Perlindungan kata sandi firmware di Mac berbasis Intel
macOS di komputer Mac berbasis Intel dengan Keping Keamanan T2 Apple mendukung penggunaan Kata Sandi Firmware untuk membantu mencegah modifikasi pengaturan firmware yang tidak disengaja di Mac tertentu. Kata Sandi Firmware dirancang untuk mencegah pemilihan mode boot alternatif seperti boot ke recoveryOS atau Mode Pengguna Tunggal, boot dari volume yang tidak disahkan, atau boot ke mode disk target.
Catatan: Kata sandi firmware tidak diperlukan di Mac dengan Apple silicon, karena fungsi firmware penting yang dibatasi telah dipindahkan ke recoveryOS dan (saat FileVault diaktifkan) recoveryOS memerlukan pengesahan pengguna sebelum fungsi pentingnya dapat dijangkau.
Mode paling mendasar dari kata sandi firmware dapat dicapai dari Utilitas Kata Sandi Firmware recoveryOS di Mac berbasis Intel tanpa keping T2, dan dari Utilitas Keamanan Mulai di Mac berbasis Intel dengan keping T2. Pilihan lanjutan (seperti kemampuan untuk meminta kata sandi di setiap boot) tersedia dari alat baris perintah firmwarepasswd di macOS.
Pengaturan Kata Sandi Firmware secara khusus penting untuk mengurangi risiko serangan di komputer Mac berbasis Intel tanpa keping T2 dari penyerang yang memiliki akses langsung secara fisik. Kata Sandi Firmware dapat membantu mencegah penyerang untuk melakukan booting ke recoveryOS, tempat mereka dapat menonaktifkan Perlindungan Integritas Sistem (SIP). Dan dengan membatasi booting dari media alternatif, penyerang tidak dapat mengeksekusi kode yang memiliki hak dari sistem operasi lain agar dapat menyerang firmware periferal.
Mekanisme pengaturan ulang kata sandi firmware ada untuk membantu pengguna yang lupa kata sandinya. Pengguna menekan kombinasi tombol saat mulai dan diberikan string khusus model untuk disediakan ke AppleCare. AppleCare menandatangani secara digital sumber yang diperiksa tanda tangannya oleh Pengenal Sumber Seragam (URI). Jika tanda tangan disahkan dan kontennya dikhususkan bagi suatu Mac, firmware UEFI menghapus kata sandi firmware.
Untuk pengguna yang tidak ingin orang lain menghapus kata sandi firmware melalui metode perangkat lunak, pilihan -disable-reset-capability telah ditambahkan ke alat baris perintah firmwarepasswd di macOS 10.15. Sebelum mengatur pilihan ini, pengguna diharuskan untuk memahami bahwa jika kata sandi terlupakan dan harus dihapus, pengguna bertanggung jawab untuk membayar biaya penggantian logic board yang diperlukan untuk menjalankan ini. Organisasi yang ingin melindungi komputer Mac mereka dari penyerang eksternal dan dari pegawai harus mengatur kata sandi firmware di sistem yang dimiliki oleh organisasi. Ini dapat dilakukan di perangkat pada salah satu cara berikut:
Pada waktu penyediaan, secara manual menggunakan alat baris perintah
firmwarepasswdDengan alat manajemen pihak ketiga yang menggunakan alat baris perintah
firmwarepasswdMenggunakan manajemen perangkat bergerak (MDM)