Firmwarepassordbeskyttelse på Intel-baserte Macer
macOS på Intel-baserte Macer med en Apple T2-sikkerhetsbrikke støtter bruk av et firmwarepassord for å bidra til å hindre utilsiktede endringer av firmwareinnstillinger på en bestemt Mac. Firmwarepassordet er utviklet for å hindre valg av alternative oppstartsmoduser som oppstart i recoveryOS eller enkeltbrukermodus, oppstart fra et uautorisert volum eller oppstart i måldiskmodus.
Merk: Firmwarepassordet er ikke påkrevd på Macer med Apple-chip fordi den kritiske firmwarefunksjonaliteten det begrenset, er flyttet inn i recoveryOS, og (når FileVault er aktivert) recoveryOS krever brukerautentisering før den kritiske funksjonaliteten kan nås.
Den enkleste modusen for firmwarepassord nås fra Firmwarepassordverktøy i recoveryOS på Intel-baserte Macer uten T2-brikker og fra Oppstartssikkerhetsverktøy på Intel-baserte Macer med T2-brikke. Avanserte valg (for eksempel muligheten til å be om passordet ved hver oppstart) er tilgjengelige fra firmwarepasswd-kommandolinjeverktøyet i macOS.
Det er spesielt viktig å angi et firmwarepassord for å redusere risikoen for angrep på Intel-baserte Macer uten T2-brikke fra angripere som er fysisk til stede. Firmwarepassordet kan hindre en angriper i å starte opp i recoveryOS, der System Integrity Protection (SIP) ellers kan deaktiveres. Og ved å begrense oppstart av alternative medier, kan en angriper ikke kjøre privilegert kode fra et annet operativsystem for å angripe perifer firmware.
Det finnes en mekanisme for å nullstille firmwarepassord i tilfelle brukere glemmer passordet. Brukere holder nede en tastekombinasjon ved oppstart og vises en modellspesifikk streng de oppgir til AppleCare. AppleCare signerer en ressurs digitalt som signaturkontrolleres av Uniform Resource Identifier (URI). Hvis signaturen valideres og innholdet er for den spesifikke Macen, fjerner UEFI-firmwaren firmwarepassordet.
For brukere som ikke ønsker at andre enn dem selv skal kunne fjerne firmwarepassordet ved hjelp av programvare, ble -disable-reset-capability-valget lagt til i firmwarepasswd-kommandolinjeverktøyet i macOS 10.15. Før dette valget angis, må brukere godta at hvis passordet glemmes og må fjernes, er de selv ansvarlige for kostnaden knyttet til bytte av hovedkort som kreves for å oppnå dette. Organisasjoner som vil beskytte Macer fra eksterne angripere og fra ansatte, må angi et firmwarepassord på organisasjonseide systemer. Dette kan gjennomføres på enheten på en av følgende måter:
Ved klargjøring, ved å manuelt bruke
firmwarepasswd-kommandolinjeverktøyetMed tredjepartsadministrasjonsverktøy som bruker
firmwarepasswd-kommandolinjeverktøyetMed MDM (Mobile Device Management)