Segurança de arranque no macOS
As políticas de segurança de arranque podem ajudar a restringir quem pode iniciar um Mac e que dispositivos podem ser utilizados para iniciar o Mac.
Controlo da política de segurança do disco de arranque num Mac com Apple Silicon
Ao contrário das políticas de segurança em computadores Mac baseados em Intel, as políticas de segurança num Mac com Apple Silicon são compatíveis com cada sistema operativo instalado. Isto significa que podem existir na mesma máquina várias instâncias instaladas do macOS com diferentes versões e políticas de segurança. Por este motivo, foi adicionado um seletor de sistema operativo ao Utilitário de Segurança de Arranque.
Num Mac com Apple Silicon, o Utilitário de Segurança de Arranque indica o estado geral de segurança configurado pelo utilizador do macOS, como o arranque de um kext ou a configuração da Proteção da integridade do sistema (SIP). Se alterar uma definição de segurança diminuir significativamente a segurança ou tornar o sistema mais vulnerável, os utilizadores têm de reiniciar com o recoveryOS ao manter premido o botão de alimentação (para que o malware não possa ativar o sinal, tal sendo apenas possível por uma pessoa com acesso físico) para fazer a alteração. Por este motivo, um Mac com Apple Silicon também não exigirá (nem suportará) uma palavra-passe de firmware — todas as alterações críticas já foram controladas por porta pela autorização do utilizador. Encontrará mais informação sobre SIP em Proteção da integridade do sistema na Segurança de Plataformas Apple.
No entanto, as organizações podem impedir o acesso ao ambiente do recoveryOS, incluindo o ecrã de opções de arranque, através da utilização de uma palavra-passe do recoveryOS, disponível com o macOS 11.5 ou posterior. Caso necessite de informação adicional, consulte a secção sobre a palavra-passe do recoveryOS abaixo.
Políticas de segurança
Existem três políticas de segurança para um Mac com Apple Silicon:
Segurança total: o sistema comporta-se como o iOS e o iPadOS, e só permite o arranque de software que se soubesse ser o mais recente disponível no momento da instalação.
Segurança reduzida: este nível de política permite que o sistema execute versões mais antigas do macOS. Visto que versões mais antigas do macOS têm inevitavelmente vulnerabilidades não corrigidas, este modo de segurança é descrito como Reduzido. Este também é o nível de política que tem de ser configurado manualmente para suportar o arranque de extensões kernel (kexts) sem utilizar uma solução de gestão de dispositivos móveis (MDM) e o registo automático de dispositivos com o Apple School Manager, Apple Business Manager ou Apple Business Essentials.
Segurança permissiva: este nível de política suporta utilizadores que criem, assinem e iniciem os seus próprios kernels XNU personalizados. A proteção de integridade do sistema (SIP) tem de estar desativada antes de o modo “Segurança permissiva” ser ativado. Encontrará mais informação em Proteção da integridade do sistema na Segurança de Plataformas Apple.
Encontrará mais informação acerca das políticas de segurança em Controlo da política de segurança do disco de arranque num Mac com Apple Silicon na Segurança de Plataformas Apple.
Palavra‑passe do recoveryOS
Um Mac com Apple Silicon e o macOS 11.5 ou posterior suporta a definição de uma palavra‑passe do recoveryOS através da solução MDM com o comando SetRecoveryLock. A menos que a palavra-passe do recoveryOS seja introduzida, um utilizador é impedido de aceder ao ambiente de recuperação, incluindo ao ecrã de opções de arranque. A palavra-passe do recoveryOS só pode ser definida através da solução MDM e, para que a solução MDM atualize ou remova uma palavra-passe existente, também é necessário fornecer a palavra-passe atual. Visto que a palavra-passe do recoveryOS só pode ser definida, atualizada ou removida através da solução MDM, anular o registo de um Mac da solução MDM que tem uma palavra-passe do recoveryOS definida também remove a palavra-passe. Os administradores MDM também podem verificar se está definida a palavra-passe correta do recoveryOS utilizando o novo comando VerifyRecoveryLock.
Nota: definir uma palavra-passe do recoveryOS não impede o restauro de um computador Mac com Apple Silicon através do modo DFU com o Apple Configurator, que também torna criptograficamente inacessíveis os dados anterior do Mac.
Utilitário de Segurança de Arranque
Em computadores Mac baseados em Intel com um chip de segurança T2 da Apple, o Utilitário de Segurança do Sistema gere um número de políticas de segurança. É possível aceder ao utilitário ao arrancar usando o recoveryOS e selecionando Utilitário de Segurança de Arranque no menu Utilitários e protege definições de segurança suportadas para uma fácil manipulação por um atacante.
Existem três definições para a configuração da política de arranque seguro: segurança total, segurança média e sem segurança. Sem segurança desativa por completo a avaliação de arranque seguro no processador Intel e permite que o utilizador efetue o arranque do que pretender.
Encontrará mais informação acerca das políticas de segurança em Utilitário de Segurança de Arranque num Mac com um chip de segurança T2 da Apple na Segurança de Plataformas Apple.
Utilitário de Palavra‑passe de Firmware
Os computadores Mac sem Apple Silicon suportam a utilização de uma palavra-passe de firmware para impedir modificações indesejadas de definições de firmware num Mac específico. A palavra-passe de firmware é usada para impedir que os utilizadores selecionem modos de arranque alternativos, como o arranque através do recoveryOS ou no modo de utilizador único, o arranque a partir de um volume não autorizado ou o arranque no modo disco de destino. É possível definir, atualizar ou remover uma palavra-passe de firmware com a ferramenta da linha de comandos firmwarepasswd, o Utilitário de Palavra-passe de Firmware ou a solução MDM. Para que a solução MDM atualize ou limpe uma palavra-passe de firmware, primeiro tem de saber a palavra-passe existente, se aplicável.
Nota: definir uma palavra-passe de firmware não impede o restauro do firmware do chip de segurança T2 da Apple através do modo DFU com o Apple Configurator. Quando o Mac é restaurado, qualquer palavra-passe de firmware no dispositivo é removida e os dados no armazenamento interno são apagados em segurança.