Segurança de inicialização no macOS
As políticas de segurança de inicialização podem ajudar a restringir quem pode iniciar um Mac e quais dispositivos podem ser usados para isso.
Controle da política de segurança do disco de inicialização em um Mac com Apple silicon
Ao contrário das políticas de segurança em computadores Mac com processador Intel, as políticas de segurança no Mac com Apple silicon são compatíveis para cada sistema operacional instalado. Isso significa que várias instâncias do macOS instaladas com versões e políticas de segurança diferentes podem existir na mesma máquina. Por esse motivo, um seletor de sistema operacional foi adicionado ao Utilitário de Segurança da Inicialização.
Em um Mac com Apple Silicon, o Utilitário de Segurança da Inicialização indica o estado geral da segurança do macOS configurada pelo usuário, como a inicialização de uma kext ou a configuração da Proteção da Integridade do Sistema (SIP). Se a alteração de uma configuração de segurança degradar significativamente a segurança ou colocar o sistema em risco, os usuários devem segurar o botão ligar/desligar (para que o malware não acione o sinal, apenas uma pessoa com acesso físico consegue fazer isso) para reiniciar pelo recoveryOS e fazer a alteração. Por causa disso, um Mac com Apple silicon também não exigirá uma senha de firmware (nem será compatível com uma), e todas as alterações críticas já são controladas pela autorização do usuário. Para obter mais informações sobre a SIP, consulte Proteção da Integridade do Sistema em Segurança da Plataforma Apple.
As organizações podem, no entanto, impedir o acesso ao ambiente do recoveryOS, incluindo a tela de opções de inicialização, com o uso de uma senha do recoveryOS, disponível com macOS 11.5 ou posterior. Para obter mais informações, consulte a seção Senha do recoveryOS a seguir.
Políticas de segurança
O Mac com Apple silicon possui três políticas de segurança:
Segurança Total: o sistema se comporta como o iOS e o iPadOS, e só permite a inicialização de softwares identificados como os mais recentes disponíveis no momento da instalação.
Segurança Reduzida: este nível de política permite que o sistema execute versões mais antigas do macOS. Como as versões mais antigas do macOS inevitavelmente têm vulnerabilidades sem correção, este modo de segurança é descrito como Reduzido. Este também é o nível de política que precisa ser configurado manualmente para compatibilidade com as extensões de kernel (kexts) de inicialização sem usar uma solução de gerenciamento de dispositivos móveis (MDM) e Registro de Dispositivo Automatizado com Apple School Manager, Apple Business Manager ou Apple Business Essentials.
Segurança Permissiva: este nível de política é compatível com usuários que estão construindo, assinando e inicializando seus próprios kernels XNU personalizados. A Proteção da Integridade do Sistema (SIP) deve ser desativada antes de ativar o Modo Segurança Permissiva. Para obter mais informações, consulte Proteção da Integridade do Sistema em Segurança da Plataforma Apple.
Para obter mais informações sobre as políticas de segurança, consulte Controle da política de segurança do Disco de Inicialização para um Mac com Apple Silicon em Segurança da Plataforma Apple.
Senha do recoveryOS
Um Mac com Apple Silicon e macOS 11.5 ou posterior é compatível com a definição de uma senha do recoveryOS via MDM com o comando SetRecoveryLock. A menos que a senha do recoveryOS seja inserida, o usuário é impedido de acessar o ambiente de recuperação, incluindo a tela de opções de inicialização. Uma senha do recoveryOS pode ser definida apenas por meio do MDM, e para que o MDM atualize ou remova uma senha existente a senha atual deve ser fornecida. Como a senha do recoveryOS só pode ser definida, atualizada ou removida por meio do MDM, ao cancelar o registro de um computador Mac no MDM a senha do recoveryOS também é removida, caso ele tenha uma senha definida. Os administradores de MDM também podem verificar se foi definida uma senha correta para o recoveryOS usando o comando VerifyRecoveryLock.
Nota: definir uma senha do recoveryOS não impede a restauração de um computador Mac com Apple Silicon pelo Modo DFU usando o Apple Configurator, que também torna criptograficamente inacessíveis os dados anteriores contidos no Mac.
Utilitário de Segurança da Inicialização
Em computadores Mac com processador Intel e Chip de Segurança T2 da Apple, o Utilitário de Segurança da Inicialização lida com várias configurações de política de segurança. Para acessar o utilitário, inicialize no recoveryOS e selecione Utilitário de Segurança da Inicialização no menu Utilitários. Ele protege as configurações de segurança compatíveis contra a fácil manipulação por um invasor.
A política de inicialização segura pode ser configurada para usar um de três ajustes: Segurança Total, Segurança Média e Sem Segurança. Sem Segurança desativa completamente a avaliação de inicialização segura no processador Intel e permite que o usuário inicialize o que quiser.
Para obter mais informações sobre as políticas de segurança, consulte Utilitário de Segurança da Inicialização em um Mac com um chip Apple T2 Security em Segurança da Plataforma Apple.
Utilitário de Senha de Firmware
Os computadores Mac sem Apple silicon são compatíveis com uso de uma Senha de Firmware para impedir modificações indesejadas aos ajustes de firmware em um Mac específico. A Senha de Firmware é usada para impedir que os usuários selecionem modos de inicialização alternativos, como inicializar em Modo de Usuário Único ou recoveryOS, inicializar a partir de um volume não autorizado ou inicializar em Modo de Disco de Destino. Uma senha de firmware pode ser definida, atualizada ou removida por meio da ferramenta de linha de comando firmwarepasswd, do Utilitário de Senha de Firmware ou do MDM. Para o MDM poder atualizar ou remover uma senha de firmware, ele deve primeiro possuir a senha existente, se aplicável.
Nota: definir uma senha de firmware não impede a restauração do firmware do chip Apple T2 Security por meio do Modo DFU usando o Apple Configurator. Quando o Mac é restaurado, qualquer senha de firmware definida no dispositivo é removida e os dados no armazenamento interno são apagados com segurança.