如何在macOS中使用启动安全选项

在当今数字世界中，计算机安全是一个重要的话题，大部分电子设备都存在不同程度的风险。

苹果公司一直努力使其平台变得安全，但攻击者仍然有办法入侵、窃取数据并破坏苹果系统。

请始终记住，“没有绝对安全的东西”。

您能做的最好的事情就是尽量减少设备或系统的“攻击面”，使威胁行为者尽可能难以访问您的系统。

从一开始，苹果就使macOS非常安全。它是世界上最安全的操作系统之一。

iOS和tvOS设备更加安全，因为它们只能从Apple的精选App Store加载软件。除非使用非法的越狱软件绕过设备的安全性。

还要记住，至少在美国，越狱计算设备是违反数字千年版权法的行为，这是一种联邦犯罪。

计算设备上最容易受到攻击的一个关键时刻是设备启动时。

大多数计算机，包括智能手机和平板电脑，在开机过程中会经历一种称为“引导”（boot-strapping）的过程。在此过程中，操作系统尚未加载 – 设备上运行的软件非常少。

攻击者可以利用这一点执行各种攻击，绕过操作系统。他们还可以安装恶意软件，如病毒、特洛伊木马程序和固件，以允许自定义代码运行，甚至损坏设备。

在更新的iOS设备上，苹果通过“安全区域”或T2安全芯片解决了这个问题。

安全区域是设备中受保护的硬件区域，使用硬件和加密来保护设备。

出于历史原因，Mac的安全性不如iOS设备那样强大，因此，威胁行为者可以在早期的Mac上安装可以破坏其安全性的软件。

包含Intel CPU的更高版本Mac包含了T2安全芯片，以避免这些问题。基于M2的Apple Silicon Mac和之后的版本都内置了安全区域。

带有T2芯片的Mac的存储设备使用与硬件绑定的密钥进行加密，以提供额外的安全级别。

这意味着在T2芯片为基础的Mac上恢复丢失或损坏的文件是困难的。任何试图恢复加密存储卷的实用程序都必须知道如何使用与Mac硬件绑定的安全密钥。

由于明显的原因，苹果没有发布有关此问题的文档。

在Apple Silicon Mac上，所有的macOS启动磁盘卷都是加密的。苹果称它们为已签名的系统卷。

Apple Silicon Mac不会在没有来自Apple的有效密码签名的已签名系统卷上执行任何系统文件。

这使得在Apple Silicon Mac上篡改macOS系统文件并使其运行变得更加困难。

然而，Macs中最大的安全隐患之一是启动盘本身。

当您的Mac启动时，首先加载一小部分固件 – 引导ROM，以启动其所有内部系统。然后它运行一些固件来初始化一些东西，如显示屏和网络。

这些代码的大部分都包含在Mac硬件中。

然后，Mac引导ROM交接给其他两个固件：LLB和iBoot。

iBoot实际上由两部分组成，如果第二部分确认一切正常，它会寻找内部或连接的存储设备以从中加载macOS内核。

安全问题就出在这里。

也许在启动过程中最大的安全风险是可以随时连接其他存储设备到Mac上 – 通过USB、Thunderbolt或网络接口。

已签名的系统卷确保只能引导有效版本的macOS。但在此时仍然有可能遭到威胁行为者插入恶意代码的攻击。

但请始终记住，除非Mac的启动顺序受到保护，任何威胁行为者都可以简单地将外部设备连接到Mac上，重新启动Mac，强制其引导到该设备。

有几种方法可以为您的启动盘和Mac总体进行密码保护，我们将在下文讨论。

一旦引导到外部设备，攻击者可以复制和窃取文件，在您的Mac上植入恶意代码，甚至将其用作用于互联网上的网络战争的远程终端。

包括苹果在内的许多公司已经因将文件复制到外部设备而被工业间谍窃取商业机密。

甚至苹果的“Project Titan”汽车项目也是通过这种方式被窃取的。

有几种方式可以保护您的Mac。使用苹果公司内置的软件，您可以：

1. 使用启动安全性实用程序
2. 使用安全引导和外部引导
3. 禁止从外部设备引导
4. 在启动时为您的Mac设置密码保护
5. 限制用户和登录密码
6. 为一个或多个存储设备设置密码保护
7. 在安全模式下启动
8. 使用锁定模式
9. 使用MDM远程锁定Mac

“启动安全性实用程序”是苹果从包含T2安全芯片和以后型号的Mac开始添加的一个应用程序。

固件密码会在加载操作系统之前停止引导过程，并提示用户输入密码。

使用启动安全性实用程序，您可以设置固件密码，启用安全引导或启用/禁用外部引导。最后两个选项需要T2芯片。

要在Intel Mac上运行启动安全性实用程序，请打开Mac电源，并在键盘上按住“Command ()-R”。这将进入macOS恢复模式。

macOS恢复是一个特殊的应用程序，存在于Mac的固件中，允许访问macOS的一部分功能，如安装程序、磁盘工具、终端和启动安全性实用程序。

当您在键盘上按住Command ()-R时，Mac的引导加载程序将把引导过程导向macOS恢复，而不是在启动盘上的macOS副本。

进入macOS恢复后，您只能运行其中一个可用程序，或者退出或重新启动。

在macOS恢复中，输入您的用户管理员密码，然后从菜单栏选择“实用工具->启动安全性实用程序”。

在启动安全性实用程序中，您可以设置固件密码，设置在启动时使用的安全级别（安全引导）以及是否允许从外部媒体引导（外部引导）。

启动安全性实用程序中的“完全安全”选项会导致Mac固件通过与Apple的服务器联系来远程验证安装的macOS版本。

因此，如果选择设置该选项，您需要进行网络连接。

您还可以完全关闭安全引导-允许任意安装的macOS版本引导。

启动安全性实用程序。

在Apple Silicon Mac上，过程略有不同。

在Apple Silicon Mac上启动时，按住Mac的电源按钮，直到出现“加载启动选项”的字样。

点击“选项”，然后点击“继续”。接下来，选择一个“启动磁盘”，然后点击“下一步”。

输入管理员密码，然后点击“继续”。

在恢复应用程序中，选择“实用工具->启动安全性实用程序”。然后，选择要用于设置安全策略的系统。

如果所选存储卷已打开了FileVault，则需要先解锁它，方法是输入其密码。

进入启动安全性实用程序的安全策略部分后，您只有两个选择：“完全安全”或“降低安全性”。

如果Mac支持，启用完全安全性时，只允许运行当前版本的macOS。

这也需要网络连接。

在降低安全性下，如果Mac支持的话，允许运行任何受信任的、签名的macOS版本。

在降低安全性下，您还可以设置要允许和管理旧的内核扩展的选项，如果希望允许它们运行。

设置完所有选项后，点击“确定”，然后重新启动Mac。更改只有在重新启动后才会生效。

用户登录密码是另一个安全风险。

默认情况下，macOS安装程序和设置应用程序要求用户在首次设置Mac时输入用户名和密码。

但是，假设所讨论的用户是管理员用户，可以在系统设置中完全关闭用户登录，不要求用户登录时输入密码。

这样做是完全不安全的，因为Mac将在启动后无需任何干预即进入Finder。

因此，您应该始终要求所有用户设置密码。

在“系统设置->用户与群组”下，还可以打开“自动登录为”选项，并设置为以机器上列出的任何用户登录。

用户与群组中的自动登录为面板。

在用户与群组下，还可以启用“来宾用户”，不需要输入密码即可登录。

如果您在使用Active Directory（AD）管理用户的环境中，可以通过添加存储在AD服务器上的AD凭据（或Microsoft的Entry ID云服务中）允许用户登录。

您还可以从此面板中打开macOS隐藏的Directory Utility应用程序（在网络账户服务器面板中）。

在macOS中，您还可以为各个存储卷设置密码保护，以便在用户输入密码之前无法挂载。

这样，如果用户不知道密码，访问卷上的文件将变得更加困难。

但是，请注意，首先必须使用苹果的磁盘工具应用程序对卷进行擦除和加密。

为此，首先备份卷上的文件以便以后恢复，然后在”/Applications/Utilities”文件夹中运行苹果的磁盘工具应用程序。

在磁盘工具中选择要加密的卷，点击工具栏中的“抹掉”，输入一个卷名称，选择“GUID分区图”，并从弹出菜单中选择一个加密的文件系统格式。

为加密卷输入和验证密码，然后点击“选择”。点击“抹掉”，然后点击“完成”。

磁盘工具将擦除卷，对其进行加密，并使用您输入的密码对其进行安全保护。

下次重新启动Mac或将包含卷的设备连接到Mac时，您将被提示输入密码，以便在Finder的桌面上挂载卷。

您也可以在Finder窗口的侧边栏中加密卷，而无需擦除它们，只需在上方选择“右键点击”，然后从弹出菜单中选择“加密”即可。

macOS允许使用遗留的内核扩展（KEXTs），这些是可以在macOS内核中使用自定义代码扩展功能的软件组件。

在macOS 11及之后的版本中，苹果弃用了KEXTs，转而使用被认为更安全、如果代码执行不正常也不容易导致macOS崩溃的系统扩展。

在启动时，macOS将所有的KEXT合并到一个“辅助内核集合”（AuxKC）中，然后运行上面提到的某些固件。

只有在大部分固件引导过程完成后，AuxKC才被加载到内核中，允许KEXTs运行。

在macOS中，通过使用“安全模式”，可以启动macOS但排除AuxKC，以防止加载KEXTs。

要将Mac启动到安全模式，请如上面提到的方式，进入恢复模式。当您选择要使用的存储卷时，按住“Shift”键，然后继续执行上面列出的步骤。

当您的Mac重新启动时，它将从指定的存储卷加载macOS，但会告诉iBoot不要加载AuxKC。

根据苹果公司的说法，锁定模式“有助于保护设备免受极为罕见和高度复杂的网络攻击。”

锁定模式实质上限制了macOS中可用的功能，以减少“攻击面”。

当锁定模式开启时，macOS不会包含常规操作下的全部功能。锁定模式限制了某些网络活动，如在信息和FaceTime中发送附件，一些网络技术、设备连接和配置文件。

有关锁定模式的限制，请参阅苹果的技术说明。

您可以在macOS中的“系统设置->隐私与安全->锁定模式”中打开锁定模式。

苹果的“移动设备管理”（MDM）技术允许Macintosh系统管理员使用MDM服务器远程锁定Mac。

要使用MDM远程锁定Mac，Mac必须在MDM服务器上注册，并且管理员必须设置在什么条件下Mac将被锁定的MDM条件。

一旦在MDM中注册，远程锁定完全受服务器和服务器管理员的控制。

MDM由管理员用于远程禁用可能对组织网络构成威胁的苹果设备。

安全是一个复杂的话题，您可以通过多种方式提高Mac的安全性。

在本文中，我们没有涵盖FileVault安全性以及Mac的系统完整性保护，我们会在将来的文章中进行介绍。