Утилита безопасной загрузки на компьютере Mac с чипом безопасности Apple T2
Обзор
На Mac с процессором Intel и чипом безопасности Apple T2 Утилита безопасной загрузки управляет рядом параметров политики безопасности. Для доступа к утилите необходимо выполнить загрузку в режиме recoveryOS и выбрать Утилиту безопасной загрузки в меню «Утилиты». Утилита защищает поддерживаемые параметры безопасности, усложняя манипуляции с ними со стороны злоумышленника.
Для внесения критически важных изменений в политику безопасности требуется аутентификация — даже в режиме восстановления. При первом открытии Утилиты безопасной загрузки она запрашивает у пользователя пароль администратора для основной установки macOS, которая связана с текущей загруженной версией recoveryOS. Если администратора не существует, сначала необходимо его создать, и только затем можно будет изменить политику. Для изменения политики чипу T2 требуется, чтобы на компьютере Mac была загружена среда recoveryOS и чтобы была пройдена аутентификация с использованием учетных данных, которые защищены Secure Enclave. Для изменения политики безопасности необходимо соблюдение двух неявных требований. recoveryOS:
Должна быть загружена с устройства хранения, напрямую подключенного к чипу T2, поскольку разделы на других устройствах не имеют учетных данных, которые защищены Secure Enclave и привязаны к внутреннему устройству хранения.
Должна находиться на томе APFS, поскольку поддерживается хранение только учетных данных аутентификации в режиме восстановления, отправленных в Secure Enclave на предзагрузочном томе APFS на диске. Тома в формате HFS+ не могут использовать безопасную загрузку.
Эта политика отображается только в Утилите безопасной загрузки на компьютерах Mac с процессором Intel и чипом T2. В большинстве случаев изменять политику безопасной загрузки не требуется, однако окончательное решение по настройке своих устройств остается за пользователями. Они могут выключить функцию безопасной загрузки на своем Mac в зависимости от своих потребностей или снять часть ограничений, действующих в отношении данной функции.
Изменения политики безопасной загрузки, внесенные в этом приложении, применяются только к оценке цепочки доверия, проверяемой процессором Intel. Параметр безопасной загрузки чипа T2 отключить невозможно.
Для политики безопасной загрузки можно установить один из трех вариантов: «Высший уровень безопасности», «Средний уровень безопасности» и «Функции безопасности отключены». Если выбран вариант «Функции безопасности отключены», процессор Intel не выполняет оценку безопасной загрузки, и пользователь может загружать все, что он хочет.
Политика загрузки «Высший уровень безопасности»
Высший уровень безопасности — это политика загрузки по умолчанию, которая во многом похожа на механизм работы iOS и iPadOS или на высший уровень безопасности на компьютере Mac с чипом Apple. При загрузке и подготовке к установке такого программного обеспечения оно «персонализируется» с помощью подписи, чей запрос на подписание содержит универсальный идентификатор чипа (ECID), то есть идентификатор чипа T2 в данном случае. В этом случае подпись, возвращаемая сервером подписания, является уникальной и может использоваться только этим конкретным чипом T2. Прошивка унифицированного расширяемого интерфейса (UEFi) проверяет, что при использовании высшего уровня безопасности подпись не просто предоставлена Apple, а предназначена для этого конкретного Mac, то есть что эта версия macOS привязана к этому Mac. Это помогает предупредить атаки методом отката, как описано в разделе, посвященном высшему уровню безопасности на компьютере Mac с чипом Apple.
Политика загрузки «Средний уровень безопасности»
Политика загрузки «Средний уровень безопасности» в некоторой степени похожа на традиционную безопасную загрузку UEFI, когда поставщик (в данном случае Apple) генерирует цифровую подпись для кода, чтобы подтвердить, что он получен от поставщика. Это не позволяет злоумышленникам вставить неподписанный код. Мы называем эту подпись «глобальной», поскольку ее можно использовать на любом компьютере Mac в течение любого периода времени, если в настоящее время на компьютере установлена политика «Средний уровень безопасности». iOS, iPadOS и сам чип T2 не поддерживают глобальные подписи. При такой настройке не предпринимается никаких действий для предотвращения атак методом отката.
Политика загрузки с носителя
Политика загрузки с носителя существует только на компьютере Mac с процессором Intel и чипом T2 и не зависит от политики безопасной загрузки. Даже если пользователь отключает безопасную загрузку, это не влияет на заданный по умолчанию запрет Mac загрузки с любого устройства, кроме устройства хранения, напрямую подключенного к чипу T2. (Политика загрузки с носителя не требуется на Mac с чипом Apple.) См. раздел Управление политикой безопасности Загрузочного диска.