Keselamatan permulaan dalam macOS
Dasar keselamatan permulaan boleh membantu mengehadkan orang yang boleh memulakan Mac dan peranti yang boleh digunakan untuk memulakan Mac.
Kawalan dasar keselamatan Cakera Permulaan pada Mac dengan Apple silicon
Tidak seperti dasar keselamatan pada komputer Mac berasaskan Intel, dasar keselamatan pada Mac dengan Apple silicon disokong untuk setiap sistem pengendalian yang dipasang. Ini bermaksud beberapa keadaan macOS dipasang dengan versi berbeza dan dasar keselamatan boleh wujud pada mesin yang sama. Untuk sebab ini, pemilih sistem pengendalian telah ditambah kepada Utiliti Keselamatan Permulaan.
Pada Mac dengan Apple silicon, Utiliti Keselamatan Permulaan menandakan keadaan keselamatan keseluruhan dikonfigurasikan pengguna macOS, seperti pengebutan kext atau konfigurasi Perlindungan Integriti Sistem (SIP). Jika menukar seting keselamatan akan menurunkan taraf keselamatan dengan ketara atau menjadikan sistem lebih mudah untuk dicerobohi, pengguna mesti mula semula ke recoveryOS dengan menahan butang kuasa (supaya perisian hasad tidak boleh mencetuskan isyarat, hanya manusia dengan akses fizikal yang boleh) untuk membuat perubahan. Disebabkan ini, Mac dengan Apple silicon juga tidak memerlukan (atau menyokong) kata laluan perisian tegar—semua perubahan penting telah diget oleh kebenaran pengguna. Untuk mendapatkan maklumat lanjut tentang SIP, lihat Perlindungan Integriti Sistem dalam Keselamatan Platform Apple.
Walau bagaimanapun, organisasi menghalang akses ke persekitaran recoveryOS, termasuk skrin pilihan permulaan, menerusi penggunaan kata laluan recoveryOS, tersedia dalam macOS 11.5 atau lebih baharu. Untuk mendapatkan maklumat lanjut, lihat bahagian kata laluan recoveryOS di bawah.
Dasar keselamatan
Terdapat tiga dasar keselamatan untuk Mac dengan Apple silicon:
Keselamatan Penuh: Sistem berkelakuan seperti iOS dan iPadOS, serta membenarkan hanya mengebut perisian yang diketahui sebagai terbaharu yang tersedia pada masa pemasangan.
Keselamatan Dikurangkan: Paras dasar ini membenarkan sistem untuk menjalankan versi macOS yang lebih lama. Kerana versi macOS yang lebih lama mempunyai kelemahan yang tidak diperbaiki, mod keselamatan ini diterangkan sebagai Dikurangkan. Ini juga ialah paras dasar yang perlu untuk dikonfigurasikan secara manual bagi menyokong mengebut sambungan kernel (kexts) tanpa menggunakan penyelesaian pengurusan peranti mudah alih (MDM) dan Pendaftaran Peranti Diautomasikan dengan Apple School Manager, Apple Business Manager, atau Keperluan Perniagaan Apple.
Keselamatan Permisif: Paras dasar ini menyokong pengguna yang membina, menandatangani dan mengebut kernel XNU tersuai mereka sendiri. Perlindungan Integriti Sistem (SIP) mesti dinyahdayakan sebelum mendayakan Mod Keselamatan Permisif. Untuk mendapatkan maklumat lanjut, lihat Perlindungan Integriti Sistem dalam Keselamatan Platform Apple.
Untuk mendapatkan maklumat lanjut tentang dasar keselamatan, lihat Kawalan dasar keselamatan Cakera Permulaan pada Mac dengan Apple silicon dalam Keselamatan Platform Apple.
Kata laluan recoveryOS
Mac dengan Apple silicon yang menggunakan macOS 11.5 atau lebih baharu menyokong mengeset kata laluan recoveryOS menggunakan MDM menggunakan perintah SetRecoveryLock. Melainkan kata laluan recoveryOS dimasukkan, pengguna dihalang daripada mengakses persekitaran pemulihan, termasuk skrin pilihan permulaan. Kata laluan recoveryOS boleh disetkan hanya menggunakan MDM dan untuk MDM mengemas kini atau mengeluarkan kata laluan sedia ada, kata laluan semasa juga mesti diberikan. Disebabkan oleh kata laluan recoveryOS boleh disetkan, dikemas kini atau dikeluarkan hanya menerusi MDM, menyahdaftarkan komputer Mac daripada MDM yang telah disetkan kata laluan recoveryOS juga mengeluarkan kata laluan. Pentadbir MDM juga boleh mengesahkan kata laluan recoveryOS yang betul yang disetkan menggunakan perintah VerifyRecoveryLock.
Nota: Mengeset kata laluan recoveryOS tidak menghalang pemulihan komputer Mac dengan Apple silicon menerusi Mod DFU menggunakan Apple Configurator, yang juga menjadikan data sebelumnya pada Mac tidak boleh diakses secara kriptografi.
Utiliti Keselamatan Permulaan
Pada Mac berasaskan Intel dengan Cip Keselamatan T2 Apple, Utiliti Keselamatan Permulaan mengendalikan beberapa seting dasar keselamatan. Utiliti boleh diakses dengan mengebut ke recoveryOS dan memilih Utiliti Keselamatan Permulaan daripada menu Utiliti dan melindungi seting keselamatan yang disokong daripada manipulasi mudah oleh penyerang.
Dasar but selamat boleh dikonfigurasikan kepada satu daripada tiga seting: Keselamatan Penuh, Keselamatan Sederhana dan Tiada Keselamatan. Tiada Keselamatan menyahdayakan penilaian but selamat sepenuhnya pada pemproses Intel dan membenarkan pengguna untuk but apa sahaja yang mereka mahu.
Untuk mendapatkan maklumat lanjut tentang dasar keselamatan, lihat Utiliti Keselamatan Permulaan pada Mac dengan Cip Keselamatan T2 Apple dalam Keselamatan Platform Apple.
Utiliti Kata Laluan Perisian Tegar
Komputer Mac tanpa Apple silicon menyokong penggunaan Kata Laluan Perisian Tegar untuk menghalang pengubahsuaian seting perisian tegar yang tidak dimahukan pada Mac tertentu. Kata Laluan Perisian Tegar digunakan untuk menghalang pengguna daripada pemilihan mod but alternatif seperti but ke dalam recoveryOS atau Mod Pengguna Tunggal, but daripada volum yang tidak dibenarkan, atau but ke dalam Mod Cakera Sasaran. Kata laluan perisian tegar boleh disetkan, dikemas kini atau dikeluarkan menggunakan alat baris perintah firmwarepasswd, Utiliti Kata Laluan Perisian Tegar atau MDM. Untuk MDM boleh mengemas kini atau mengosongkan kata laluan perisian tegar, ia terlebih dahulu mesti mengetahui kata laluan sedia ada, jika perlu.
Nota: Mengeset kata laluan perisian tegar tidak menghalang pemulihan perisian tegar Cip Keselamatan T2 Apple menerusi Mod DFU menggunakan Apple Configurator. Apabila Mac dipulihkan, sebarang set kata laluan perisian tegar pada peranti dikeluarkan dan data pada storan dalaman dipadamkan secara selamat.