Apples iMac Pro leveres med en ny funksjon, kalt Secure Boot, som benytter seg av den innebygde Apple T2-brikken, en ARM-prosessor som ligner på den i en iPad eller iPhone, slik at datamaskinens firmware kan validere bootloader før lasting.
T2-brikken validerer hele oppstartsprosessen når strømmen slås på, samtidig som den sikrer at de laveste programvarenivået ikke blir tuklet med, og at bare den første oppstartslasteren og operativsystemprogramvaren som er klarert av Apple, laster ved oppstart.
Hva er Secure Boot?
Secure Boot er en ny funksjon eksklusiv for iMac Pro som hjelper deg med å sikre at datamaskinen alltid starter opp fra den angitte startdisken og alltid fra et pålitelig operativsystem..
Secure Boot-innstillinger er tilgjengelige i Startup Security Utility, som bare er tilgjengelig gjennom MacOSs gjenopprettingsmodus.
Startup Security Utility tilbyr følgende veksler for å sikre iMac Pro mot uautorisert tilgang (vi vil detaljere alle tre innstillingene i denne artikkelen):
- Firmware-passordbeskyttelse-Hindre datamaskinen fra å starte opp uten å oppgi firmware-passordet.
- Sikker oppstart-Juster datamaskinens oppstartssikkerhetsnivå.
- Ekstern støvel-Ikke tillat oppstart fra eksterne medier.
Husk at iMac Pro for øyeblikket ikke støtter oppstart fra nettverksvolum selv om NetBoot sannsynligvis kommer til Secure Boot i en fremtidig programvareoppdatering.
Sikre oppstartsinnstillinger påvirker ikke Target Disk Mode. Denne modusen, påkalt ved å holde “T” når du starter datamaskinen, gjør iMac Pro til en ekstern disk for en annen Mac.
Med andre ord, Secure Boot vil ikke hindre en dårlig aktør med fysisk tilgang til datamaskinen din fra å starte opp datamaskinen din i Target Disk Mode og montere den på Mac-en med full tilgang til alle tilknyttede stasjoner og volumer.
Å slå på FileVault-diskkryptering, som knytter SSD-kryptering til passordet ditt, hjelper med å dempe dette problemet fordi det forhindrer at data på SSD-en blir dekryptert uten riktig maskinvare og ditt passord.
Secure Boot-funksjoner er ikke tilgjengelige på ikke-iMac Pro-modeller.
OPPLÆRINGEN: Alle måtene du kan starte opp Mac-en på
Hvis du ikke eier en iMac Pro, vil det å lage et sterkt firmware-passord gjøre det umulig for andre å starte datamaskinen fra en annen disk enn den angitte startdisken uten passordet..
Hvordan justere iMac Pro sikkerhetsnivå
1) Start eller slå på iMac Pro på nytt, og hold deretter inne Kommando (⌘) -R umiddelbart etter at du ser Apple-logoen. Dette vil starte maskinen i macOSs gjenopprettingsmodus.
2) Klikk verktøy i menylinjen i vinduet Verktøy.
3) Klikk Oppstartssikkerhetsverktøy i vinduet Verktøy.
TIPS: Hvis sikkerhetsverktøyet Startup Security ikke åpnes, har du ikke opprettet noen brukerkontoer på datamaskinen, eller Setup Assistant er ikke kjørt ennå.
4) Når du blir bedt om å autentisere, klikker du Skriv inn macOS-passord, Velg deretter en administratorkonto og skriv inn passordet.
5) Startup Security Utility presenterer tre Secure Boot-innstillinger:
- Full sikkerhet-Standardinnstillingen som gir det høyeste sikkerhetsnivået. Det kan være nødvendig med en aktiv Internett-tilkobling ved installering av programvare, slik at iMac Pro kan bekrefte at den starter opp en macOS- eller Windows-versjon som ikke har blitt tuklet med på noen måte. La denne innstillingen være aktivert for å kjøre en macOS- eller Windows-versjon som for øyeblikket er installert på iMac Pro, eller et hvilket som helst kryptografisk signert operativsystem som er klarert av Apple.
- Middels sikkerhet-Denne innstillingen verifiserer macOS- eller Windows-versjonen på oppstartsdisken bare for å se om den er signert riktig av Apple eller Microsoft, men krever ikke en Internett-tilkobling eller oppdatert integritet informasjon fra Apple. Det forhindrer ikke at maskinen kjører et operativsystem som ikke lenger er klarert av Apple. Bruk denne innstillingen til å starte opp i eldre versjoner av macOS uavhengig av Apples tillitsnivå.
- Ingen sikkerhet-Dette er den laveste sikkerhetsinnstillingen som ikke håndhever noen sikkerhetskrav for det oppstartbare operativsystemet på oppstartsdisken. Bruk den til å starte opp i Linux eller et hvilket som helst annet operativsystem som støttes på maskinvaren, ingen signering eller verifisering med Apple kreves. Dette er slik alle andre Mac-maskiner for øyeblikket starter opp.
Hvis du bruker Boot Camp, kan du starte i Windows 10 mens du forblir fullstendig sikker fordi T2-brikken og Secure Boot begge respekterer Microsofts signeringsmyndighet for Windows 10 som begynner med 2017s Fall Creators Update.
6) Lukk vinduet Startup Security Utility.
7) Klikk Omstart i Apple-menyen for å starte maskinen på nytt med sikkerhetsinnstillingene på plass.
MERK: Hvis du har valgt enten Full eller Medium sikkerhet og operativsystemet på oppstartsdisken ikke har passert bekreftelse, er det dette som skjer:
- Mac os-Det dukker opp et varsel som informerer deg om at det kreves en programvareoppdatering for å bruke oppstartsdisken. Klikk Oppdater for å åpne macOS-installasjonsprogrammet, som du kan bruke til å installere macOS på startdisken (dette krever en Internett-tilkobling). Hvis du ikke vil oppgradere den installerte kopien av macOS til den nyeste tilgjengelige versjonen, velger du Startdisk alternativet i stedet, og velg deretter en annen startdisk som Secure Boot vil prøve å bekrefte.
- Windows: Et varsel informerer deg om at du må installere vinduer med Boot Camp Assistant.
MERK: Hvis du slår av full sikkerhet og deretter slår den på igjen, blir du bedt om å gå online.
Hvis du lurer på effekten av å tilbakestille NVRAM på Secure Boot-innstillinger, er det ingen. Når nullstillingen av NVRAM slås på System Integrity Protection (hvis den var deaktivert), forblir Secure Boot-innstillingene dine de samme som før tilbakestillingen.
Les videre for detaljerte beskrivelser av sikkerhetsinnstillinger for Full og Medium.
Om full sikkerhet
Et sikkerhetsnivå som tidligere bare var tilgjengelig på iOS-enheter. Denne innstillingen sikrer at bare et oppdatert operativsystem (macOS) eller et kryptografisk signert operativsystem som for øyeblikket er klarert av Apple (Microsoft Windows), er i stand til å kjøre på datamaskinen din. Ingen andre operativsystemer får lov til å kjøre på denne iMac Pro.
Hvis Secure Boot finner et ukjent operativsystem på oppstartstasjonen eller ikke kan bekrefte det, kobler datamaskinen til Internett og laster ned den oppdaterte integritetsinformasjonen fra Apple den trenger for å bekrefte operativsystemet. "Denne informasjonen er unik for iMac Pro, og den sikrer at iMac Pro starter opp fra et operativsystem som er klarert av Apple," ifølge selskapet.
Hvis du er frakoblet, kan det hende du ser et varsel som sier at en Internett-tilkobling er nødvendig. Velg et aktivt Wi-Fi-nettverk fra menylinjen, og klikk deretter Prøv igjen.
Hvis iMac Pro bruker FileVault-diskkryptering, kan det hende du blir bedt om å oppgi et passord for å låse opp disken før datamaskinen prøver å hente oppdatert integritetsinformasjon fra Apple. Skriv inn administratorpassordet, og klikk deretter Låse opp for å fullføre nedlastingen.
Om middels sikkerhet
Når Medium-innstillingen er slått på, har iMac Pro lov til å kjøre hvilken som helst operativsystemversjon som noen gang er klarert av Apple, ikke bare den gjeldende versjonen. I motsetning til Full-innstillingen, krever det ikke Internett-tilkobling eller oppdatert integritet informasjon fra Apple.
Denne innstillingen brukes best når du trenger å starte opp i en tidligere macOS-versjon som ikke lenger er klarert av Apple, ikke nødvendigvis den nåværende macOS-versjonen som er installert på iMac Pro.
Sette opp et firmwarepassord
Du kan forhindre personer med fysisk tilgang til maskinen din i å prøve å starte den opp fra en annen disk enn den angitte startdisken ved å opprette et firmwarepassord i Startup Security Utility (ikke forveksles med passordet til din MacOS-brukerkonto).
1) Start eller slå på iMac Pro på nytt, og hold deretter inne Kommando (⌘) -R umiddelbart etter at du ser Apple-logoen for å starte datamaskinen ved å bruke MacOSs gjenopprettingsmodus.
2) Klikk verktøy i menylinjen i vinduet Verktøy.
3) Klikk Oppstartssikkerhetsverktøy i vinduet Verktøy.
4) Når du blir bedt om å autentisere, klikker du Skriv inn macOS-passord, Velg deretter en administratorkonto og skriv inn passordet.
5) Klikk Slå på firmware-passordet i vinduet Startup Security Security.
6) Skriv inn ønsket firmwarepassord i feltene som er gitt, og klikk deretter Lag et passord.
MERK: Skriv dette passordet og lagre det et sted trygt. Hvis du glemmer firmwarepassordet, må du planlegge en serviceavtale med Apple eller en autorisert tjenesteleverandør for å låse opp maskinen.
7) Lukk vinduet Startup Security Utility, og velg deretter Omstart fra Apple-menyen for å starte iMac Pro på nytt med de nye sikkerhetsinnstillingene på plass.
Mac-en skal starte opp normalt fra den angitte startdisken.
Alle som kjenner firmwarepassordet, kan starte opp iMac Pro fra en disk som ikke er oppstart. Hold nede for å velge en lagringsenhet du vil starte iMac Pro fra Alternativ (⌥) etter å ha slått på datamaskinen, og deretter markere en disk som inneholder et brukbart operativsystem og trykk Tast inn.
Firmware-passordfeltet dukker opp: skriv inn firmwarepassordet du opprettet, og trykk Tast inn for å låse opp datamaskinen og fortsette å starte den fra den angitte disken.
TIPS: For å drepe firmware-passordet, gjenta trinnene ovenfor, men klikk på Slå av firmware-passordet i trinn 4.
Å sette opp et firmware-passord gir deg et nytt lag med sikkerhet og et sinnsbevissthet når du vet at ingen vil få lov til å starte opp iMac Pro fra en ekstern harddisk, CD / DVD, USB-tommelstasjon eller annen lagringsenhet..
Du må også skrive inn firmwarepassordet før du går inn på MacOSs gjenopprettingsmodus. Dette gir en beskyttelse mot lokale angrep siden alle med fysisk tilgang til datamaskinen din kan starte opp i macOSs gjenopprettingsmodus.
Selv om folk i husholdningen eller dine kolleger kjenner firmwarepassordet, kan du fremdeles hindre dem i å starte opp iMac Pro fra eksterne medier ved å justere alternativene som er beskrevet nærmere nedenfor.
Forhindrer oppstart fra eksterne medier
Innstillinger for ekstern oppstart lar deg kontrollere om iMac Pro får lov til å starte opp fra eksterne medier. Som standard er datamaskinen satt til å bruke det sikreste alternativet som ikke tillater oppstart fra eksterne harddisker, USB-tommelstasjoner eller andre eksterne medier.
Følg trinn-for-trinn-instruksjonene nedenfor for å justere disse innstillingene etter ønske:
1) Start eller slå på iMac Pro på nytt, og hold deretter inne Kommando (⌘) -R umiddelbart etter at du ser Apple-logoen for å starte datamaskinen ved å bruke MacOSs gjenopprettingsmodus.
2) Klikk verktøy i menylinjen i vinduet Verktøy.
3) Klikk Oppstartssikkerhetsverktøy i vinduet Verktøy.
4) Når du blir bedt om å autentisere, klikker du Skriv inn macOS-passord, Velg deretter en administratorkonto og skriv inn passordet.
5) Velg ønsket nivå for oppstartssikkerhet rett under Ekstern støvel overskrift i vinduet Startup Security Security:
- Ikke tillat oppstart fra eksterne medier-din iMac Pro kan ikke lages til å starte opp fra eksterne medier.
- Tillat oppstart fra eksterne medier-Datamaskinen din kan starte opp fra eksterne medier.
6) Avslutt Startup Security Utility, og velg deretter Omstart fra Apple-menyen for å starte iMac Pro på nytt med de nye sikkerhetsinnstillingene på plass.
TIPS: Hvis du har tillatt å starte opp fra eksterne medier og vil velge en startdisk før du starter på nytt, avslutter du Startup Security Utility og velger Startdisk fra Apple-menyen.
Når innstillingen ”Tillat oppstart fra eksternt media” er valgt, velger du en disk som ikke er oppstart i Systemvalg → Startdisk vil gi en advarsel om at sikkerhetsinnstillingene dine ikke tillater at dette skjer.
TIPS: Hvis du vil velge startdisk ved oppstarttid, påkaller du Startup Manager ved å holde nede Alternativ (⌥) umiddelbart etter at du har slått på eller startet datamaskinen på nytt.
Hvis du gjør dette når innstillingen “Ikke tillatt oppstart fra eksterne medier” er aktivert, skal du føre til at iMac Pro starter på nytt til en melding som sier at sikkerhetsinnstillingene dine forhindrer oppstart fra eksterne medier. Du får da muligheten til å starte på nytt fra din nåværende oppstartsdisk eller velge en annen oppstartsdisk.
Det å logge av, slå på “Ikke tillatt oppstart fra eksterne medier” og sette opp et sterkt firmwarepassord er den beste måten å forhindre at uhyggelige brukere starter opp den uovervåkte iMac Pro fra USB-tommelstasjonen..
IMac Pro- og Apple T2-brikken din
Apple begynte å laste ned visse Mac-systemfunksjoner til en dedikert ARM-basert koprocessor, kalt T1, som debuterte i MacBook Pro med Touch Bar.
Dens etterfølger, Apple T2-brikken i iMac Pro, støtter ikke bare de nye Secure Boot-funksjonene for å sikre at maskinen kjører et legitimt operativsystem, men integrerer også forskjellige kontrollere og spesialiserte koprocessorer i en enkelt brikke:
- Systemstyringskontroller
- Bildesignalprosessor
- Lydkontroller
- SSD-kontroller
- Secure Enclave cryptographic coprocessor
Apple T2-brikke i iMac Pro. Bilde med tillatelse fra iFixit.
Bortsett fra Secure Boot-funksjonene, håndterer T2-brikken følgende oppgaver:
- Forbedret bildebehandling for FaceTime HD-kameraet på 1080p foran
- Maskinvarebasert flash-lagringskryptering uten ytelsesstraff
Fordi T2-brikken inneholder Apples egen designet bildesignalprosessor, gjør den mulige maskinvareakselererte bildefunksjoner for FaceTime HD-kameraet, ikke ulikt de på iOS-enheter:
- Forbedret eksponeringskontroll
- Forbedret tonekartlegging
- Auto eksponering basert på ansiktsgjenkjenning
- Auto hvitbalanse basert på ansiktsgjenkjenning
Til slutt inkluderer T2-silisiumet en spesiell beskyttet seksjon som krypteringsprosessoren Secure Enclave integrert i Apples A-serie mobilbrikker som driver iPhones og iPads.
T2s Secure Enclave har lagringskrypteringstastene og den pålitelige sertifikatlageret i sitt eget beskyttede minne som er festet fra resten av systemet. Den rommer også dedikerte AES-maskinvaremotorer som krypterer / dekrypterer data uten problemer, uten å ha noen innvirkning på SSDs ytelse, samtidig som Xeon-prosessoren er fri for dine beregne oppgaver.
Til slutt gir den kryptografiske funksjoner til resten av systemet.
Trenger hjelp? Spør iDB!
Hvis du liker denne hvordan du gjør, kan du gi den videre til dine støttepersoner og legge igjen en kommentar nedenfor.
Ble sittende fast? Er du usikker på hvordan du gjør visse ting på Apple-enheten din? Gi beskjed via [email protected] og en fremtidig veiledning kan gi en løsning.
Send inn dine veiledningsforslag via [email protected].
