Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 證書」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 保安」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關網域」承載資料設定
- 「自動證書管理環境」(ACME)承載資料設定
- 「自主單一 App 模式」承載資料設定
- 「日曆」承載資料設定
- 「流動網絡」承載資料設定
- 「私人流動網絡」承載資料設定
- 「證書偏好設定」承載資料設定
- 「證書撤銷」承載資料設定
- 「證書透明度」承載資料設定
- 「證書」承載資料設定
- 「會議室顯示器」承載資料設定
- 「通訊錄」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸的單一登入」承載資料設定
- 「可延伸的單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理」承載資料設定
- 「Google 帳户」承載資料設定
- 「主畫面圖示排列」承載資料設定
- 「識別身份」承載資料設定
- 「身份偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「Lights Out 管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 「登入視窗」承載資料設定
- 管理式「登入項目」承載資料設定
- 「郵件」承載資料設定
- 「網絡使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 「密碼」承載資料設定
- 「列印」承載資料設定
- 「私隱偏好設定規則控制項目」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「保安」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閲的日曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統轉移」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修正記錄
- 版權
macOS 上的開機保安
開機保安規則有助限制可以使 Mac 開機的對象,以及可以用於啟動 Mac 的裝置。
在配備 Apple 晶片的 Mac 上的開機磁碟保安規則控制
與以 Intel 為基礎的 Mac 電腦的保安規則不同,配備 Apple 晶片的 Mac 的保安規則支援每個已安裝的作業系統。 這表示同一部機器上,可以存在多個已安裝的 macOS 實例(包含不同版本和保安規則)。 因此,已在「開機保安工具程式」中加入了作業系統選擇器。
在配備 Apple 晶片的 Mac 上,「開機保安工具程式」會顯示 macOS 的整體用户設定保安狀態,例如啟動 kext 或「系統完整保護」(SIP)設定。 如更改保安設定會顯著降低保安或使系統容易受到攻擊,用户必須透過按住電源按鈕重新開機進入 RecoveryOS(如此惡意軟件無法觸發訊號,只能由人手實體取用)以作出更改。 因此,配備 Apple 晶片的 Mac 也不需要(或支援)韌體密碼,所有重大更改都受用户授權保護。 如需更多 SIP 的資料,請參閲「Apple 平台保安」中的系統完整保護。
不過,機構可以透過使用 RecoveryOS 密碼,避免 RecoveryOS 環境(包括啟動選項畫面)被取用,此功能適用於 macOS 11.5 或較新版本。 如需更多資料,請參閲以下的 RecoveryOS 密碼部份。
保安規則
配備 Apple 晶片的 Mac 上有三項保安規則:
完整保安: 系統行為如同 iOS 和 iPadOS,並只允許已知是安裝時可用的最新開機軟件。
較低保安: 此規則等級允許系統執行較舊版本的 macOS。 因為較舊版本的 macOS 定必有未修補的漏洞,此保安模式被稱為較低。 這也是支援開機核心延伸功能(kext)所需的規則層級(需要手動設定),無需使用流動裝置管理(MDM)解決方案,以及配搭 Apple School Manager、Apple Business Manager 或 Apple Business Essentials 使用「自動裝置註冊」」。
寛鬆保安: 此規則等級支援正在建立、簽署和啟動其的自訂 XNU 核心的用户。 系統完整保護(SIP)必須在啟用「寬鬆保安模式」前停用。 如需更多資料,請參閲「Apple 平台保安」中的系統完整保護。
如需保安規則的更多資料,請參閲「Apple 平台保安」中的配備 Apple 晶片的 Mac 之「啟動磁碟」保安規則控制。
RecoveryOS 密碼
使用 macOS 11.5 或較新版本的配備 Apple 晶片的 Mac 支援使用 MDM 來使用 SetRecoveryLock 指令設定 RecoveryOS 密碼。 除非已輸入 RecoveryOS 密碼,否則用户會被阻止取用還原環境,包括啟動選項畫面。 只能使用 MDM 設定 RecoveryOS 密碼,而且 MDM 要更新或移除現有密碼的話,用户也必須提供目前的密碼。 因為 RecoveryOS 密碼只能透過 MDM 設定、更新或移除,所以將 Mac 電腦從已設定 RecoveryOS 密碼的 MDM 取消註冊時,該密碼也會被移除。 MDM 管理員也可以透過新的 VerifyRecoveryLock 指令來驗證已設定的正確 RecoveryOS 密碼。
附註:設定 RecoveryOS 密碼不會阻止配備 Apple 晶片的 Mac 透過「DFU 模式」使用 Apple Configurator 來進行還原,其也會以加密方式算繪之前 Mac 上無法取用的資料。
開機保安工具程式
在配備 Apple T2 安全晶片、以 Intel 為基礎的 Mac 電腦上,「開機保安應用程式」會處理許多保安規則設定。 啟動 RecoveryOS 以及從「工具程式」選單中選擇「開機保安工具程式」便可取用工具程式,並保護受支援的保安設定,以免輕易受攻擊者操縱。
安全開機規則可選用以下三項設定的其中之一: 「完整保安」、「中等保安」及「無保安」。 「無保安」會徹底停用 Intel 處理器上的安全開機評估,且允許用户以其所想的任何方式開機。
如需保安規則的更多資料,請查看「Apple 平台保安」的配備 Apple T2 安全晶片的 Mac 之開機保安工具程式。
韌體密碼工具程式
未配備 Apple 晶片的 Mac 電腦支援使用韌體密碼來阻止在特定 Mac 上對韌體設定進行非預期的修改。 韌體密碼用來防止用户選取其他啟動模式,包括啟動 RecoveryOS 或「單一用户模式」、從未經授權的卷宗啟動、或啟動目標磁碟模式。 可以使用 firmwarepasswd 命令列、「韌體密碼工具程式」或 MDM 來設定、更新或移除韌體密碼。 至於 MDM 如要更新或清除韌體密碼,其必須先知道現有的密碼(現有)。
附註:設定韌體密碼不會阻止 Apple T2 安全晶片韌體透過「DFU 模式」使用 Apple Configurator 來進行還原。 在 Mac 還原時,裝置上任何已設定的韌體密碼都會被移除,然後內置儲存空間上的資料都會被安全地清除。