Sicurezza Avvio su macOS
Le politiche di Sicurezza Avvio aiutano a limitare gli utenti che possono avviare un Mac e i dispositivi che possono essere utilizzati per avviare il Mac.
Controlli sulle politiche di sicurezza del disco di avvio per un Mac con Apple Silicon
A differenza delle politiche di sicurezza per i Mac basati su Intel, quelle per i Mac con Apple Silicon sono supportate su ciascun sistema operativo installato. Ciò significa che possono esistere più istanze di macOS installate sullo stesso dispositivo con versioni e politiche di sicurezza diverse. Perciò un selettore di sistema operativo è stato aggiunto a Utility Sicurezza Avvio.
Su un Mac con Apple Silicon, Utility Sicurezza Avvio indica lo stato di sicurezza generale configurato dall’utente di macOS, come l’avvio di una kext o la configurazione di Protezione dell’integrità di sistema (SIP). Se la modifica di un’impostazione di sicurezza diminuisce significativamente la sicurezza o rende il sistema più facili da violare, gli utenti devono effettuare il riavvio in recoveryOS tenendo premuto il pulsante di alimentazione (in modo che il malware non attivi il segnale, poiché può farlo solo un umano che dispone di accesso fisico) al fine di apportare la modifica. Per questa ragione un Mac con Apple Silicon inoltre non richiederà (o supporterà) una password del firmware, tutte le modifiche critiche sono già vincolate all’autorizzazione dell’utente. Per ulteriori informazioni sulla protezione dell’integrità del sistema, consulta Protezione dell’integrità del sistema in Sicurezza delle piattaforme Apple.
Le organizzazioni possono, tuttavia, impedire l’accesso all’ambiente recoveryOS, inclusa la schermata con le opzioni di avvio, attraverso l’utilizzo di una password recoveryOS password, disponibile su macOS 11.5 o versione successiva. Per maggiori informazioni, consulta la sezione sulla password di recoveryOS di seguito.
Politiche di sicurezza
Esistono tre politiche di sicurezza per i Mac con Apple Silicon:
Sicurezza totale: il sistema si comporta come iOS e iPadOS e consente solo l’avvio dell’ultimo software noto disponibile al momento dell’installazione.
Sicurezza ridotta: questo livello consente al sistema di eseguire versioni precedenti di macOS. Siccome le versioni precedenti di macOS inevitabilmente hanno sistemato alcuni difetti, questa modalità di sicurezza è descritta come Ridotta. Questo è anche il livello delle politiche da configurare manualmente per supportare l’avvio delle estensioni del kernel (kexts) senza usare una soluzione di gestione dei dispositivi mobili (MDM) e la registrazione automatica del dispositivo con Apple School Manager, Apple Business Manager o Apple Business Essentials.
Sicurezza permissiva: questo livello supporta gli utenti che stanno costruendo, firmando e avviando i propri kernel XNU personalizzati. La protezione dell’integrità del sistema deve essere disattivata prima di abilitare la modalità “Sicurezza permissiva”. Per ulteriori informazioni, consulta Protezione dell’integrità del sistema in Sicurezza delle piattaforme Apple.
Per ulteriori informazioni sulle politiche di sicurezza, consulta La politica sulla sicurezza di Disco di avvio su un Mac con chip Apple in Sicurezza della piattaforma Apple.
password recoveryOS
I Mac con chip Apple con macOS 11.5 o versione successiva supportano l’impostazione tramite MDM della password di recoveryOS utilizzando il comando SetRecoveryLock. A meno che non venga inserita la password di recoveryOS, all’utente viene impedito l’accesso all’ambiente di recupero, inclusa la schermata delle opzioni di avvio. La password di recoveryOS può essere impostata solo utilizzando MDM e per aggiornare o rimuovere una password esistente tramite MDM. Deve essere fornita la password attuale. Dal momento che la password di recoveryOS può essere impostata, aggiornata o rimossa solo attraverso MDM, l’annullamento della registrazione di un Mac da MDM che ha una password di recoveryOS rimuove anche la relativa password. Gli amministratori MDM possono anche verificare che la password recoveryOS corretta sia impostata utilizzando il comando VerifyRecoveryLock.
Nota: impostare una password di recoveryOS non impedisce il ripristino di un Mac con chip Apple tramite la modalità DFU utilizzando Apple Configurator, l’opzione rende inoltre crittograficamente inaccessibili i dati precedenti sul Mac.
Utility Sicurezza Avvio
Sui Mac basati su Intel che dispongono del chip di sicurezza Apple T2, Utility Sicurezza Avvio gestisce varie impostazioni relative alle politiche di sicurezza. L’utility è accessibile avviando il computer in recoveryOS e selezionando Utility Sicurezza Avvio del menu Utility e protegge le impostazioni di sicurezza supportate da un’eventuale manipolazione di un malintenzionato.
La politica per l’avvio protetto può essere configurata con una delle tre seguenti impostazioni: “Sicurezza totale”, “Sicurezza media” e “Nessuna sicurezza”. “Nessuna sicurezza” disabilita completamente la valutazione per l’avvio protetto sul processore Intel e consente all’utente di avviare qualsiasi dispositivo.
Per ulteriori informazioni sulle politiche di sicurezza, consulta Utility Sicurezza Avvio su un Mac con chip di sicurezza Apple T2 in Sicurezza della piattaforma Apple.
Utility Password Firmware
I Mac senza Apple Silicon supportano l’uso di una password per evitare modifiche accidentali delle impostazioni del firmware su un Mac specifico. La password per il firmware viene utilizzata per impedire agli utenti di selezionare modalità di avvio alternative, come l’avvio in recoveryOS o in modalità utente singolo, l’avvio da un volume non autorizzato o l’avvio in modalità disco di destinazione. La password del firmware può essere impostata, aggiornata o rimossa utilizzando la linea di comando firmwarepasswd, Utility Password Firmware o MDM. Perché MDM sia in grado di aggiornare o inizializzare la password del firmware, è necessario che la soluzione conosca la password esistente, se applicabile.
Nota: impostare una password del firmware non impedisce il ripristino del firmware del chip di sicurezza Apple T2 attraverso la modalità DFU utilizzando Apple Configurator. Quando il Mac viene ripristinato, qualsiasi password del firmware impostata sul dispositivo viene rimossa e i dati sull’archivio interno vengono inizializzati in modo sicuro.