أداة أمن بدء التشغيل على Mac مزود بشريحة Apple T2 أمنية
على أجهزة كمبيوتر Mac المستندة إلى Intel المزودة بشريحة Apple T2 أمنية، تتعامل أداة أمن بدء التشغيل مع عدد من إعدادات سياسة الأمن. يمكن للمستخدمين الوصول إلى الأداة عن طريق التمهيد إلى recoveryOS واختيار أداة أمن بدء التشغيل، وهي تحمي إعدادات الأمن المدعومة من التلاعب السهل من قبل المهاجم.
تتطلب تغييرات السياسة الجوهرية وجود مصادقة، حتى في وضع الاسترداد. عند فتح أداة أمن بدء التشغيل لأول مرة، فإنها تطالب المستخدم بإدخال كلمة سر المسؤول من تثبيت macOS الأساسي المرتبط بـ recoveryOS الذي يتم تمهيده حاليًا. في حالة عدم وجود مسؤول، يجب إنشاء واحد قبل تغيير السياسة. قبل أن تسمح شريحة T2 بتغيير السياسة، يحتاج جهاز كمبيوتر Mac إلى التمهيد في نظام recoveryOS ويجب على المستخدم المصادقة باستخدام بيانات اعتماد مدعومة من Secure Enclave. تحتوي تغييرات سياسة الأمن على متطلبين ضمنيين. يحتاج recoveryOS إلى:
التمهيد من جهاز تخزين متصل مباشرةً بشريحة T2، لأن الأقسام الموجودة على الأجهزة الأخرى لا تحتوي على بيانات اعتماد مدعومة من Secure Enclave مرتبطة بجهاز التخزين الداخلي.
أن يكون موجودًا على وحدة تخزين تستند إلى APFS، نظرًا لعدم وجود دعم إلا لتخزين بيانات اعتماد المصادقة في الاسترداد المرسلة إلى Secure Enclave على وحدة تخزين APFS "ما قبل التمهيد" بمحرك الأقراص. لا يمكن لوحدات التخزين بتنسيق HFS plus استخدام التمهيد الآمن.
لا يتم عرض هذه السياسة إلا في أداة أمن بدء التشغيل على Mac مستند إلى Intel مزود بشريحة T2. على الرغم من أن معظم حالات الاستخدام يجب ألا تتطلب تغييرات في سياسة التمهيد الآمن، إلا أن المستخدمين يتحكمون في النهاية في إعدادات أجهزتهم، وقد يختارون، حسب احتياجاتهم، إيقاف وظيفة التمهيد الآمن على الـ Mac الخاص بهم أو إرجاعها إلى إصدار قديم.
لا تنطبق تغييرات سياسة التمهيد الآمن التي تم إجراؤها من داخل هذا التطبيق إلا على تقييم سلسلة الثقة التي يتم التحقق منها على معالج Intel. ويكون خيار "التمهيد الآمن لشريحة T2" ساري المفعول دائمًا.
يمكن تكوين سياسة التمهيد الآمن إلى أحد الإعدادات الثلاثة: تأمين كامل وتأمين متوسط وبلا تأمين. "بلا تأمين" يوقف تقييم التمهيد الآمن تمامًا على معالج Intel ويسمح للمستخدم بتمهيد كل ما يريد.
سياسة تمهيد التأمين الكامل
سياسة التأمين الكامل هي سياسة التمهيد الافتراضية، وتتصرف بشكل مشابه لـ iOS و iPadOS أو التأمين الكامل على Mac مزود بسيليكون Apple. في الوقت الذي يتم فيه تخفيض مستوى أمن البرنامج وتحضيره للتثبيت، يتم تخصيصه بتوقيع يتضمن معرف الشريحة الحصري (ECID) -وهو معرف فريد خاص بشريحة T2 في هذه الحالة - كجزء من طلب التوقيع. ويكون التوقيع الذي يرجع من خادم التوقيع فريدًا وقابلاً للاستخدام فقط بواسطة شريحة T2 المعينة هذه. تم تصميم البرنامج الثابت لواجهة البرامج الثابتة القابلة للتوسعة الموحدة (UEFI) لضمان أنه عندما تكون سياسة التأمين الكامل سارية المفعول، لا يكون التوقيع المحدد موقعًا من قِبل Apple فحسب، بل تم توقيعه لهذا الـ Mac بالتحديد، ويربط هذا الإصدار من macOS بشكل أساسي بهذا الـ Mac. وهذا يساعد في منع هجمات التراجع كما هو موضح في سياسة التأمين الكامل على Mac مزود بسيليكون Apple.
سياسة تمهيد التأمين المتوسط
تشبه سياسة تمهيد التأمين المتوسط إلى حد ما سياسة تمهيد UEFI الآمن التقليدية، حيث يقوم المورّد (الذي تمثله Apple في هذه الحالة) بإنشاء توقيع رقمي للتعليمات البرمجية لتأكيد أن مصدرها هو المورّد. وبهذه الطريقة، يتم منع المهاجمين من إدراج تعليمات برمجية غير موقّعة. ونُشير إلى هذا التوقيع على أنه توقيع "عام"، لأنه يمكن استخدامه على أي Mac، لأي فترة زمنية، لأجهزة كمبيوتر Mac التي تم تعيين سياسة التأمين المتوسط بها حاليًا. لا يدعم iOS أو iPadOS أو شريحة T2 ذاتها التوقيعات العامة. ولا يحاول هذا الإعداد منع هجمات التراجع.
سياسة تمهيد الوسائط
لا توجد سياسة تمهيد الوسائط إلا على أجهزة كمبيوتر Mac المستندة إلى Intel المزودة بشريحة T2 وهي مستقلة عن سياسة التمهيد الآمن. حتى إذا أوقف المستخدم التمهيد الآمن، فإن هذا لا يغير السلوك الافتراضي المتمثل في منع تمهيد الـ Mac من أي شيء آخر غير جهاز التخزين المتصل مباشرة بشريحة T2. (سياسة إقلاع الوسائط غير مطلوبة على Mac مزود بسيليكون Apple. لمزيد من المعلومات، انظر التحكم في سياسة أمن قرص بدء التشغيل).