Startsäkerhet i macOS
Startsäkerhetspolicyerna kan göra det enklare att begränsa vem som kan starta en dator och vilka enheter som datorn kan startas med.
Säkerhetspolicykontroll för startskiva på en Mac med Apple Silicon
Till skillnad från säkerhetspolicyer på Intel-baserade Mac-datorer stöds säkerhetspolicyer på en Mac med Apple Silicon för varje installerat operativsystem. Detta innebär att det kan finnas flera installerade macOS-instanser med olika versioner och säkerhetspolicyer på samma maskin. Därför har en operativsystemväljare lagts till i Startsäkerhetsverktyg.
På en Mac med Apple Silicon visas den övergripande, användarkonfigurerade säkerhetsstatusen för macOS, som start av kärntillägg eller SIP-konfigurationen (System Integrity Protection), i Startsäkerhetsverktyg. Om säkerheten försämras avsevärt eller systemet enklare kan manipuleras vid en ändring av en säkerhetsinställning måste användare starta om i recoveryOS genom att hålla in strömbrytaren (så att sabotageprogram inte kan utlösa signalen, utan endast en person med fysisk åtkomst) för att kunna göra ändringen. På grund av detta krävs det inte lösenord för fast programvara på en Mac med Apple Silicon. Det finns heller inte stöd för dem. Alla kritiska ändringar skyddas redan med användarauktorisering. Mer information om systemintegritetsskydd finns i Systemintegritetsskydd i Apple och säkerhetsteknik.
Organisationer kan dock förhindra åtkomst till recoveryOS-miljön, bl.a. till skärmen med startalternativ, med hjälp av ett recoveryOS-lösenord som finns i macOS 11.5 och senare. Mer information finns i avsnittet recoveryOS-lösenord nedan.
Säkerhetspolicyer
Det finns tre säkerhetspolicyer för en Mac med Apple Silicon:
Full säkerhet: Systemet fungerar som iOS och iPadOS och tillåter endast start av programvara som var känd som den senast tillgängliga versionen när den installerades.
Minskad säkerhet: Med hjälp av den här policynivån kan systemet köra äldre versioner av macOS. Eftersom äldre versioner av macOS oundvikligen har svagheter som inte har korrigerats beskrivs det här säkerhetsläget som Minskad. Det här är också den policynivå som måste ställas in manuellt för att ge stöd för start av kärntillägg (kext) utan att använda en MDM-lösning och automatisk enhetsregistrering med Apple School Manager, Apple Business Manager eller Apple Business Essentials.
Tillåtande säkerhet: Den här policynivån passar användare som bygger, signerar och startar sina egna, anpassade XNU-kärnor. Systemintegritetsskydd måste avaktiveras innan läget Tillåtande säkerhet aktiveras. Mer information finns i Systemintegritetsskydd i Apple och säkerhetsteknik.
Mer information om säkerhetspolicyer finns i Säkerhetspolicykontroll för startskiva på en Mac med Apple Silicon i Apple och säkerhetsteknik.
recoveryOS-lösenord
En Mac med Apple Silicon och macOS 11.5 eller senare har stöd för att ställa in ett recoveryOS-lösenord via MDM med kommandot SetRecoveryLock. Om inte recoveryOS-lösenordet anges förhindras en användare från att komma åt återställningsmiljön, vilket omfattar skärmen för startalternativ. Ett recoveryOS-lösenord kan endast ställas in med MDM, och det befintliga lösenordet måste kunna anges för att det ska gå att uppdatera eller ta bort ett befintligt lösenord i MDM. Eftersom det endast går att ställa in, uppdatera och ta bort recoveryOS-lösenord med MDM tas lösenordet bort även när en Mac-dator avregistreras från MDM som har ett angivet recoveryOS-lösenord. MDM-administratörer kan också verifiera att rätt recoveryOS-lösenord har ställts in genom att använda det nya kommandot VerifyRecoveryLock.
Obs! Inställning av ett recoveryOS-lösenord förhindrar inte återskapande av en Mac med Apple Silicon i DFU-läge med Apple Configurator som även kryptografiskt gör äldre data på datorn otillgängliga.
Startsäkerhetsverktyg
På Intel-baserade Mac-datorer med Apple T2-säkerhetskrets hanterar Startsäkerhetsverktyg en rad inställningar för säkerhetspolicyer. Du kommer åt verktyget genom att starta med recoveryOS och välja Startsäkerhetsverktyg i menyn Verktyg. Verktyget skyddar de säkerhetsinställningar som stöds så att angripare inte enkelt kan manipulera dem.
Policyn för säker start kan konfigureras till en av tre inställningar: Full säkerhet, Medelsäkerhet och Ingen säkerhet. Ingen säkerhet avaktiverar utvärderingen vid säker start på Intel-processorn helt och hållet och låter användarna starta vad de vill.
Mer information om säkerhetspolicyerna finns i Startsäkerhetsverktyg på Mac-datorer med en Apple T2-krets i Apple och säkerhetsteknik.
Firmware-lösenordshanterare
Mac-datorer utan Apple Silicon har stöd för användning av ett lösenord för fast programvara i syfte att förhindra oavsiktliga ändringar av inställningarna för fast programvara på en specifik dator. Lösenord för fast programvara används till att förhindra att användare väljer alternativa startlägen som start med recoveryOS, enanvändarläge, start från en obehörig volym eller start i hårddiskläge. Det går att ställa in, uppdatera eller ta bort ett lösenord för fast programvara med kommandoradsverktyget firmwarepasswd, Firmware-lösenordshanterare eller MDM. För att MDM ska kunna uppdatera eller rensa ett lösenord för fast programvara måste först det befintliga lösenordet, om det är tillämpligt, vara inställt i MDM.
Obs! Inställning av ett lösenord för fast programvara hindrar inte återskapande av den fasta programvaran för en Apple T2-säkerhetskrets i DFU-läge med Apple Configurator. När datorn är återskapad tas det eventuellt inställda lösenordet för fast programvara på enheten bort, och data i det interna lagringsutrymmet raderas på ett säkert sätt.