macOS में स्टार्टअप सुरक्षा
स्टार्टअप सुरक्षा नीतियाँ इस बात को प्रतिबंधित कर सकती हैं कि Mac को कौन स्टार्टअप कर सकता है और Mac को स्टार्टअप करने में कौन-से डिवाइस का उपयोग किया जा सकता है।
Apple सिलिकॉन वाले Mac के लिए स्टार्टअप डिस्क सुरक्षा नीति नियंत्रण
Intel-आधारित Mac कंप्यूटर की सुरक्षा नीतियों के विपरीत Apple silicon वाले Mac की सुरक्षा नीतियाँ इंस्टॉल की गई प्रत्येक ऑपरेटिंग सिस्टम के लिए समर्थित होती हैं। इसका अर्थ है कि macOS की इंस्टॉल की गईं एकाधिक आवृत्तियाँ, जिसके संस्करण और सुरक्षा नीतियाँ अलग-अलग हैं, वे समान मशीन पर समर्थित हो सकती हैं। इसलिए स्टार्टअप सुरक्षा यूटिलिटी में ऑपरेटिंग सिस्टम चयनिका जोड़ी गई है।
Apple silicon वाले Mac पर स्टार्टअप सुरक्षा यूटिलिटी macOS के यूज़र द्वारा कॉन्फ़िगर की गई सुरक्षा की कुल स्थिति को बताती है, जैसे कि kext का बूटिंग या सिस्टम इंटेग्रिटी सुरक्षा (SIP) का कॉन्फ़िगरेशन। यदि सुरक्षा सेटिंग को बदलने से सुरक्षा काफ़ी डीग्रेड हो जाएगी या उससे सिस्टम के फ़ंक्शन में कमी आ जाएगी, तो यूज़र को बदलाव करने के लिए पावर बटन को दबाए रखकर recoveryOS में रीस्टार्ट करना चाहिए (ताकि मालवेयर सिग्नल को ट्रिगर न कर सके, केवल भौतिक ऐक्सेस प्राप्त इंसान ही कर सके)। इसके कारण Apple silicon वाले Mac को भी फ़र्मवेयर पासवर्ड (या समर्थन) की आवश्यकता नहीं होगी—सभी महत्त्वपूर्ण बदलाव यूज़र अधिकरण द्वारा पहले ही किए जाते हैं। SIP के बारे में अधिक जानकारी के लिए Apple प्लैटफ़ॉर्म सुरक्षा में सिस्टम एकीकरण सुरक्षा देखें।
हालाँकि, संगठन स्टार्टअप विकल्पों के स्क्रीन सहित recoveryOS परिवेश के ऐक्सेस को macOS 11.5 या बाद के संस्करण के साथ मौजूद recoveryOS पासवर्ड के ज़रिए रोक सकते हैं। अधिक जानकारी के लिए, नीचे recoveryOS पासवर्ड सेक्शन देखें।
सुरक्षा नीतियाँ
Apple silicon वाले Mac के लिए तीन सुरक्षा नीतियाँ हैं :
पूर्ण सुरक्षा : सिस्टम iOS और iPadOS की तरह व्यवहार करती है और केवल बूटिंग सॉफ़्टवेयर की अनुमति देती है, जिसकी जानकारी के अनुसार इंस्टॉलेशन के समय नवीनतम उपलब्ध सॉफ़्टवेयर था।
कम की गई सुरक्षा : यह नीति स्तर सिस्टम को macOS के पुराने संस्करणों को रन करने की अनुमति देता है। चूँकि macOS के पुराने संस्करणों में पैच न की गईं अरक्षितताएँ अवश्य होती हैं, इसलिए इस सुरक्षा मोड का वर्णन घटाया गया के रूप में किया जाता है। यह नीति स्तर भी है जिसे Apple School Manager, Apple Business Manager या Apple Business Essentials के साथ मोबाइल डिवाइस प्रबंधन (MDM) समाधान और ऑटोमैटिकली डिवाइस नामांकन का उपयोग किए बिना बूटिंग कर्नेल एक्सटेंशन (kexts) का समर्थन करने के लिए मैन्युअल रूप से कॉन्फ़िगर करने की आवश्यकता होती है।
परमिसिव सुरक्षा : यह नीति स्तर ऐसे यूज़र का समर्थन करती है जो अपने ख़ुद के कस्टम XNU kernel बना रहे हैं, साइन कर रहे हैं और बूट कर रहे हैं। परमिसिव सुरक्षा मोड को सक्षम करने से पहले सिस्टम एकीकरण सुरक्षा (SIP) को अक्षम करना चाहिए। अधिक जानकारी के लिए, Apple प्लैटफ़ॉर्म सुरक्षा में सिस्टम एकीकरण सुरक्षा देखें।
सुरक्षा नीतियों के बारे में अधिक जानकारी के लिए Apple प्लैटफ़ॉर्म सुरक्षा में Apple silicon वाले Mac के लिए स्टार्टअप डिस्क सुरक्षा नीति नियंत्रण देखें।
recoveryOS पासवर्ड
macOS 11.5 या बाद के संस्करण का उपयोग करने वाला Apple silicon वाला Mac SetRecoveryLock कमांड का उपयोग करते हुए MDM का उपयोग करके recoveryOS पासवर्ड को सेट करने का समर्थन करता है। जब तक recoveryOS पासवर्ड दर्ज नहीं किया जाता, तब तक यूज़र को स्टार्टअप विकल्प स्क्रीन सहित रिकवरी इन्वायरन्मेंट को ऐक्सेस करने से रोका जाता है। recoveryOS पासवर्ड को केवल MDM का उपयोग करके सेट किया जा सकता है और MDM के लिए मौजूदा पासवर्ड को अपडेट करने या हटाने के लिए वर्तमान पासवर्ड भी प्रदान किया जाना चाहिए। क्योंकि recoveryOS पासवर्ड को केवल MDM के माध्यम से सेट और अपडेट किया जा सकता है या हटाया जा सकता है, recoveryOS पासवर्ड सेट वाले MDM से Mac कंप्यूटर को अनामांकित करने पर भी पासवर्ड हटाया जाता है। MDM ऐडमिनिस्ट्रेटर भी सही recoveryOS पासवर्ड को सत्यापित कर सकते हैं जिसे VerifyRecoveryLock कमांड का उपयोग करके सेट किया जाता है।
नोट : recoveryOS पासवर्ड को Apple silicon वाले Mac कंप्यूटर के रीस्टोरेशन को अनुपलब्ध Mac पर मौजूद पिछले डेटा को क्रिप्टोग्राफ़िक रूप से रेंडर करने वाले Apple Configurator का इस्तेमाल करके DFU के साथ सेट करने से रोका नहीं जा सकता है।
स्टार्टअप सुरक्षा यूटिलिटी
Apple T2 सुरक्षा चिप वाले Intel-आधारित Mac कंप्यूटर पर स्टार्टअप सुरक्षा यूटिलिटी कई सुरक्षा नीति सेटिंग्ज़ को संचालित करती है। recoveryOS में बूट करके और यूटिलिटी मेनू से स्टार्टअप सुरक्षा यूटिलिटी चुनकर यूटिलिटी ऐक्सेस करने योग्य है, जो हमलावर की धोखेबाज़ी से समर्थित सुरक्षा सेटिंग्ज़ को सुरक्षित रखती है।
सुरक्षित बूट नीति को निम्न तीन सेटिंग्ज़ में से किसी एक में कॉन्फ़िगर किया जा सकता है : पूर्ण सुरक्षा, मध्यम सुरक्षा और कोई सुरक्षा नहीं। कोई भी सुरक्षा Intel प्रोसेसर पर सुरक्षित बूट मूल्यांकन को पूरी तरह अक्षम नहीं करती है और न ही यूज़र को उसकी इच्छा के अनुसार बूट करने की अनुमति देती है।
सुरक्षा नीतियों के बारे में अधिक जानकारी के लिए Apple प्लैटफ़ॉर्म सुरक्षा में Apple T2 सुरक्षा चिप वाले Mac पर स्टार्टअप सुरक्षा यूटिलिटी देखें।
फ़र्मवेयर पासवर्ड यूटिलिटी
विशिष्ट Mac पर फ़र्मवेयर सेटिंग्ज़ के अवांछित संशोधन को रोकने के लिए Apple silicon रहित Mac कंप्यूटर फ़र्मवेयर पासवर्ड के उपयोग का समर्थन करते हैं। फ़र्मवेयर पासवर्ड का उपयोग recoveryOS में बूट करना, सिंगल-यूज़र मोड, अनधिकृत वॉल्यूम से बूटिंग करना या लक्ष्य डिस्क मोड में बूटिंग करना जैसे वैकल्पिक बूट मोड को चुनने से यूज़र को रोकने के लिए किया जाता है। फ़र्मवेयर पासवर्ड को firmwarepasswd कमांड-लाइन टूल, फ़र्मवेयर पासवर्ड यूटिलिटी या MDM का उपयोग करके सेट और अपडेट किया जा सकता है या हटाया जा सकता है। फ़र्मवेयर पासवर्ड को अपडेट या साफ़ करने योग्य होने के लिए, MDM को पहले मौजूदा पासवर्ड जानना होगा, यदि लागू होता हो।
नोट : फ़र्मवेयर पासवर्ड को सेट करने से Apple Configurator का इस्तेमाल करके DFU मोड ज़रिए Apple T2 सुरक्षा चिप फ़र्मवेयर के रीस्टोरेशन को रोका नहीं जा सकता है। जब Mac रीस्टोर किया जाता है, तो डिवाइस पर सेट किया गया फ़र्मवेयर हटा दिया जाता है और आंतरिक स्टोरेज पर मौजूद डेटा को सुरक्षित रूप से मिटा दिया जाता है।