Zabezpečené spouštění v macOS
Zásady zabezpečeného spouštění umožňují omezit okruh uživatelů, které mohou spustit Mac, a také okruh zařízení, z nichž lze Mac spustit.
Nastavení zásad zabezpečení pro startovací disk na Macích s čipy Apple
Na rozdíl od zásad zabezpečení na počítačích Mac s procesorem Intel jsou zásady zabezpečení na Macích s čipy Apple podporovány pro všechny nainstalované operační systémy. To znamená, že na témže počítači můžou existovat různé instance macOS s různými verzemi a zásadami zabezpečení. Z tohoto důvodu byl do Utility zabezpečeného spouštění přidán výběr operačního systému.
Utilita zabezpečeného spouštění na Macích s čipy Apple informuje o celkovém stavu zabezpečení systému macOS nakonfigurovaného uživatelem, jako je například zavedení rozšíření kernelu nebo konfigurace ochrany integrity systému (System Integrity Protection – SIP). Pokud by změna některého parametru zabezpečení znamenala podstatné snížení úrovně zabezpečení nebo zvýšenou zranitelnost vůči prolomení, musí uživatel před provedením změny podržením zapínacího tlačítka restartovat do režimu recoveryOS (aby tento signál nemohl spustit škodlivý kód, ale pouze osoba s fyzickým přístupem k počítači). Macy s čipy Apple ze stejného důvodu nevyžadují (ani nepodporují) heslo firmwaru – všechny kritické změny jsou už ošetřeny autorizací uživatele. Další informace o ochraně SIP najdete v příručce Apple Platform Security (Zabezpečení platforem Apple) v části System Integrity Protection (Ochrana integrity systému).
Organizace však můžou přístup do režimu recoveryOS včetně obrazovky s volbami spuštění zabezpečit heslem režimu recoveryOS, které je k dispozici v systémech macOS 11.5 a novějších. Další informace najdete níže v části Heslo režimu recoveryOS.
Zásady zabezpečení
Na Macích s čipy Apple jsou k dispozici tři úrovně zásad zabezpečení:
Úplné zabezpečení: Systém se chová podobně jako iOS a iPadOS, tzn. umožňuje jen zavedení nejaktuálnější verze softwaru, která byla podle dostupných informací k dispozici v době instalace.
Snížené zabezpečení: Tato úroveň zásad zajišťuje možnost spouštění i starších verzí systému macOS. Vzhledem k tomu, že starší verze macOS nevyhnutelně mají také neopravené slabiny, je tento režim zabezpečení označen jako Snížené zabezpečení. Tato úroveň zásad, které je nutné nakonfigurovat ručně, je vyžadována také pro podporu zavádění rozšíření kernelu (kext) bez použití systému správy mobilních zařízení (MDM) a automatické registrace zařízení v Apple School Manageru, Apple Business Manageru nebo Apple Business Essentials.
Propustné zabezpečení: Tato úroveň zásad podporuje uživatele, kteří sestavují, podepisují a zavádějí vlastní kernely XNU. Podmínkou pro aktivaci režimu Propustné zabezpečení je vypnutí ochrany integrity systému (SIP). Další informace najdete v příručce Apple Platform Security (Zabezpečení platforem Apple) v části System Integrity Protection (Ochrana integrity systému).
Další informace o zásadách zabezpečení najdete v příručce Apple Platform Security (Zabezpečení platforem Apple) v části Startup Disk security policy control for a Mac with Apple silicon (Nastavení zásad zabezpečení pro startovací disk na Macích s čipy Apple).
Heslo režimu recoveryOS
Macy s čipem Apple a systémem macOS 11.5 nebo novějším podporují nastavení hesla režimu recoveryOS prostřednictvím služby MDM pomocí příkazu SetRecoveryLock
. Pokud není heslo režimu recoveryOS zadáno, uživatel nemá přístup do prostředí zotavení včetně obrazovky s volbami pro spuštění. Heslo režimu recoveryOS lze nastavit jen pomocí služby MDM. Pokud chcete ve službě MDM aktualizovat nebo odstranit stávající heslo, musíte ho nejprve zadat. Vzhledem k tomu, že heslo režimu recoveryOS lze nastavit, aktualizovat a odstranit jen prostřednictvím služby MDM, při zrušení registrace Macu s nastaveným heslem režimu recoveryOS ve službě MDM bude toto heslo odstraněno. Správci MDM mohou také pomocí příkazu VerifyRecoveryLock
ověřit, zda je heslo režimu recoveryOS nastavené správně.
Poznámka: Nastavení hesla recoveryOS nebrání v obnově počítače Mac s čipem Apple silicon prostřednictvím režimu DFU za pomoci Apple Configuratoru, přičemž se předchozí data na Macu stanou kryptograficky nedostupnými.
Utilita zabezpečeného spouštění
Na počítačích Mac s procesorem Intel se zabezpečovacím čipem Apple T2 pracuje Utilita zabezpečeného spouštění s řadou parametrů pro zásady zabezpečení. Utilita je dostupná po spuštění systému recoveryOS prostřednictvím volby Utilita zabezpečeného spouštění z nabídky Utility. Zajišťuje ochranu podporovaných parametrů zabezpečení před snadnou manipulací ze strany útočníků.
Pravidla zabezpečeného spouštění lze nastavit na jeden ze tří režimů: Úplné zabezpečení, Střední zabezpečení nebo Žádné zabezpečení. V režimu Žádné zabezpečení se vyhodnocování zabezpečeného spouštění procesorem Intel úplně vypne a uživatel může počítač spustit s jakýmkoli kódem.
Další informace o zásadách zabezpečení najdete v příručce Apple Platform Security (Zabezpečení platforem Apple) v části Startup Security Utility on a Mac with an Apple T2 Security Chip (Utilita zabezpečeného spouštění na Macu se zabezpečovacím čipem Apple T2).
Utilita Heslo firmwaru
Počítače Mac bez čipů Apple podporují používání hesel k firmwaru s cílem zabránit nežádoucím úpravám nastavení firmwaru v konkrétním Macu. Bez hesla k firmwaru nemohou uživatelé vybrat alternativní režimy spuštění počítače, například spuštění systému recoveryOS, jednouživatelského režimu, diskového režimu nebo spuštění z neautorizovaného svazku. Heslo k firmwaru lze nastavit, aktualizovat nebo odstranit pomocí nástroje příkazového řádku firmwarepasswd
, utility Heslo k firmwaru nebo systému MDM. Aby mohl systém MDM aktualizovat nebo smazat heslo k firmwaru, musí nejprve znát stávající heslo (pokud je použito).
Poznámka: Nastavení hesla k firmwaru nebrání v obnovení firmwaru zabezpečovacího čipu Apple T2 prostřednictvím režimu DFU v Apple Configuratoru. Při obnovení Macu bude jakékoli nastavené heslo k firmwaru ze zařízení odstraněno a data v interním úložišti budou bezpečně vymazána.