Oppstartsprosess for Intel-baserte Macer
Intel-baserte Macer med Apple T2-sikkerhetsbrikke
Når en Intel-basert Mac med Apple T2-sikkerhetsbrikke slås på, utfører brikken en sikker oppstart fra oppstart-ROM på samme måte som iPhone, iPad og en Mac med Apple-chip. Dette verifiserer iBoot-bootloaderen og er det første trinnet i godkjenningskjeden. iBoot sjekker kjernen og kjerneutvidelseskoden på T2-brikken, som deretter sjekker Intel UEFI-firmwaren. UEFI-firmwaren og den tilknyttede signaturen er i utgangspunktet kun tilgjengelig for T2-brikken.
Etter verifisering lagres UEFI-firmwarefilen i en del av T2-brikkeminnet. Dette minnet gjøres tilgjengelig for Intel-prosessoren via enhanced Serial Peripheral Interface (eSPI). Når Intel-prosessoren først starter, henter den UEFI-firmwaren via eSPI fra den integritetskontrollerte, minnetilordnede kopien av firmwaren som befinner seg på T2-brikken.
Vurderingen av godkjenningskjedet fortsetter på Intel-prosessoren, der UEFI-firmwaren vurderer signaturen for boot.efi, som er macOS-bootloaderen. De Intel-residente signaturene for sikker macOS-oppstart er lagret i samme Image4-format som brukes for iOS, iPadOS og sikker oppstart for T2-brikken, og koden som analyserer Image4-filene, er den samme herdede koden som brukes i nåværende implementering av sikker oppstart i iOS og iPadOS. Boot.efi verifiserer så signaturen til en ny fil kalt immutablekernel. Dette er en kjerne med uforanderlig innhold. Når sikker oppstart er aktivert, representerer immutablekernel-filen hele settet med Apple-kjerneutvidelser som kreves for å starte macOS. Regelsettet for sikker oppstart avsluttes ved overlevering til immutablekernel, og etter det trer macOS-sikkerhetsregelsett (for eksempel System Integrity Protection og signerte kjerneutvidelser) i kraft.
Hvis det er noen feil eller svikt i denne prosessen, går Macen inn i gjenopprettingsmodus, Apple T2-sikkerhetsbrikke-gjenopprettingsmodus eller Apple T2-sikkerhetsbrikke-DFU-modus (Device Firmware Upgrade).
Microsoft Windows på Intel-baserte Macer med T2-brikke
Standardinnstillingen er at Intel-baserte Macer som støtter sikker oppstart, kun godkjenner innhold som er signert av Apple. For å forbedre sikkerheten til Boot Camp-installeringer tilbys imidlertid også støtte for sikker oppstart av Windows. UEFI-firmware (Unified Extensible Firmware Interface) inkluderer en kopi av Microsoft Windows Production CA 2011-sertifikatet som brukes til å autentisere Microsoft-bootloadere.
Merk: Det er for øyeblikket ingen godkjenning for Microsoft Corporation UEFI CA 2011, som ville tillatt verifisering av kode signert av Microsoft-partnere. UEFI CA-en brukes vanligvis til å verifisere ektheten av bootloadere for andre operativsystemer, for eksempel varianter av Linux.
Støtte for sikker oppstart av Windows aktiveres ikke som standard. I stedet aktiveres det ved hjelp av Boot Camp-assistent (BCA). Når en bruker kjører BCA, rekonfigureres macOS til å godkjenne Microsoft-førstepartssignert kode under oppstart. Når BCA er ferdig, hvis macOS ikke har lyktes med å bestå Apple-førstepartsgodkjenningsevalueringen under sikker oppstart, forsøker UEFI-firmwaren å evaluere godkjenningen av objektet i henhold til UEFI-formatering for sikker oppstart. Hvis godkjenningsevalueringen lykkes, fortsetter Macen og starter Windows. Hvis ikke, går Macen inn i recoveryOS og informerer brukeren om at godkjenningsevalueringen mislyktes.
Intel-baserte Macer uten en T2-brikke
Intel-baserte Macer uten T2-brikke støtter ikke sikker oppstart. Derfor laster UEFI-firmware (Unified Extensible Firmware Interface) macOS-booteren (boot.efi) fra filsystemet uten verifisering, og booteren laster inn kjernen (prelinkedkernel) fra filsystemet uten verifisering. For å beskytte integriteten til oppstartskjeden bør brukere aktivere alle av følgende sikkerhetsmekanismer:
System Integrity Protection (SIP): Aktivert som standard. Dette beskytter booteren og kjernen mot ondsinnede skriveoperasjoner fra inne i et kjørende macOS.
FileVault: Dette kan aktiveres på to måter: enten av brukeren eller av en MDM (mobile device management)-administrator. Dette beskytter mot en fysisk tilstedeværende angriper som bruker måldiskmodus til å overskrive booteren.
Firmwarepassord: Dette kan aktiveres på to måter: enten av brukeren eller av en MDM-administrator. Dette bidrar til å hindre en fysisk tilstedeværende angriper fra å starte alternative oppstartsmoduser som recoveryOS, enkeltbrukermodus eller måldiskmodus som booteren kan overskrives fra. Dette bidrar også til å hindre oppstart fra alternative medier, som en angriper kunne kjøre kode fra for å overskrive booteren.
