macOS’te başlangıç güvenliği
Başlangıç güvenliği politikaları, bir Mac’i kimin başlatabileceğini ve Mac’i başlatmak için hangi aygıtların kullanılabileceğini sınırlamaya yardımcı olabilir.
Apple Silicon çipli bir Mac için Başlangıç Diski güvenlik politikası denetimi
Intel tabanlı Mac bilgisayarlarındaki güvenlik politikalarının aksine, Apple Silicon çipli bir Mac’teki güvenlik politikaları yüklü olan her bir işletim sistemi için desteklenir. Bu, farklı sürümlere ve güvenlik politikalarına sahip birden fazla yüklü macOS örneğinin aynı makinede bulunabileceği anlamına gelir. Bu nedenle, Başlangıç Güvenliği İzlencesi’ne bir işletim sistemi seçici eklenmiştir.
Apple Silicon çipli bir Mac’te Başlangıç Güvenliği İzlencesi, bir kext’in başlatılması ya da Sistem Bütünlük Koruması’nın (SIP) konfigürasyonu gibi macOS’in genel kullanıcı ayarlı güvenlik durumunu gösterir. Bir güvenlik ayarını değiştirmek güvenliği önemli ölçüde azaltıyor ya da sistemin daha kolay ihlal edilmesine neden oluyorsa kullanıcıların bu değişikliği yapmak için açma/kapama düğmesini basılı tutarak recoveryOS modunda yeniden başlatması gerekir (böylece kötü amaçlı yazılım sinyali başlatamaz, yalnızca fiziksel erişimi olan bir insan başlatabilir). Bu nedenle, Apple Silicon çipli bir Mac firmware parolası gerektirmez (veya desteklemez); tüm önemli değişiklikler zaten kullanıcı yetkilendirmesinden geçer. SIP hakkında daha fazla bilgi için Apple Platform Güvenliği’ndeki Sistem Bütünlük Koruması bölümüne bakın.
Ancak kuruluşlar, macOS 11.5 veya daha yenisinde bulunan recoveryOS parolasının kullanımı yoluyla başlangıç seçenekleri ekranı da dahil olmak üzere recoveryOS ortamına erişimi engelleyebilir. Daha fazla bilgi için aşağıdaki recoveryOS parolası bölümüne bakın.
Güvenlik politikaları
Apple Silicon çipli bir Mac için üç güvenlik politikası vardır:
Tam Güvenlik: Sistem iOS ve iPadOS gibi davranır ve yalnızca yükleme zamanında kullanılabilir olan en yeni yazılım olduğu bilinen başlatma yazılımına izin verir.
Azaltılmış Güvenlik: Bu politika düzeyi sistemin macOS’in eski sürümlerini çalıştırmasına izin verir. macOS’in eski sürümlerinde kaçınılmaz olarak programlanmamış güvenlik açıkları olduğundan bu güvenlik modu Azaltılmış olarak tanımlanır. Bu, bir mobil aygıt yönetimi (MDM) çözümünü ve Apple Okul Yönetimi, Apple İşletme Yönetimi veya Apple İşletme Temelleri ile Otomatik Aygıt Kaydı’nı kullanmadan çekirdek genişletmelerini (kext) başlatmayı desteklemek için de elle ayarlanması gereken politika düzeyidir.
Sıkı Olmayan Güvenlik: Bu politika düzeyi, kendi özel XNU çekirdeklerini oluşturan, imzalayan ve başlatan kullanıcıları destekler. Sistem Bütünlük Koruması (SIP), Sıkı Olmayan Güvenlik modu etkinleştirilmeden önce etkisizleştirilmelidir. Daha fazla bilgi için Apple Platform Güvenliği’ndeki Sistem Bütünlük Koruması bölümüne bakın.
Güvenlik politikalarıyla ilgili daha fazla bilgi için Apple Platform Güvenliği’ndeki Apple Silicon çipli bir Mac’te Başlangıç Diski güvenlik politikası denetimi konusuna bakın.
recoveryOS parolası
Apple Silicon çipli ve macOS 11.5 veya daha yenisini kullanan bir Mac, MDM’yi kullanarak SetRecoveryLock komutuyla recoveryOS parolası ayarlamayı destekler. recoveryOS parolası girilmediği sürece kullanıcının başlangıç seçenekleri ekranı da dahil olmak üzere recoveryOS ortamına erişimi engellenir. recoveryOS parolası yalnızca MDM kullanılarak ayarlanabilir ve MDM’nin var olan parolayı güncellemesi veya silmesi için mevcut parolanın da sağlanması gerekir. recoveryOS parolası yalnızca MDM üzerinden ayarlanabildiği, güncellenebildiği veya kaldırılabildiği için recoveryOS parolasına sahip bir Mac bilgisayarının MDM kaydı silindiğinde parola da kaldırılır. MDM yöneticileri, VerifyRecoveryLock komutunu kullanarak doğru recoveryOS parolasının ayarlandığını da doğrulayabilir.
Not: recoveryOS parolasının ayarlanması, Apple Silicon çipli bir Mac bilgisayarının DFU Modu’nda Apple Configurator kullanılarak geri yüklenmesini (bu yöntem de Mac’te daha önceden bulunan verileri şifreleyerek erişilemez hâle getirir) engellemez.
Başlangıç Güvenliği İzlencesi
Apple T2 Güvenlik Çipi’ne sahip Intel tabanlı Mac bilgisayarlarında, Başlangıç Güvenliği İzlencesi birçok güvenlik politikası ayarını kullanır. İzlenceye, recoveryOS ile başlatıp İzlenceler menüsünden Başlangıç Güvenliği İzlencesi’ni seçerek erişilebilir ve izlence, desteklenen güvenlik ayarlarının bir saldırgan tarafından kolayca manipüle edilmeye karşı korur.
Güvenli başlatma politikası şu üç ayardan birine ayarlanabilir: Tam Güvenlik, Orta Düzey Güvenlik ve Güvenlik Yok. Güvenlik Yok, Intel işlemcide güvenli başlatma değerlendirmesini tamamen etkisizleştirir ve kullanıcının istediği şeyle başlatmasına izin verir.
Güvenlik politikaları hakkında daha fazla bilgi için Apple Platform Güvenliği’ndeki Apple T2 Güvenlik Çipi’ne sahip bir Mac’te Başlangıç Güvenliği İzlencesi konusuna bakın.
Firmware Parola İzlencesi
Apple Silicon bulunmayan Mac bilgisayarları, belirli bir Mac’te bulunan firmware ayarlarının istemeden değiştirilmesini engellemek için Firmware Parolası kullanımını destekler. Firmware Parolası; kullanıcıların recoveryOS veya Tek Kullanıcı Modu ile başlatma gibi alternatif başlatma modlarını seçmesini, yetkisiz bir disk bölümünden başlatmasını ya da Hedef Disk Modu ile başlatmasını engellemek için kullanılır. Firmware parolası; firmwarepasswd komut satırı aracı, Firmware Parola İzlencesi veya MDM kullanılarak ayarlanabilir, güncellenebilir veya silinebilir. MDM’nin firmware parolasını güncelleyebilmesi veya silebilmesi için önce varsa mevcut parolayı bilmesi gerekir.
Not: Firmware parolasının ayarlanması, Apple T2 Güvenlik Çipi firmware’inin DFU Modu’nda Apple Configurator kullanılarak geri yüklenmesini engellemez. Mac geri yüklendiğinde aygıtta ayarlanmış firmware parolası silinir ve dahili depolama aygıtındaki veriler güvenli bir şekilde silinir.