędzie bezpiecznego uruchamiania z menu Narzędzia. Zabezpiecza ono obsługiwane ustawienia ochrony przed łatwą modyfikacją przez atakującego.
Dostępne są trzy ustawienia konfiguracji bezpiecznego rozruchu: Pełna ochrona, Średnia ochrona lub Bez ochrony. Bez ochrony oznacza całkowite wyłączenie sprawdzania rozruchu przez procesor Intel i pozwala użytkownikowi na rozruch dowolnego systemu.
Aby uzyskać więcej informacji na temat zasad ochrony, zobacz: Narzędzie bezpiecznego uruchamiania na Macu z układem zabezpieczającym Apple T2 w dokumencie Bezpieczeństwo platform Apple.
Narzędzie hasła sprzętowego
Komputery Mac bez układu scalonego Apple obsługują hasło sprzętowe, uniemożliwiające niepowołane modyfikacje ustawień oprogramowania sprzętowego na danym Macu. Hasło sprzętowe używane jest do blokowania użytkownikom możliwości wybrania alternatywnego trybu rozruchu, na przykład rozruchu recoveryOS, rozruchu w trybie pojedynczego użytkownika, rozruchu z nieautoryzowanego woluminu lub użycia trybu dysku. Hasło sprzętowe może zostać ustawione, zmienione lub usunięte przy użyciu narzędzia wiersza poleceń firmwarepasswd, aplikacji Narzędzie hasła sprzętowego lub rozwiązania MDM. Uaktualnienie lub usunięcie hasła sprzętowego przy użyciu rozwiązania MDM wymaga znajomości istniejącego hasła, jeśli jest ono ustawione.
Uwaga: Ustawienie hasła sprzętowego nie uniemożliwia odtworzenia oprogramowania sprzętowego układu zabezpieczającego Apple T2 w trybie DFU przy użyciu aplikacji Apple Configurator. W takiej sytuacji hasło sprzętowe Maca jest usuwane, a dane przechowywane na wewnętrznym urządzeniu pamięci masowej są bezpiecznie wymazywane.