Безпека запуску в macOS
Політики безпеки запуску дозволяють обмежити перелік користувачів, які можуть запускати Mac, і перелік пристроїв, які можна для цього використовувати.
Керування політикою безпеки стартового диска на Mac із процесором Apple
На відміну від політик безпеки на комп’ютерах Mac із процесорами Intel, політики безпеки на Mac із процесором Apple silicon можуть різнитися для кожної інстальованої операційної системи. Це означає, що на одному комп’ютері можна використовувати кілька примірників macOS із різними версіями та політиками безпеки. Для цього в Утиліту безпеки запуску додано селектор операційної системи.
На Mac із процесором Apple Утиліта безпеки запуску відображає загальний стан безпеки macOS, налаштований користувачем, як-от завантаження розширення ядра або конфігурація захисту цілісності системи (SIP). Якщо змінення параметрів безпеки суттєво понижує захист або ставить систему під загрозу, користувач має перезапустити систему в recoveryOS, утримуючи кнопку живлення (так лише людина з фізичним доступом може подати сигнал), і внести зміни. Через це Mac із процесором Apple silicon також не вимагає (і не підтримує) пароль прошивки — усі критичні зміни фільтруються авторизацією користувача. Більше інформації наведено в статті про захист цілісності системи в розділі «Безпека платформи Apple».
Однак, організації можуть обмежити доступ до середовища recoveryOS, включно з екраном опцій запуску, застосувавши пароль recoveryOS, доступний у macOS 11.5 і новіших. Більше інформації наведено в розділі про пароль recoveryOS нижче.
Політики безпеки
Для Mac із процесором Apple silicon є три політики безпеки:
Повна безпека. Система поводиться як iOS та iPadOS і дозволяє завантаження лише того програмного забезпечення, яке є найновішим на момент інсталювання.
Послаблена безпека. На цьому рівні політики система може запускати старіші версії macOS. Оскільки в старіших версіях macOS неминуче є незакриті вразливості, цей режим безпеки називають послабленим. Цей рівень безпеки також має бути конфігурований вручну для підтримки завантаження розширення ядра (kexts) без застосування рішення керування мобільними пристроями (MDM) і автоматизованої реєстрації пристрою в Apple School Manager, Apple Business Manager чи Apple Business Essentials.
Дозвільна безпека. Цей рівень політики підтримує можливість для користувачів створювати, підписувати та завантажувати власні ядра XNU. Перш ніж увімкнути режим дозвільної безпеки, слід вимкнути захист цілісності системи (SIP). Більше інформації наведено в статті про захист цілісності системи в розділі «Безпека платформи Apple».
Більше інформації про політики безпеки наведено в статті про керування політикою безпеки стартового диска на Mac із процесором Apple silicon у розділі «Безпека платформи Apple».
Пароль recoveryOS
Mac із процесором Apple під керуванням macOS 11.5 або новішої підтримує налаштування пароля recoveryOS за допомогою MDM і команди SetRecoveryLock. Якщо не ввести пароль recoveryOS, користувачу не вдасться отримати доступ до середовища відновлення, включно з екраном опцій запуску. Пароль recoveryOS можна налаштувати лише за допомогою рішення MDM, і щоб у рішенні MDM оновити або вилучити наявний пароль, потрібно також ввести поточний пароль. Оскільки пароль recoveryOS можна призначити, оновити або вилучити лише через MDM, скасування реєстрації комп’ютера Mac у рішенні MDM, за допомогою якого призначено пароль recoveryOS, також вилучить пароль. Адміністратори MDM також можуть перевіряти, чи призначено правильний пароль для recoveryOS, скориставшись командою VerifyRecoveryLock.
Примітка. Призначення пароля recoveryOS не перешкодить відновленню комп’ютера Mac із процесором Apple silicon через режим DFU за допомогою Apple Configurator, який також криптографічними методами робить попередні дані на Mac недоступними.
Утиліта безпеки запуску
Утиліта безпеки запуску відповідає за більшість параметрів політики безпеки на комп’ютерах Mac із процесорами Intel і безпековою мікросхемою Apple T2. Щоб відкрити утиліту, слід завантажити систему в recoveryOS і вибрати «Утиліта безпеки запуску» в меню «Утиліти». Вона захищає підтримувані параметри безпеки від легкого доступу зловмисниками.
Для політики безпеки запуску можна вибрати один із трьох параметрів: «Повна безпека», «Середня безпека» та «Без захисту». Параметр «Без захисту» повністю вимикає оцінювання безпеки запуску в процесорі Intel і дає користувачам змогу завантажувати будь-що.
Більше інформації про політики безпеки наведено в статті про утиліту безпеки запуску на Mac із безпековою мікросхемою Apple T2 в розділі «Безпека платформи Apple».
Утиліта пароля прошивки
Щоб запобігти несанкціонованим змінам прошивки на конкретному Mac, на Mac без процесора Apple silicon можна налаштувати пароль прошивки. Пароль прошивки використовується для блокування альтернативних режимів запуску системи користувачами, як-от запуск із recoveryOS чи в режимі єдиного користувача, запуск із недозволеного тому чи в режимі зовнішнього диска. Пароль прошивки можна призначати, оновлювати або вилучати за допомогою інструмента командного рядка firmwarepasswd, Утиліти пароля прошивки чи MDM. Щоб оновити або вилучити пароль прошивки через MDM, потрібно знати поточний пароль, якщо такий налаштовано.
Примітка. Призначення пароля прошивки не перешкодить відновленню прошивки безпекової мікросхеми Apple T2 через режим DFU за допомогою Apple Configurator. Під час відновлення Mac пароль прошивки на пристрої вилучається, а дані на внутрішньому пристрої збереження надійно стираються.