Processo de inicialização de um Mac baseado em Intel
Mac baseado em Intel com um chip Apple T2 Security
Quando um computador Mac baseado em Intel com o chip Apple T2 Security é ligado, o chip realiza uma inicialização segura a partir da sua ROM de Inicialização da mesma maneira que um iPhone, iPad e um Mac com Apple Silicon. Isso verifica o gerenciador de inicialização do iBoot, sendo o primeiro passo na cadeia de confiança. O iBoot verifica o kernel e o código de extensão do kernel do chip T2, o qual verifica o firmware da UEFI Intel em seguida. O firmware da UEFI e a assinatura associada ficam disponíveis de início apenas para o chip T2.
Após a verificação, a imagem do firmware da UEFI é mapeada em uma parte da memória do chip T2. Essa memória é disponibilizada para a CPU Intel através da Interface Periférica Serial aprimorada (eSPI). Na primeira inicialização da CPU Intel, ela obtém o firmware da UEFI através da eSPI na cópia mapeada em memória do firmware, localizada no chip T2, cuja integridade foi verificada.
A avaliação da cadeia de confiança continua na CPU Intel, com a avaliação da assinatura do boot.efi (o gerenciador de inicialização do macOS) por parte do firmware da UEFI. As assinaturas da inicialização segura do macOS, residentes no processador Intel, são armazenadas no mesmo formato Image4 usado na inicialização segura do iOS, iPadOS e chip T2. Além disso, o código que analisa os arquivos Image4 é o mesmo código reforçado da implementação atual da inicialização segura do iOS e iPadOS. Em seguida, o boot.efi verifica a assinatura de um novo arquivo, chamado immutablekernel. Quando a inicialização segura está ativada, o arquivo immutablekernel representa o conjunto completo das extensões do kernel da Apple necessárias para inicializar o macOS. A política de inicialização segura é encerrada na passagem para o immutablekernel. Depois disso, as políticas de segurança do macOS (como a Proteção da Integridade do Sistema e as extensões do kernel assinadas) entram em vigor.
Caso haja qualquer erro ou falha nesse processo, o Mac entra no modo de Recuperação, modo de Recuperação do chip Apple T2 Security ou modo de Atualização do Firmware do Dispositivo (DFU) do Chip Apple T2 Security.
Microsoft Windows em um Mac baseado em Intel com um chip T2
Por padrão, um Mac baseado em Intel que oferece suporte à inicialização segura confia apenas no conteúdo assinado pela Apple. Contudo, para melhorar a segurança das instalações do Boot Camp, a Apple também oferece suporte à inicialização segura do Windows. O firmware da Interface de Firmware Extensível Unificada (UEFi) possui uma cópia do certificado Microsoft Windows Production CA 2011 usado para autenticar os carregadores de inicialização da Microsoft.
Nota: atualmente, não é fornecida confiança para o Microsoft Corporation UEFI CA 2011, o que permitiria a verificação de código assinado por parceiros da Microsoft. Esta AC da UEFI é comumente usada para verificar a autenticidade dos carregadores de inicialização de outros sistemas operacionais, como variantes de Linux.
O suporte à inicialização segura do Windows não é ativado por padrão. Ele deve ser ativado com o Assistente do Boot Camp (BCA). Quando o usuário executa o BCA, o macOS é reconfigurado para confiar no código assinado pela Microsoft durante a inicialização. Após o término do BCA, se o macOS não tiver êxito na avaliação de confiança da Apple durante a inicialização segura, o firmware da UEFI tenta avaliar a confiança do objeto de acordo com a formatação da inicialização segura da UEFI. Se a avaliação de confiança for bem-sucedida, o Mac dá prosseguimento à inicialização do Windows. Caso contrário, o Mac entra no recoveryOS e informa o usuário sobre a falha na avaliação de confiança.
Computadores Mac baseados em Intel sem um chip T2
Um Mac baseado em Intel sem um chip T2 não oferece suporte à inicialização segura. Dessa forma, o firmware da Interface de Firmware Extensível Unificada (UEFi) carrega o inicializador do macOS (boot.efi) do sistema de arquivos sem verificação e o inicializador carrega o kernel (prelinkedkernel) do sistema de arquivos sem verificação. Para proteger a integridade da cadeia de inicialização, os usuários devem ativar todos os mecanismos de segurança a seguir:
Proteção da Integridade do Sistema (SIP): ativada por padrão, ela protege o inicializador e o kernel contra gravações maliciosas de dentro de um macOS em execução.
FileVault: pode ser ativado de duas formas: pelo usuário ou por um administrador de gerenciamento de dispositivos móveis (MDM). Ele protege contra um invasor fisicamente presente, usando o modo disco de destino para sobrescrever o inicializador.
Senha de firmware: pode ser ativada de duas formas: pelo usuário ou pelo administrador de um MDM. Ela ajuda a impedir que um invasor fisicamente presente ative modos alternativos de inicialização, como o recoveryOS, Modo de Usuário Único ou modo disco de destino, nos quais o inicializador pode ser sobrescrito. Isso também ajuda a impedir a inicialização a partir de mídias alternativas, método no qual um invasor poderia executar código para sobrescrever o inicializador.
