Käynnistyksen suojaus macOS:ssä
Käynnistyksen suojauskäytännöillä voidaan rajoittaa sitä, kuka voi käynnistää Macin ja mitä laitteita voidaan käyttää Macin käynnistykseen.
Käynnistyslevyn suojauskäytännön hallitseminen Macissa, jossa on Applen siru
Intel-pohjaisten Mac-tietokoneiden suojauskäytännöistä poiketen Applen sirulla varustetussa Macissa tuetaan erillisiä suojauskäytäntöjä kullekin asennetulle käyttöjärjestelmälle. Tämä tarkoittaa, että samassa tietokoneessa voi olla useita macOS-asennuksia, jotka ovat eri ohjelmistoversioita ja joissa on eri suojauskäytäntöjä. Siksi Käynnistyksen suojaustyökaluun on lisätty käyttöjärjestelmän valitsin.
Macissa, jossa on Applen siru, Käynnistyksen suojaustyökalu ilmoittaa macOS:n käyttäjän määrittämän suojauksen tason yleistilanteen, kuten kernelin laajennusten käynnistyksen tai järjestelmän eheyden suojauksen määrityksen. Jos suojausasetuksen muutos heikentäisi merkittävästi tietoturvaa tai helpottaisi järjestelmän vaarantumista, käyttäjän täytyy käynnistää tietokone uudelleen recoveryOS:ään pitämällä virtapainiketta painettuna voidakseen tehdä muutoksen (jotta haittaohjelmisto ei voisi tuottaa signaalia, tarvitaan fyysinen virtapainikkeen painallus). Tämän vuoksi Applen sirulla varustettu Mac ei edellytä (tai tue) laiteohjelmiston salasanaa. Kaikkia tärkeitä muutoksia rajoitetaan jo käyttäjän valtuutuksella. Jos haluat lisätietoja järjestelmän eheyden suojauksesta, katso kohta Järjestelmän eheyden suojaus Apple-alustojen tietoturva ‑ohjeessa.
Organisaatiot voivat kuitenkin estää pääsyn recoveryOS-ympäristöön, käynnistysvalintojen näyttö mukaan luettuna, käyttämällä recoveryOS:n salasanaa, joka on saatavilla macOS 11.5:ssä tai uudemmissa. Katso lisätietoja recoveryOS-salasanan osiosta alta.
Suojauskäytännöt
Applen sirua käyttävässä Macissa on kolme suojauskäytäntöä:
Täysi suojaus: Järjestelmä toimii kuin iOS ja iPadOS ja sallii käynnistää vain ohjelmiston, joka oli tunnetusti uusin saatavilla oleva asennuksen aikana.
Alennettu suojaus: Tämä suojaustaso sallii järjestelmän käyttää macOS:n vanhempia versioita. Koska vanhemmissa macOS-versioissa on väistämättä korjaamattomia haavoittuvuuksia, tätä suojaustasoa kutsutaan alennetuksi. Lisäksi tämä käytäntötaso on määritettävä manuaalisesti, jotta kernelin laajennusten (kext) käynnistämistä tuetaan ilman mobiililaitteiden hallintaratkaisua (MDM) ja automaattista laiterekisteröintiä Apple School Managerilla, Apple Business Managerilla tai Apple Business Essentialsilla.
Salliva suojaus: Tämä suojaustaso tukee käyttäjiä, jotka kehittävät, allekirjoittavat ja käynnistävät omia muokattuja XNU-kerneleitään. Järjestelmän eheyden suojauksen täytyy olla pois käytöstä ennen sallivan suojaustason käyttöönottoa. Jos haluat lisätietoja, katso kohta Järjestelmän eheyden suojaus Apple-alustojen tietoturva ‑ohjeessa.
Jos haluat lisätietoja suojauskäytännöistä, katso kohta Suojauskäytännön hallinta Käynnistyslevyllä Applen sirulla varustetulle Macille Apple-alustojen tietoturva -ohjeesta.
recoveryOS:n salasana
Applen sirulla varustettu Mac, jossa on macOS 11.5 tai uudempi, tukee recoveryOS:n salasanan asettamista MDM:llä käyttäen SetRecoveryLock
-komentoa. Käyttäjä ei pääse palautusympäristöön, käynnistysvalintojen näyttö mukana luettuna, ellei hän syötä recoveryOS:n salasanaa. recoveryOS-salasana voidaan asettaa vain MDM:llä, ja jotta MDM voi päivittää tai poistaa nykyisen salasanan, myös nykyinen salasana on annettava. Koska recoveryOS:n salasana voidaan asettaa, päivittää tai poistaa vain MDM:n kautta, Mac-tietokoneen poistaminen MDM-hallinnasta poistaa myös salasanan, jos Mac-tietokoneella on sellainen. MDM-ylläpitäjät voivat myös tarkistaa, onko oikea recoveryOS:n salasana asetettu, käyttämällä VerifyRecoveryLock
-komentoa.
Huomaa: recoveryOS:n salasanan asettaminen ei estä Applen sirulla varustetun Mac-tietokoneen palauttamista DFU-tilan kautta Apple Configuratorilla. Siinä Macin aikaisemmat tiedot tehdään kryptografisesti mahdottomiksi käyttää.
Käynnistyksen suojaustyökalu
Intel-pohjaisissa Mac-tietokoneissa, joissa on Apple T2 Security -siru, käynnistyksen suojaustyökalu käsittelee useita suojauskäytännön asetuksia. Työkalua voidaan käyttää käynnistämällä recoveryOS-tilassa ja valitsemalla Lisäapit-valikosta Käynnistyksen suojaustyökalu. Se suojaa tuettuja suojausasetuksia hyökkääjän helpolta manipulaatiolta.
Suojatun käynnistyksen käytäntö voidaan määrittää johonkin näistä kolmesta asetuksesta: Täysi suojaus, Keskitason suojaus ja Ei suojausta. Ei suojausta -asetus ottaa Intel-prosessorin suojatun käynnistyksen arvioinnin kokonaan pois käytöstä ja sallii käyttäjän käynnistää, mitä hän haluaa.
Jos haluat lisätietoja suojauskäytännöistä, katso Käynnistyksen suojaustyökalu Macissa, jossa on Apple T2 Security -siru Apple-alustojen tietoturva -ohjeesta.
Laiteohjelmiston salasanatyökalu
Mac-tietokoneet, joissa ei ole Applen sirua, estävät tietyn Macin laiteohjelmiston asetusten tahattoman muokkaamisen laiteohjelmiston salasanalla. Laiteohjelmiston salasanaa käytetään estämään käyttäjiltä vaihtoehtoisten käynnistystilojen valitseminen, kuten käynnistäminen recoveryOS:ään tai yhden käyttäjän tilaan, järjestelmän käynnistäminen valtuuttamattomalta taltiolta tai kohdelevytilaan käynnistäminen. Laiteohjelmiston salasana voidaan asettaa, päivittää tai poistaa firmwarepasswd
-komentorivityökalulla, Laiteohjelmiston salasanatyökalulla tai MDM:llä. Jotta MDM voi päivittää tai poistaa laiteohjelmiston salasanan, sen täytyy ensin tietää olemassa oleva salasana soveltuvissa tapauksissa.
Huomaa: Laiteohjelmiston salasanan asettaminen ei estä Apple T2 Security ‑sirun laiteohjelmiston palauttamista DFU-tilan kautta Apple Configuratorilla. Kun Mac palautetaan, laitteelle asetettu laiteohjelmiston salasana poistetaan ja sisäisen tallennustilan tiedot tyhjennetään turvallisesti.