受攻擊時保護用户資料
企圖截取用户資料的攻擊者,通常會嘗試多種手法:將加密的資料截取到另一個媒介上,以進行暴力密碼破解攻擊;操縱作業系統版本;或是更改或弱化裝置的保安規則以便發動攻擊。如要攻擊裝置上的資料,通常需要使用實體介面(例如 Thunderbolt、Lightning 或 USB-C)來與裝置通訊。Apple 裝置提供的功能有助於抵禦這類攻擊。
Apple 裝置支援「密封密鑰保護」(SKP)技術,其設計用意是確保加密編譯材料一旦離開裝置,或是如果作業系統版本或保安設定在無適當用户授權的情況下被操縱,便無法進行存取。這個功能並非由「安全隔離區」提供,而是由位於較低層級的硬件暫存器支援,以便為解密非「安全隔離區」相關之用户資料所需的密鑰,提供額外保護。
SKP 只在配備下列 Apple 設計 SoC 的裝置上提供:
A11 或較新晶片
S3 或較新晶片
M1 或較新晶片
iPad 和 iPhone 裝置也可以設定為只在更可能顯示裝置仍受到授權擁有者實體控制的情況下啟用資料連線。
自動重新啟動
「自動重新啟動」是 iOS 18.1 iPadOS 18.1 及較新版本中的保安機制,利用「安全隔離區」來監察裝置解鎖事件。如裝置長時間維持鎖定,裝置會自動重新啟動,從「首次解鎖後」狀態轉移至「首次解鎖前」狀態。在重新啟動期間,裝置會從記憶體中清除敏感的保安密鑰及暫存資料。
為提供額外控制,在使用 iOS 18.4、iPadOS 18.4 或較新版本的裝置上,IdleRebootAllowed 設定允許裝置管理的管理員開啟或關閉「自動重新啟動」。透過此設定,管理員可以經由程式編寫方式開啟或關閉「自動重新啟動」行為,以配合機構的保安通訊協定和營運要求。
附註:在受監管的裝置上,「自動重新啟動」預設為關閉。
雖然「自動重新啟動」能增強保安,但可能會無意中導致裝置在重新啟動時失去 Wi-Fi 連線。這種連線中斷的情況可能會中斷裝置管理服務的運作,特別是在持續網絡存取的環境中尤其重要。