أداة أمن بدء التشغيل على Mac مزود بشريحة Apple T2 أمنية
نظرة عامة
على أجهزة كمبيوتر Mac المستندة إلى Intel المزودة بشريحة Apple T2 أمنية، تتعامل أداة أمن بدء التشغيل مع عدد من إعدادات سياسة الأمن. يمكن الوصول إلى الأداة عن طريق التمهيد في recoveryOS وتحديد أداة أمن بدء التشغيل من قائمة الأدوات المساعدة، وتحمي إعدادات الأمن المدعومة من التلاعب السهل من قِبل أي مهاجم.
تتطلب تغييرات السياسة الجوهرية وجود مصادقة، حتى في وضع الاسترداد. عند فتح أداة أمن بدء التشغيل لأول مرة، فإنها تطالب المستخدم بإدخال كلمة سر المسؤول من تثبيت macOS الأساسي المرتبط بـ recoveryOS الذي يتم تمهيده حاليًا. في حالة عدم وجود مسؤول، يجب إنشاء واحد قبل تغيير السياسة. تتطلب شريحة T2 تمهيد كمبيوتر Mac حاليًا في recoveryOS وأن تتم المصادقة مع بيانات اعتماد مدعومة من Secure Enclave قبل إجراء مثل هذا التغيير في السياسة. تحتوي تغييرات سياسة الأمن على متطلبين ضمنيين. يجب على recoveryOS:
أن يتم تمهيده من جهاز تخزين متصل مباشرةً بشريحة T2، لأن الأقسام الموجودة على الأجهزة الأخرى لا تحتوي على بيانات اعتماد مدعومة من Secure Enclave مرتبطة بجهاز التخزين الداخلي.
أن يكون موجودًا على وحدة تخزين تستند إلى APFS، نظرًا لعدم وجود دعم إلا لتخزين بيانات اعتماد المصادقة في الاسترداد المرسلة إلى Secure Enclave على وحدة تخزين APFS "ما قبل التمهيد" بمحرك الأقراص. لا يمكن لوحدات التخزين بتنسيق HFS plus استخدام التمهيد الآمن.
لا يتم عرض هذه السياسة إلا في أداة أمن بدء التشغيل على Mac مستند إلى Intel مزود بشريحة T2. على الرغم من أن معظم حالات الاستخدام يجب ألا تتطلب تغييرات في سياسة التمهيد الآمن، إلا أن المستخدمين يتحكمون في النهاية في إعدادات أجهزتهم، وقد يختارون، حسب احتياجاتهم، تعطيل وظيفة التمهيد الآمن على الـ Mac الخاص بهم أو إرجاعها إلى إصدار قديم.
لا تنطبق تغييرات سياسة التمهيد الآمن التي تم إجراؤها من داخل هذا التطبيق إلا على تقييم سلسلة الثقة التي يتم التحقق منها على معالج Intel. ويكون خيار "التمهيد الآمن لشريحة T2" ساري المفعول دائمًا.
يمكن تكوين سياسة التمهيد الآمن إلى أحد الإعدادات الثلاثة: تأمين كامل وتأمين متوسط وبلا تأمين. "بلا تأمين" يعطّل تقييم التمهيد الآمن تمامًا على معالج Intel ويسمح للمستخدم بتمهيد كل ما يريد.
سياسة تمهيد التأمين الكامل
سياسة التأمين الكامل هي سياسة التمهيد الافتراضية، وتتصرف بشكل مشابه لـ iOS و iPadOS أو التأمين الكامل على Mac مزود برقاقات Apple. في الوقت الذي يتم فيه تخفيض مستوى أمن البرنامج وتحضيره للتثبيت، يتم تخصيصه بتوقيع يتضمن معرف الشريحة الحصري (ECID) -وهو معرف فريد خاص بشريحة T2 في هذه الحالة - كجزء من طلب التوقيع. ويكون التوقيع الذي يرجع من خادم التوقيع فريدًا وقابلاً للاستخدام فقط بواسطة شريحة T2 المعينة هذه. تم تصميم البرنامج الثابت لواجهة البرامج الثابتة القابلة للتوسعة الموحدة (UEFI) لضمان أنه عندما تكون سياسة التأمين الكامل سارية المفعول، لا يكون التوقيع المحدد موقعًا من قِبل Apple فحسب، بل تم توقيعه لهذا الـ Mac بالتحديد، ويربط هذا الإصدار من macOS بشكل أساسي بهذا الـ Mac. وهذا يساعد في منع هجمات التراجع كما هو موضح في سياسة التأمين الكامل على Mac مزود بسيليكون Apple.
سياسة تمهيد التأمين المتوسط
تشبه سياسة تمهيد التأمين المتوسط إلى حد ما سياسة تمهيد UEFI الآمن التقليدية، حيث يقوم المورّد (الذي تمثله Apple في هذه الحالة) بإنشاء توقيع رقمي للتعليمات البرمجية لتأكيد أن مصدرها هو المورّد. وبهذه الطريقة، يتم منع المهاجمين من إدراج تعليمات برمجية غير موقّعة. ونُشير إلى هذا التوقيع على أنه توقيع "عام"، لأنه يمكن استخدامه على أي Mac، لأي فترة زمنية، لأجهزة كمبيوتر Mac التي تم تعيين سياسة التأمين المتوسط بها حاليًا. لا يدعم iOS أو iPadOS أو شريحة T2 ذاتها التوقيعات العامة. ولا يحاول هذا الإعداد منع هجمات التراجع.
سياسة تمهيد الوسائط
لا توجد سياسة تمهيد الوسائط إلا على أجهزة كمبيوتر Mac المستندة إلى Intel المزودة بشريحة T2 وهي مستقلة عن سياسة التمهيد الآمن. حتى إذا عطّل المستخدم التمهيد الآمن، فإن هذا لا يغير السلوك الافتراضي المتمثل في منع تمهيد الـ Mac من أي شيء آخر غير جهاز التخزين المتصل مباشرة بشريحة T2. (سياسة إقلاع الوسائط غير مطلوبة على Mac مزود برقاقات Apple. لمزيد من المعلومات، انظر التحكم في سياسة أمن قرص بدء التشغيل).