Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange 网络服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
- 词汇表
- 文稿修订历史
- 版权
macOS 中的启动安全性
启动安全性策略能够帮助限制可启动 Mac 的用户和可用于启动 Mac 的设备。
搭载 Apple 芯片的 Mac 的启动磁盘安全性策略控制
与基于 Intel 的 Mac 电脑的安全性策略不同,搭载 Apple 芯片的 Mac 上的安全性策略支持安装的每个操作系统。这意味着安装的不同版本和安全性策略的多个 macOS 实例可以存在于同一设备上。为此,“启动安全性实用工具”中添加了操作系统选择器。
在搭载 Apple 芯片的 Mac 上,“启动安全性实用工具”会指明用户配置的 macOS 整体安全性状态,如 Kext 的启动或系统完整性保护 (SIP) 配置。如果更改安全性设置会显著降低安全性或使系统更易遭到入侵,则用户必须通过按住电源按钮重新启动进入 recoveryOS(使恶意软件无法触发信号,只有用户通过实际接触才能触发)才能进行更改。因此搭载 Apple 芯片的 Mac 也不要求提供(亦不支持)固件密码,所有关键更改已经由用户授权保护。有关 SIP 的更多信息,请参阅《Apple 平台安全保护》中的系统完整性保护。
但组织可以通过使用 recoveryOS 密码(macOS 11.5 或更高版本中可用)防止对 recoveryOS 环境的访问,包括启动选项屏幕。有关更多信息,请参阅下方的 recoveryOS 密码部分。
安全性策略
搭载 Apple 芯片的 Mac 上有三种安全性策略:
完整安全性:系统运行方式与 iOS 和 iPadOS 相似,且仅允许启动在安装时已知为最新可用版本的软件。
降低安全性:此策略等级允许系统运行较旧版本的 macOS。较旧版本的 macOS 不可避免地具有未修补的漏洞,所以此安全性模式称为“降低”安全性。这也是在不使用移动设备管理 (MDM) 解决方案以及“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”中自动设备注册的情况下需要手动配置以支持启动内核扩展 (Kext) 的策略等级。
宽松安全性:此策略等级支持用户构建、签名和启动自己的自定义 XNU 内核。启用“宽松安全性”模式前必须停用系统完整性保护 (SIP)。有关更多信息,请参阅《Apple 平台安全保护》中的系统完整性保护。
有关安全性策略的更多信息,请参阅《Apple 平台安全保护》中的搭载 Apple 芯片的 Mac 的启动磁盘安全性策略控制。
recoveryOS 密码
搭载 Apple 芯片且使用 macOS 11.5 或更高版本的 Mac 支持使用 MDM 通过 SetRecoveryLock 命令设定 recoveryOS 密码。除非输入 recoveryOS 密码,否则用户无法访问恢复环境,包括启动选项屏幕。只有使用 MDM 才能设置 recoveryOS 密码,若 MDM 要更新或移除现有密码,也必须提供当前密码。由于 recoveryOS 密码只能通过 MDM 设置、更新或移除,从 MDM 取消注册设置了 recoveryOS 密码的 Mac 电脑将同时移除该密码。MDM 管理员还可以使用 VerifyRecoveryLock 命令来验证 recoveryOS 密码的正确性。
【注】设定 recoveryOS 密码不会阻止搭载 Apple 芯片的 Mac 电脑使用 Apple Configurator 通过 DFU 模式进行恢复,该方式也通过加密阻止访问 Mac 上以前的数据。
启动安全性实用工具
在基于 Intel 且搭载 Apple T2 安全芯片的 Mac 电脑上,“启动安全性实用工具”负责处理许多安全性策略设置。若要访问此实用工具,请启动进入 recoveryOS,然后从“实用工具”菜单中选择“启动安全性实用工具”;它可防止支持的安全性设置被攻击者轻易操纵。
你可以将安全启动策略配置为以下三种设置中的其中一种:完整安全性、中等安全性和无安全性。“无安全性”完全停用 Intel 处理器上的安全启动评估,允许用户启动任何系统。
有关安全性策略的更多信息,请参阅《Apple 平台安全保护》中的搭载 Apple T2 安全芯片的 Mac 上的启动安全性实用工具。
固件密码实用工具
不搭载 Apple 芯片的 Mac 电脑支持使用固件密码来防止意外修改特定 Mac 上的固件设置。固件密码用于阻止用户选择备选启动模式,如启动进入 recoveryOS、“单用户模式”、从未经授权的宗卷启动或启动进入“目标磁盘模式”。固件密码可以通过 firmwarepasswd 命令行工具、固件密码实用工具或 MDM 来设置、更新或移除。如有必要,MDM 必须先知道现有密码才能更新或清除固件密码。
【注】设置固件密码不会阻止 Apple T2 安全芯片固件使用 Apple Configurator 通过 DFU 模式进行恢复。Mac 恢复后,设备上设置的任何固件密码都会移除,并且内部储存中的数据会安全地抹掉。