Защита пароля прошивки на компьютере Mac с процессором Intel
macOS на компьютерах Mac с процессором Intel и чипом безопасности Apple T2 поддерживает использование пароля прошивки, что помогает предотвратить непреднамеренное изменение настроек прошивки на определенных компьютерах Mac. Пароль прошивки был создан для того, чтобы препятствовать выбору других режимов загрузки, таких как загрузка в режиме recoveryOS или однопользовательском режиме, загрузка из неразрешенного тома или загрузка в режиме внешнего диска.
Примечание. Пароль прошивки не требуется на компьютере Mac с чипом Apple, поскольку критически важные функциональные возможности прошивки перемещены в recoveryOS, в которой для доступа к критически важным функциям требуется аутентификация пользователя (если включена функция FileVault).
Базовый режим использования пароля прошивки доступен из Утилиты пароля прошивки в recoveryOS на компьютере Mac с процессором Intel без чипа T2 и из Утилиты безопасной загрузки на компьютере Mac с процессором Intel и чипом T2. Расширенные параметры (например запрос пароля при каждой загрузке) доступны через инструмент командной строки firmwarepasswd в macOS.
Установка пароля прошивки особенно важна для снижения риска атак на компьютеры Mac с процессором Intel без чипа T2, совершаемых при наличии физического доступа к компьютеру. Пароль прошивки может помешать злоумышленнику выполнить загрузку среды recoveryOS, чтобы иным способом выключить защиту целостности системы (SIP). А благодаря ограничению загрузки с других носителей злоумышленник не может запускать исполнение привилегированного кода из другой операционной системы для атаки на прошивки периферийных устройств.
Для помощи пользователям, которые забыли свой пароль, предусмотрен механизм сброса пароля прошивки. При загрузке требуется нажать особое сочетание клавиш, после чего будет показана уникальная для данной модели строка, которую нужно сообщить в AppleCare. AppleCare подписывает ресурс цифровой подписью, которая проверяется с помощью универсального идентификатора ресурса (URI). Если подпись подтверждена и содержимое относится к конкретному Mac, прошивка UEFI снимает пароль прошивки.
Если пользователь не хочет, чтобы кто-то другой мог программными средствами удалить его пароль прошивки, он может использовать параметр -disable-reset-capability в инструменте командной строки firmwarepasswd в macOS 10.15. Перед установкой этого параметра пользователь должен подтвердить, что в случае, если он забудет пароль и потребуется удаление пароля, пользователь должен будет оплатить замену материнской платы, которая необходима для достижения этой цели. Если организация хочет защитить свои компьютеры Mac от злоумышленников и сотрудников, она должна установить пароль прошивки в принадлежащих ей системах. Это можно сделать на устройстве любым из следующих способов:
вручную во время подготовки, используя инструмент командной строки
firmwarepasswd;с помощью сторонних инструментов управления, которые используют инструмент командной строки
firmwarepasswd;с помощью системы управления мобильными устройствами (MDM).