Kontroll av sikkerhetsregelsett for Startdisk for Macer med Apple-chip

Oversikt

I motsetning til sikkerhetsregelsett på Intel-baserte Macer, gjelder sikkerhetsregelsettet på Macer med Apple-chip for hvert installerte operativsystem. Dette betyr at det støttes flere installerte macOS-forekomster med forskjellige versjoner og sikkerhetsregelsett på samme Mac. Dette er grunnen til at det er lagt til en operativsystemvelger i Oppstartssikkerhetsverktøy.

På Macer med Apple-chip indikerer System Security Utility den totale brukerkonfigurerte sikkerhetstilstanden til macOS, for eksempel oppstart av en kjerneutvidelse eller konfigurering av System Integrity Protection (SIP). Hvis endring av en sikkerhetsinnstilling ville svekke sikkerheten betydelig eller gjøre systemet lettere å kompromittere, må brukerne gå inn i recoveryOS ved å holde nede av/på-knappen (slik at skadelig programvare ikke kan utløse signalet, kun et menneske med fysisk tilgang kan gjøre det), for å utføre endringen. På grunn av dette vil heller ikke Macer med Apple-chip kreve (eller støtte) et firmwarepassord. Alle kritiske endringer styres allerede av brukergodkjenning. Du finner mer informasjon om SIP under System Integrity Protection.

Full sikkerhet og Redusert sikkerhet kan angis ved bruk av Oppstartssikkerhetsverktøy fra recoveryOS. Middels sikkerhet er imidlertid kun tilgjengelig fra kommandolinjeverktøy for brukere som aksepterer risikoen med å gjøre Macen mye mindre sikker.

Full sikkerhet-regelsett

Valget for full sikkerhet er standard, og det fungerer som på iOS og iPadOS. Når programvaren lastes ned og forberedes for installering, vil macOS, i stedet for å bruke den globale signaturen som følger med programvaren, kontakte den samme Apple-signeringstjeneren som brukes for iOS og iPadOS og be om en ny «tilpasset» signatur. En signatur er tilpasset når den inkluderer Exclusive Chip Identification (ECID), som er en unik ID som er spesifikk for Apple-prosessoren i dette tilfellet – som en del av signeringsforespørselen. Signaturen som returneres fra signeringstjeneren, er da unik og kan kun brukes av den spesifikke Apple-prosessoren. Når Full sikkerhet-regelsettet er i bruk, bidrar oppstart-ROM og LLB til å sikre at en gitt signatur ikke bare er signert av Apple, men er signert for denne spesifikke Macen, noe som i praksis binder den aktuelle versjonen av macOS til Macen.

Bruk av en nettbasert signeringstjener gir også bedre beskyttelse mot tilbakerullingsangrep enn typiske globale signaturtilnærminger. I et globalt sikkerhetssystem kunne sikkerhetsversjonen ha rullert flere ganger, men et system som aldri har sett den nyeste firmwaren, vil ikke være klar over det. For eksempel vil en datamaskin som tror at den er i sikkerhetsversjon 1 godta programvare fra sikkerhetsversjon 2, selv om den aktuelle sikkerhetsversjonen er 5. Med et Apple-chip-basert signeringssystem på nettet, kan signeringstjeneren avvise oppretting av signaturer for programvare som befinner seg i annet enn den nyeste sikkerhetsversjonen.

Hvis en angriper oppdager en sårbarhet etter et sikkerhetsversjonsskifte, kan den heller ikke bare hente den sårbare programvaren fra en tidligere sikkerhetsversjon fra system A og bruke den på system B for å angripe den. Det faktum at den sårbare programvaren fra en eldre sikkerhetsversjon har blitt tilpasset for system A, bidrar til å forhindre at den kan overføres og dermed brukes til å angripe system B. Alle disse mekanismene fungerer sammen og utgjør sterkere garantier for at angripere ikke kan plassere sårbar programvare på en Mac for å omgå beskyttelsen til den nyeste programvaren. En person som har et administratorbrukernavn og passord til Macen, kan imidlertid alltid velge det sikkerhetsregelsettet som passer best for deres bruk.

Redusert sikkerhet-regelsett

Redusert sikkerhet ligner på Middels sikkerhet-adferden på Intel-baserte Macer med T2-brikke, der en leverandør (i dette tilfellet Apple) genererer en digital signatur for koden for å bekrefte at den kommer fra leverandøren. Denne designen bidrar til å hindre angripere i å sette inn usignert kode. Apple kaller denne signaturen en «global» signatur fordi den kan brukes på en hvilken som helst Mac, uten tidsbegrensning, for en Mac som for øyeblikket har et Redusert sikkerhet-regelsett. Redusert sikkerhet gir ikke selv beskyttelse mot tilbakerullingsangrep (selv om uautoriserte endringer i operativsystemet kan gjøre brukerdata utilgjengelig). Du finner mer informasjon om dette under Kjerneutvidelser på Macer med Apple-chip.

I tillegg til å gjøre det mulig for brukere å kjøre eldre versjoner av macOS, er Redusert sikkerhet påkrevd for andre handlinger som kan utsette brukerens systemsikkerhet for risiko, for eksempel å introdusere kjerneutvidelser fra tredjeparter. Kjerneutvidelser har de samme rettighetene som kjernen, og derfor kan sårbarheter i kjerneutvidelser fra tredjeparter føre til et fullstendig kompromittert operativsystem. Dette er grunnen til at utviklere oppfordres sterkt til å ta i bruk systemutvidelser før støtte av kjerneutvidelser fjernes fra macOS for fremtidige Macer med Apple-chip. Selv når kjerneutvidelser fra tredjeparter aktiveres, kan de ikke lastes inn i kjernen ved behov. I stedet slås kjerneutvidelsene sammen i en Auxiliary Kernel Collection (AuxKC), der hashen er lagret i LocalPolicy, noe som krever en omstart. Du finner mer informasjon om generering av AuxKC under Utvide kjernen på en sikker måte i macOS.

Middels sikkerhet-regelsett

Middels sikkerhet er for brukere som godtar risikoen med å sette Macen inn i en mye mer usikker tilstand. Denne modusen er forskjellig fra Ingen sikkerhet-modus på Intel-baserte Macer med T2-brikke. Med Midddels sikkerhet utføres signaturverifisering fortsatt langs hele den sikre oppstartssekvensen, men hvis regelsettet settes til Middels, signaliserer det at iBoot skal akseptere lokale Secure Enclave-signerte oppstartsobjekter, for eksempel en brukergenerert Boot Kernel Collection bygd fra tilpasset XNU-kjerne. Middels sikkerhet har på denne måten funksjonalitet i arkitekturen for å kjøre en tilfeldig «fullstendig ikke-godkjent operativsystem»-kjerne. Når en tilpasset oppstartskjernesamling eller et fullstendig ikke-godkjent operativsystem lastes i systemet, blir noen dekrypteringsnøkler utilgjengelige Dette er utviklet for å forhindre at et fullstendig ikke-godkjent operativsystem får tilgang til data fra godkjente operativsystemer.

Middels sikkerhet skiller seg også fra Ingen sikkerhet på Intel-baserte Macer med T2-brikke på en annen måte. Det er en forutsetning for noen sikkerhetsnedgraderinger som tidligere har vært uavhengig kontrollerbare. For å deaktivere System Integrity Protection (SIP) på Macer med Apple-chip må brukeren anerkjenne at de setter systemet til Middels sikkerhet. Dette er påkrevd fordi deaktivering av SIP alltid har satt systemet i en tilstand som gjør kjernen mye enklere å kompromittere. Hvis du deaktiverer SIP på en Mac med Apple-chip, deaktiveres håndheving av kjerneutvidelsessignatur under AuxKC-genereringstid, noe som tillater at tilfeldige kjerneutvidelser kan lastes inn i kjerneminnet. En annen SIP-forbedring som er gjort på Macer med Apple-chip, er at regelsettlageret er flyttet ut av NVRAM og inn i LocalPolicy. Dermed krever deaktivering av SIP autentisering av en bruker som har tilgang til signeringsnøkkelen til LocalPolicy fra recoveryOS (ved å holde nede Av/på-knappen). Dette gjør det betydelig mer vanskelig for en som kun angriper programvare, eller til og med en angriper som er fysisk til stede, å deaktivere SIP.

Det er ikke mulig å nedgradere til Middels sikkerhet fra Oppstartssikkerhetsverktøy-appen. Brukerne kan kun nedgradere ved å kjøre kommandolinjeverktøy fra Terminal i recoveryOS, for eksempel csrutil (for å deaktivere SIP). Etter at brukeren har nedgradert, gjenspeiles dette i Oppstartssikkerhetsverktøy, slik at en bruker enkelt kan angi sikkerheten til en sikrere modus.