Zabezpečenie štartovania v macOS
Pravidlá zabezpečeného štartovania pomáhajú obmedziť, kto môže spúšťať Mac a aké zariadenia je možné na spúšťanie Macu používať.
Ovládanie pravidiel zabezpečenia spúšťacieho disku na Macu s Apple čipom
Na rozdiel od bezpečnostných pravidiel počítačov Mac s procesormi Intel sú bezpečnostné pravidlá na Macoch s Apple čipom podporované pre každý nainštalovaný operačný systém. Znamená to, že na rovnakom zariadení môžu existovať viaceré inštancie systému macOS s rôznymi verziami a bezpečnostnými pravidlami. Preto bola na Utility zabezpečeného štartovania pridaná možnosť výberu operačného systému.
Na počítači Mac s Apple čipom Utilita zabezpečeného štartovania indikuje celkový stav zabezpečenia systému macOS nakonfigurovaný užívateľom, ako napríklad štartovanie kextu alebo konfiguráciu ochrany integrity systému (SIP). V prípade, že by zmena nastavenia zabezpečenia zásadne znižovala bezpečnosť alebo mohla spôsobovať jednoduchšie napadnutie systému, užívatelia musia pred vykonaním daných zmien reštartovať do recoveryOS podržaním zapínacieho tlačidla (takže tento signál nedokáže spustiť škodlivý softvér, ale len človek s fyzickým prístupom). Z tohto dôvodu počítače Mac s Apple čipom takisto nebudú vyžadovať (ani podporovať) heslo firmvéru, keďže všetky kritické zmeny sú už povolené autorizáciou užívateľa. Ďalšie informácie o SIP nájdete v téme Ochrana integrity systému v príručke Bezpečnosť platforiem Apple.
Organizácie však môžu zabrániť prístupu k prostrediu recoveryOS vrátane obrazovky s počiatočnými nastaveniami, a to použitím hesla pre recoveryOS, čo je funkcia dostupná v macOS 11.5 alebo novšom. Viac informácií nájdete v časti o hesle pre recoveryOS nižšie.
Pravidlá zabezpečenia
Na Macoch s Apple čipom existujú tri pravidlá zabezpečenia:
Plné zabezpečenie: Systém sa správa ako iOS a iPadOS a povoľuje len spúšťací softvér, ktorý bol v čase inštalácie známy ako najnovší dostupný.
Znížené zabezpečenie: Táto úroveň pravidiel umožňuje systému spúšťať staršie verzie macOS. Keďže staršie verzie macOS majú nevyhnutne aj nevyriešené slabiny, tento režim zabezpečenia je známy ako Znížený. Táto úroveň pravidiel tiež vyžaduje manuálnu konfiguráciu na podporu štartovania rozšírení kernelu (kexts) bez použitia riešenia na správu mobilných zariadení (MDM) automatickej registrácie zariadenia pomocou nástrojov Apple School Manager, Apple Business Manager alebo Apple Business Essentials.
Priepustné zabezpečenie: Táto úroveň pravidiel podporuje užívateľov, ktorí budujú, podpisujú a spúšťajú svoje vlastné, prispôsobené kernely XNU. Ochrana integrity systému (SIP) musí byť pred povolením režimu Permissive Security zakázaná. Ďalšie informácie nájdete v téme Ochrana integrity systému v príručke Bezpečnosť platforiem Apple.
Ďalšie informácie o pravidlách zabezpečenia nájdete v téme Ovládanie pravidiel zabezpečenia spúšťacieho disku na Macu s Apple čipom v príručke Bezpečnosť platforiem Apple.
Heslo pre recoveryOS
Macy s čipom Apple a systémom macOS 11.5 alebo novším podporujú nastavenie hesla pre režim recoveryOS pomocou príkazu SetRecoveryLock riešenia MDM. Ak nie je heslo režimu recoveryOS zadané, užívateľ nemá prístup do prostredia obnovy vrátane obrazovky s možnosťami spustenia. Heslo pre recoveryOS je možné nastaviť len pomocou MDM a na aktualizáciu alebo odstránenie existujúceho hesla cez MDM je takisto potrebné zadať aktuálne heslo. Keďže heslo režimu recoveryOS je možné nastaviť, aktualizovať alebo odstrániť výlučne cez riešenie MDM, odregistrovaním počítača Mac z riešenia MDM, ktoré heslo režimu recoveryOS nastavilo, sa odstráni aj toto heslo. Správcovia riešenia MDM môžu tiež pomocou príkazu VerifyRecoveryLock overiť, či je heslo režimu recoveryOS nastavené správne.
Poznámka: Nastavenie hesla pre recoveryOS nezabraňuje obnoveniu počítačov Mac s Apple čipom pomocou režimu DFU a s použitím Apple Configuratora, ktorý zároveň predošlé dáta na Macu zmení na kryptograficky neprístupné.
Utilita zabezpečeného štartovania
Na počítačoch Mac s procesormi Intel s bezpečnostným čipom Apple T2 Utilita zabezpečeného štartovania ovláda množstvo nastavení pravidiel zabezpečenia. K utilite je možný prístup po spustení počítača v recoveryOS a výbere Utility zabezpečeného štartovania v menu Utility a chráni podporované bezpečnostné nastavenia pred jednoduchou manipuláciou útočníkom.
Pravidlá zabezpečeného štartovania možno nakonfigurovať na jedno z troch nastavení: Plné zabezpečenie, Stredné zabezpečenia alebo Bez zabezpečenia. Pri nastavení Bez zabezpečenia sa vyhodnocovanie zabezpečeného štartovania procesorom Intel úplne vypne a užívateľ môže počítač spustiť s akýmkoľvek kódom.
Ďalšie informácie o pravidlách zabezpečenia nájdete v téme Utilita zabezpečeného štartovania na Macoch s bezpečnostným čipom Apple T2 v príručke Bezpečnosť platforiem Apple.
Utilita hesla firmvéru
Počítače Mac bez Apple čipu podporujú používanie hesla firmvéru s cieľom zabrániť nežiaducim úpravám nastavení firmvéru v konkrétnom Macu. Heslo firmvéru slúži na zabránenie užívateľom vyberať alternatívne režimy štartovania, ako je napríklad spustenie počítača do systému recoveryOS, v režime jedného užívateľa, z neautorizovaného oddielu alebo do režimu cieľového disku. Heslo firmvéru je možné nastaviť, aktualizovať alebo aj odstrániť pomocou nástroja príkazového riadka firmwarepasswd, Utility hesla firmvéru alebo MDM. MDM dokáže aktualizovať alebo vyčistiť heslo firmvéru až keď pozná existujúce heslo.
Poznámka: Nastavenie hesla firmvéru nezabráni obnoveniu firmvéru bezpečnostného čipu Apple T2 cez režim DFU s použitím Apple Configuratora. Po obnovení Macu sa heslo firmvéru nastavené na zariadení odstráni a dáta na internom úložisku sa vymažú zabezpečeným spôsobom.