Oppstartssikkerhet i macOS
Med sikkerhetskriterier for oppstart kan du begrense hvem som kan starte en Mac og hvilke enheter som kan brukes til å starte Macen.
Sikkerhetskriteriekontroll for Startdisk for Macer med Apple-chip
Til forskjell fra sikkerhetskriterier på Intel-baserte Macer er det på Macer med Apple-chip støtte for sikkerhetsregler for hvert installerte operativsystem. Dette betyr at flere installerte forekomster av macOS med ulike versjonsnumre og sikkerhetskriterier kan eksistere på samme maskin. En operativsystemvelger er derfor tilgjengelig i Oppstartssikkerhetsverktøy.
På Macer med Apple-chip kan du se den brukerkonfigurerte sikkerheten for macOS i Oppstartssikkerhetsverktøy, for eksempel for oppstart av kjerneutvidelser og konfigurering av System Integrity Protection (SIP). Hvis endring av en sikkerhetsinnstilling ville degradere sikkerheten betydelig eller gjøre systemet lettere å kompromittere, må brukerne starte maskinen på nytt i recoveryOS ved å holde nede av/på-knappen (slik at skadelig programvare ikke kan utløse signalet, kun et menneske med fysisk tilgang kan gjøre det), for å utføre endringen. På grunn av dette krever (eller støtter) ikke Macer med Apple-chip et firmwarepassord – alle viktige endringer krever allerede brukerautorisering. Du finner mer informasjon om SIP under System Integrity Protection i Apple-plattformsikkerhet.
Organisasjoner kan forhindre tilgang til recoveryOS-miljøet, inkludert skjermen for oppstartsalternativer, ved å bruke et recoveryOS-passord, tilgjengelig i macOS 11.5 eller nyere. Hvis du vil ha mer informasjon, kan du se delen om recoveryOS-passord under.
Sikkerhetskriterier
Det finnes tre sikkerhetskriterier for Macer med Apple-chip:
Full sikkerhet: Systemet oppfører seg som iOS og iPadOS, og tillater kun oppstartsprogramvaren som var den nyeste som var tilgjengelig på installeringstidspunktet.
Redusert sikkerhet: Dette kriterienivået tillater at systemet kjører eldre versjoner av macOS. Siden eldre versjoner av macOS naturlig nok har ikke-oppdaterte sårbarheter, beskrives denne sikkerhetsmodusen som Redusert. Dette er også kriterienivået som må konfigureres manuelt for å kunne støtte oppstart av kjerneutvidelser (kexts) uten bruk av MDM-løsning og automatisert enhetsregistrering med Apple School Manager, Apple Business Manager eller Apple Business Essentials.
Middels sikkerhet: Dette kriterienivået støtter brukere som bygger, signerer og starter sine egne tilpassede XNU-kjerner. System Integrity Protection (SIP) må være deaktivert før aktivering av Middels sikkerhet-modus. Du finner mer informasjon under System Integrity Protection i Apple-plattformsikkerhet.
Du finner mer informasjon om sikkerhetskriteriene under Kontroll av sikkerhetsregelsett for Startdisk for Macer med Apple-chip i Apple-plattformsikkerhet.
recoveryOS-passord
En Mac med Apple-chip og macOS 11.5 eller nyere støtter at det opprettes et recoveryOS-passord ved hjelp av MDM og SetRecoveryLock-kommandoen. Hvis recoveryOS-passordet ikke angis, får ikke brukeren tilgang til gjenopprettingsmiljøet, inkludert skjermen med oppstartsalternativer. recoveryOS-passord kan bare angis med MDM, og for at MDM skal kunne oppdatere eller fjerne et eksisterende passord, må det nåværende passordet oppgis. Når en Mac med recoveryOS-passord fjernes fra MDM, vil passordet også fjernes, siden recoveryOS-passordet bare kan angis, oppdateres eller fjernes via MDM. MDM-administratorer kan også bruke den nye VerifyRecoveryLock-kommandoen til å kontrollere at det riktige recoveryOS-passordet er angitt.
Merk: Angivelse av et recoveryOS-passord forhindrer ikke gjenoppretting av en Mac med Apple-chip gjennom DFU-modus ved hjelp av Apple Configurator, som også gjør tidligere data på Macen kryptografisk utilgjengelige.
Oppstartssikkerhetsverktøy
På Intel-baserte Macer med Apple T2-sikkerhetsbrikke håndterer Oppstartssikkerhetsverktøy en rekke innstillinger for sikkerhetskriterier. Verktøyet er tilgjengelig når du starter i recoveryOS og velger Oppstartssikkerhetsverktøy fra Verktøy-menyen, og det beskytter støttede sikkerhetsinnstillinger fra enkel manipulering av en angriper.
Sikker oppstart-regelen kan konfigureres med en av tre innstillinger: Full sikkerhet, Middels sikkerhet og Ingen sikkerhet. Ingen sikkerhet deaktiverer sikker oppstart-evaluering helt på Intel-prosessoren og tillater at brukere kan starte hva de vil.
Du finner mer informasjon om sikkerhetskriteriene under Oppstartssikkerhetsverktøy på Macer med Apple T2-sikkerhetsbrikke i Apple-plattformsikkerhet.
Firmwarepassordverktøy
Macer uten Apple-chip støtter bruk av et firmwarepassord for å hindre utilsiktede endringer av firmwareinnstillinger på Macer. Firmwarepassordet brukes til å hindre at brukerne kan velge alternative oppstartsmoduser som oppstart i recoveryOS eller enkeltbrukermodus, oppstart fra et uautorisert volum eller oppstart i måldiskmodus. Firmwarepassord kan angis, oppdateres eller fjernes med firmwarepasswd-kommandolinjeverktøyet, Firmwarepassordverktøy eller MDM. For at MDM skal kunne oppdatere eller fjerne et firmwarepassord, må man vite det eksisterende passordet, hvis det er aktuelt.
Merk: Angivelse av et firmwarepassord forhindrer ikke gjenoppretting av Apple T2-sikkerhetsbrikke-firmware gjennom DFU-modus ved hjelp av Apple Configurator. Når Macen gjenopprettes, vil eventuelt firmwarepassord på enheten fjernes, og dataene på det interne volumet slettes på en sikker måte.