حماية كلمة سر البرنامج الثابت في Mac مستند إلى Intel
يدعم macOS على أجهزة كمبيوتر Mac المستندة إلى Intel المزودة بشريحة Apple T2 أمنية استخدام كلمة سر البرنامج الثابت للمساعدة على منع التعديلات غير المقصودة على إعدادات البرنامج الثابت على Mac معين. صُمِّمت كلمة السر للبرنامج الثابت لمنع تحديد أنماط الإقلاع البديلة مثل الإقلاع في نمط recoveryOS أو نمط المستخدم الواحد أو الإقلاع من وحدة تخزين غير مصرح بها، أو الإقلاع في نمط القرص المستهدف.
ملاحظة: كلمة سر البرنامج الثابت غير مطلوبة على أجهزة كمبيوتر Mac المزودة بسيليكون Apple، لأن وظيفة البرنامج الثابت المهمة التي تعمل على تقييدها قد تم نقلها إلى recoveryOS، ثم (عند تمكين خزنة الملفات) يتطلب recoveryOS مصادقة المستخدم قبل تمكين الوصول إلى وظائفه المهمة.
يمكن الوصول إلى النمط الأساسي لكلمة سر البرنامج الثابت من أداة كلمة سر البرنامج الثابت في recoveryOS على أجهزة كمبيوتر Mac المستندة إلى Intel غير المزودة بشريحة T2، ومن أداة أمن بدء التشغيل على أجهزة كمبيوتر Mac المستندة إلى Intel المزودة بشريحة T2. وتتوفر الخيارات المتقدمة (مثل إمكانية المطالبة بكلمة السر في كل عملية تمهيد) من أداة سطر الأوامر firmwarepasswd في macOS.
يعد تعيين كلمة سر للبرنامج الثابت أمرًا مهمًا بشكل خاص للحد من مخاطر الهجمات على أجهزة كمبيوتر Mac المستندة إلى Intel غير المزودة بشريحة T2 من مهاجم له وجود مادي في المكان. تستطيع كلمة سر البرنامج الثابت أن تساعد في منع المهاجم من التمهيد إلى نمط recoveryOS الذي يمكن من خلاله تعطيل حماية تكامل النظام (SIP). وبتقييد تمهيد الوسائط البديلة، لا يستطيع المهاجم تنفيذ التعليمات البرمجية المميزة من نظام تشغيل آخر لمهاجمة البرامج الثابتة الطرفية.
توجد آلية لإعادة تعيين كلمة سر البرنامج الثابت لمساعدة المستخدم الذي ينسى كلمة السر الخاصة به. يضغط المستخدم على مجموعة مفاتيح عند بدء التشغيل، ويتم تزويده بسلسلة خاصة بالطراز لتقديمها إلى AppleCare. تُوقّع AppleCare رقميًا على مَوْرد يتم التحقق من التوقيع عليه بواسطة معرف الموارد المنتظم (URI). وإذا كان التوقيع صالحًا والمحتوى خاصًا بالـ Mac المحدد، يزيل برنامج UEFI الثابت كلمة سر البرنامج الثابت.
بالنسبة للمستخدم الذي لا يريد لأحد غيره إزالة كلمة سر البرنامج الثابت الخاصة به عن طريق البرامج، تمت إضافة خيار -disable-reset-capability إلى أداة سطر الأوامر firmwarepasswd في macOS 10.15. وقبل تعيين هذا الخيار، يجب على المستخدم الإقرار بأنه في حالة نسيان كلمة السر والحاجة إلى إزالتها، يجب أن يتحمل المستخدم تكلفة استبدال اللوحة المنطقية اللازمة لتحقيق ذلك. يجب على المؤسسات التي تريد حماية أجهزة كمبيوتر Mac الخاصة بها من المهاجمين الخارجيين ومن الموظفين تعيين كلمة سر للبرنامج الثابت على الأنظمة المملوكة للمؤسسة. يمكن إتمام ذلك على الجهاز بأي من الطرق التالية:
في وقت التوفير، باستخدام أداة سطر الأوامر
firmwarepasswdيدويًاباستخدام أدوات إدارة الجهات الخارجية التي تستخدم أداة سطر الأوامر
firmwarepasswdباستخدام إدارة جهاز الجوال (MDM)