Styring af sikkerhedspolitik for Startdisk på en Mac med Apple Silicon

Oversigt

I modsætning til sikkerhedspolitikker på en Intel-baseret Mac har de installerede operativsystemer på en Mac med Apple Silicon hver sin sikkerhedspolitik. Det betyder, at flere installerede forekomster af macOS med forskellige versioner og sikkerhedspolitikker understøttes på samme Mac. Det er årsagen til, at der er føjet en operativsystemvælger til Startsikkerhedsværktøj.

På en Mac med Apple Silicon viser Startsikkerhedsværktøj den overordnede brugerkonfigurerede sikkerhedstilstand for macOS som f.eks. starten af en kext eller konfigurationen af System Integrity Protection (SIP). Hvis ændring af en sikkerhedsindstilling vil nedsætte sikkerheden væsentligt eller gøre det lettere at kompromittere systemet, skal brugerne starte macOS-gendannelse ved at holde afbryderknappen nede (så signalet ikke kan udløses af malware, kun af en person med fysisk adgang) for at foretage ændringen. Det betyder, at en Apple Silicon-baseret Mac ikke har behov for (eller understøtter) en firmwareadgangskode, da alle kritiske ændringer allerede er beskyttet af brugerens godkendelse. Du kan få flere oplysninger om SIP i Beskyttelse af systemets integritet.

Fuld sikkerhed og Reduceret sikkerhed kan indstilles via Startsikkerhedsværktøj fra macOS-gendannelse. Tolerant sikkerhed kan derimod kun tilgås fra kommandolinjeværktøjer af brugere, som accepterer risikoen ved at gøre deres Mac-computer langt mindre sikker.

Politik for Fuld sikkerhed

Fuld sikkerhed er standard, og det fungerer som ved iOS og iPadOS. Når softwaren hentes og gøres klar til installering, kommunikerer macOS med den samme Apple-signeringsserver, som bruges til iOS og iPadOS, og anmoder om en ny “personliggjort” signatur frem for at bruge den globale signatur, som leveres sammen med softwaren. En signatur er personliggjort, når den indeholder ECID (Exclusive Chip Identification) – et unikt id, der er specifikt for Apple CPU’en i dette tilfælde – som en del af signeringsanmodningen. Signaturen, der leveres tilbage af signeringsserveren, er derfor unik og kan kun bruges af den pågældende Apple CPU. Når politikken for Fuld sikkerhed er slået til, er Boot ROM og LLB med til at sikre, at en given signatur ikke kun er signeret af Apple, men er signeret til netop den pågældende Mac-computer, så denne version af macOS bliver knyttet til præcis denne Mac.

Brug af en onlinesigneringsserver giver også bedre beskyttelse mod rollback-angreb end typiske globale signeringsstrategier. I et globalt signeringssystem kan sikkerhedsepoken have kørt mange gange, men det ved et system, som ikke har den seneste firmware, ikke. Eksempelvis kan en computer, som nu tror, at den befinder sig i sikkerhedsepoke 1, acceptere software fra sikkerhedsepoke 2, selvom den faktiske nuværende sikkerhedsepoke er 5. Med et Apple Silicon-baseret onlinesigneringssystem kan signeringsserveren afvise at oprette signaturer til software, der befinder sig i en anden sikkerhedsepoke end den nyeste.

Ligeledes kan en hacker, der har opdaget en sikkerhedsrisiko efter en sikkerhedsepokeændring, ikke bare tage den sårbare software fra en tidligere epoke fra system A og benytte den i system B til at indlede et angreb. Da den sårbare software fra en tidligere epoke er blevet personliggjort til system A, kan den ikke overføres og dermed bruges til at angribe system B. Alle disse funktionaliteter arbejder sammen for at tilbyde meget stærkere garantier for, at personer med ondsindede hensigter ikke med vilje kan lægge sårbar software på en Mac for at omgå den sikkerhed, som den seneste software giver. Men en bruger, som er i besiddelse af et administratorbrugernavn og en adgangskode til Mac, kan altid vælge den sikkerhedspolitik, som passer bedst til vedkommendes situation.

Politik for Reduceret sikkerhed

Reduceret sikkerhed svarer nogenlunde til Middel sikkerhed på en Intel-baseret Mac med en T2-chip, hvor en producent (i dette tilfælde Apple) genererer en digital signatur til koden for at fastslå, at den kommer fra producenten. Dette design er med til at forhindre hackere i at introducere kode, der ikke er signeret. Apple kalder denne type signatur en “global” signatur, fordi den kan bruges på enhver Mac, lige så længe det skal være, hvis den er konfigureret med Reduceret sikkerhed. Reduceret sikkerhed beskytter ikke i sig selv mod rollback-angreb (selvom ikke-godkendte ændringer af operativsystemet kan medføre, at der ikke længere kan fås adgang til brugerdata). Du kan få flere oplysninger i Kerneudvidelser på en Mac med Apple Silicon.

Reduceret sikkerhed giver brugerne mulighed for at afvikle ældre versioner af macOS, men Reduceret sikkerhed er også nødvendig for andre handlinger, som udsætter brugerens systemsikkerhed for risiko. Det gælder bl.a. introduktion af kerneudvidelser (kext’er) fra tredjeparter. Kext'er har samme rettigheder som kernen, og dermed kan eventuelle sikkerhedshuller i kext'er fra tredjeparter føre til kompromittering af hele operativsystemet. Derfor opfordres udviklere på det kraftigste til at benytte systemudvidelser, inden understøttelse af kext fjernes fra macOS til fremtidige Mac-computere med Apple Silicon. Selvom kext’er fra tredjeparter er slået til, kan de ikke indlæses i kernen efter behov. Kext’erne lægges i stedet i en sekundær kernesamling (AuxKC), hvis hash-værdi opbevares i LocalPolicy, og de kræver derfor en genstart. Du kan få flere oplysninger om generering af AuxKC i Sikker udvidelse af kernen i macOS.

Politik for Tolerant sikkerhed

Tolerant sikkerhed er til brugere, som accepterer risikoen ved at indstille deres Mac til en langt mere usikker tilstand. Denne funktion er forskellig fra funktionen Ingen sikkerhed på en Intel-baseret Mac med en T2-chip. Med Tolerant sikkerhed udføres godkendelse med signatur stadig i hele den sikre startkæde, men når politikken indstilles til Tolerant, er det et signal til iBoot om, at den skal acceptere lokalt Secure Enclave-signerede startobjekter, f.eks. en brugergenereret kernesamling til systemstart, der er bygget ud fra en speciel XNU-kerne. På den måde giver Tolerant sikkerhed også mulighed i arkitekturen for at afvikle en vilkårlig “operativsystem helt uden godkendelse”-kerne. Når en speciel kernesamling til systemstart eller et operativsystem helt uden godkendelse indlæses i systemet, fjernes adgangen til visse krypteringsnøgler. Det har til formål at forhindre, at et operativsystem helt uden godkendelse får adgang til data fra godkendte operativsystemer.

Der er en anden forskel på Tolerant sikkerhed og Ingen sikkerhed på en Intel-baseret Mac med en T2-chip: Tolerant sikkerhed er en forudsætning for visse nedgraderinger af sikkerheden, som tidligere kunne håndteres særskilt. Bemærk især, at deaktivering af beskyttelsen af systemets integritet (SIP) på en Mac med Apple Silicon kræver, at brugeren bekræfter sin hensigt til at indstille systemet til Tolerant sikkerhed. Det er et krav, fordi deaktivering af SIP altid har sat systemet i en tilstand, som gør kernen meget lettere at kompromittere. Deaktivering af SIP på en Mac med Apple Silicon medfører, at håndhævelse af kext-signaturer slås fra under genereringen af AuxKC, og dermed kan enhver vilkårlig kext indlæses i kernehukommelsen. En anden forbedring af SIP, der er foretaget på en Mac med Apple Silicon, er, at lageret til politikker er flyttet fra NVRAM til LocalPolicy. Det betyder, at deaktivering af SIP nu kræver, at en bruger, som har adgang til signeringsnøglen til LocalPolicy, godkender deaktiveringen fra macOS-gendannelse (som brugeren starter ved at trykke på afbryderknappen og holde den nede). Det gør det betydeligt sværere for en softwarehacker eller endda en fysisk tilstedeværende hacker at slå SIP fra.

Det er ikke muligt at nedgradere til Tolerant sikkerhed fra appen Startsikkerhedsværktøj. Brugerne kan kun nedgradere ved at bruge kommandolinjeværktøjer fra Terminal i macOS-gendannelse, f.eks. csrutil (til at slå SIP fra). Når brugeren har nedgraderet, afspejles handlingen i Startsikkerhedsværktøj, så en bruger nemt kan indstille sikkerheden på et mere sikkert niveau.