Apples iMac Pro levereras med en ny funktion, kallad Secure Boot, som utnyttjar det ombord Apple T2-chipet, en ARM-processor som liknar den i en iPad eller iPhone, vilket gör att datorns firmware kan validera bootloader innan du laddar.
T2-chipet validerar hela startprocessen när strömmen slås på samtidigt som den säkerställer att de lägsta nivåerna av programvara inte manipuleras med och att endast den initiala startladdaren och operativsystemprogramvaran som Apple litar på laster vid start.
Vad är Secure Boot?
Secure Boot är en ny funktion exklusiv för iMac Pro som säkerställer att din dator alltid startar från dess utsedda startdisk och alltid från ett pålitligt operativsystem.
Secure Boot-inställningar är tillgängliga i Startup Security Utility, som endast är tillgängligt via macOS's Recovery Mode.
Startup Security Utility erbjuder följande växlar för att säkra din iMac Pro mot obehörig åtkomst (vi beskriver alla tre inställningar i den här artikeln):
- Firmware-lösenordsskydd-Förhindra att datorn startar utan att ange ditt firmwarelösenord.
- Säker start-Justera datorns säkerhetsnivå.
- Extern start-Tillåt inte start från externa media.
Kom ihåg att iMac Pro för närvarande inte stöder start från nätverksvolymer även om NetBoot antagligen kommer till Secure Boot i en framtida programuppdatering.
Säkra startinställningar påverkar inte måladiskläget. Detta läge, åberopas genom att hålla ”T” när du startar din dator, förvandlar din iMac Pro till en extern disk för en annan Mac.
Med andra ord kommer Secure Boot inte att hindra en dålig skådespelare med fysisk åtkomst till din dator från att starta upp din dator i Target Disk Mode och montera den på sin Mac med full åtkomst till alla bifogade enheter och volymer.
Att slå på FileVault-diskkryptering, som kopplar SSD-kryptering till ditt lösenord, hjälper till att mildra problemet eftersom det förhindrar att data på din SSD dekrypteras utan rätt maskinvara och ditt lösenord.
Secure Boot-funktioner är inte tillgängliga på icke-iMac Pro-modeller.
HANDLEDNING: Alla sätt du kan starta din Mac
Om du inte äger ett iMac Pro, skapar du ett starkt lösenord för firmware kommer det omöjligt för andra att starta din dator från en annan disk än din utsedda startdisk utan lösenordet.
Hur du justerar iMac Pro-säkerhetsnivån
1) Starta om eller slå på din iMac Pro och håll sedan intryckt Kommando (⌘) -R direkt efter att du ser Apple-logotypen. Detta startar upp maskinen i macOSs återställningsläge.
2) Klick verktyg i menyfältet i fönstret Verktyg.
3) Klick Startup Security Utility i fönstret Verktyg.
DRICKS: Om Startup Security Utility inte öppnas har du inte skapat några användarkonton på datorn eller så har Setup Assistant ännu inte körts.
4) Klicka på när du blir ombedd att verifiera Ange macOS-lösenord, välj sedan ett administratörskonto och ange lösenordet.
5) Startup Security Utility kommer att presentera tre Secure Boot-inställningar:
- Fullgod säkerhet-Standardinställningen som ger den högsta säkerhetsnivån. En aktiv Internetanslutning kan krävas vid installation av programvara så att din iMac Pro kan bekräfta att den startar upp en MacOS- eller Windows-version som inte har manipulerats på något sätt. Låt denna inställning vara aktiverad för att köra en MacOS- eller Windows-version som för närvarande är installerad på din iMac Pro, eller något kryptografiskt signerat operativsystem som Apple litar på.
- Medium säkerhet-Den här inställningen verifierar macOS- eller Windows-versionen på startdisken endast för att se om den är korrekt signerad av Apple eller Microsoft, men kräver inte en Internet-anslutning eller uppdaterad integritetsinformation från Apple. Det förhindrar inte maskinen från att köra ett operativsystem som inte längre är betrodd av Apple. Använd den här inställningen för att starta upp i äldre versioner av macOS oavsett Apples förtroende.
- Ingen säkerhet-Detta är den lägsta säkerhetsinställningen som inte säkerställer några säkerhetskrav för det startbara operativsystemet på din startdisk. Använd den för att starta upp i Linux eller något annat operativsystem som stöds på din hårdvara, ingen signering eller verifiering med Apple krävs. Så här startar alla andra Mac-datorer för närvarande.
Om du använder Boot Camp kan du starta i Windows 10 medan du förblir helt säker eftersom T2-chipet och Secure Boot båda respekterar Microsofts signeringsmyndighet för Windows 10 från och med 2017: s Fall Creators Update.
6) Stäng fönstret Startup Security Utility.
7) Klick Omstart i Apple-menyn för att starta om maskinen med dina säkerhetsinställningar på plats.
NOTERA: Om du har valt antingen Full eller Medium säkerhet och operativsystemet på din startdisk har misslyckats med att godkänna verifiering, är detta vad som händer:
- Mac OS-En varning dyker upp för att informera dig om att en programuppdatering krävs för att använda startdisken. Klick Uppdatering för att öppna macOS-installationsprogrammet, som du kan använda för att installera om macOS på startdisken (detta kräver en internetanslutning). Om du inte vill uppgradera din installerade kopia av macOS till den senaste tillgängliga versionen väljer du Startdisk alternativ istället och välj sedan en annan startdisk som Secure Boot kommer att försöka verifiera.
- Windows: En varning informerar dig om att du måste installera fönster med Boot Camp Assistant.
NOTERA: stänga av full säkerhet och sedan slå på den igen ber dig att gå online.
Om du undrar om effekterna av att återställa NVRAM på Secure Boot-inställningarna, finns det inga. När du återställer NVRAM aktiverar System Integrity Protection (om det var inaktiverat) förblir dina Secure Boot-inställningar samma som innan återställningen.
Läs vidare för detaljerade beskrivningar av säkerhetsinställningarna för Full och Medium.
Om full säkerhet
En säkerhetsnivå som tidigare bara var tillgänglig på iOS-enheter. Denna inställning säkerställer att endast ett uppdaterat operativsystem (macOS) eller ett kryptografiskt signerat operativsystem som för närvarande är betrodd av Apple (Microsoft Windows) kan köras på din dator. Inga andra operativsystem får köras på denna iMac Pro.
Om Secure Boot hittar ett okänt operativsystem på din startdisk eller inte kan verifiera det kommer datorn att ansluta till Internet och ladda ner den uppdaterade integritetsinformationen från Apple som den behöver för att verifiera operativsystemet. "Den här informationen är unik för din iMac Pro, och den säkerställer att din iMac Pro startar från ett operativsystem som Apple litar på," enligt företaget.
Om du är offline kan du se en varning som säger att en internetanslutning krävs. Välj ett aktivt Wi-Fi-nätverk från menyraden och klicka sedan på Försök igen.
Om din iMac Pro använder FileVault-diskkryptering kan du bli ombedd att ange ett lösenord för att låsa upp disken innan datorn försöker hämta uppdaterad integritetsinformation från Apple. Ange ditt administratörslösenord och klicka sedan på Låsa upp för att slutföra nedladdningen.
Om medium säkerhet
När Medium-inställningen är aktiverad får din iMac Pro köra alla operativsystemversioner som Apple någonsin litar på, inte bara den aktuella versionen. Till skillnad från inställningen Fullständig kräver det inte en Internet-anslutning eller uppdaterad integritetsinformation från Apple.
Den här inställningen används bäst när du behöver starta in i en tidigare macOS-version som inte längre är betrodd av Apple, inte nödvändigtvis den aktuella macOS-versionen som är installerad på din iMac Pro.
Ställa in ett firmwarelösenord
Du kan hindra personer med fysisk åtkomst till din maskin från att försöka starta upp den från en annan disk än din utsedda startdisk genom att skapa ett firmwarelösenord i Startup Security Utility (inte förväxlas med ditt macOS-användarkontos lösenord).
1) Starta om eller slå på din iMac Pro och håll sedan intryckt Kommando (⌘) -R omedelbart efter att du ser Apple-logotypen för att starta datorn med macOSs återställningsläge.
2) Klick verktyg i menyfältet i fönstret Verktyg.
3) Klick Startup Security Utility i fönstret Verktyg.
4) Klicka på om du blir ombedd att verifiera Ange macOS-lösenord, välj sedan ett administratörskonto och ange lösenordet.
5) Klick Slå på firmware-lösenordet i fönstret Startup Security Utility.
6) Ange önskat firmwarelösenord i fälten och klicka sedan på Välj lösenord.
NOTERA: Skriv ner det här lösenordet och förvara det på ett säkert sätt. Om du glömmer firmwarelösenordet måste du schemalägga ett serviceavtal med Apple eller en auktoriserad tjänsteleverantör för att låsa upp maskinen.
7) Stäng fönstret Startup Security Utility och välj sedan Omstart från Apple-menyn för att starta om din iMac Pro med dina nya säkerhetsinställningar på plats.
Din Mac bör starta normalt från sin utsedda startdisk.
Alla som känner till ditt firmwarelösenord kan starta upp ditt iMac Pro från en disk som inte startar. Om du vill välja en lagringsenhet från vilken du vill starta din iMac Pro håller du ned Alternativ (⌥) efter att du har startat datorn, markera sedan en skiva som innehåller ett användbart operativsystem och tryck Stiga på.
Fältet för firmware-lösenord dyker upp: skriv in det lösenord som du skapade och tryck på Stiga på för att låsa upp datorn och fortsätta starta om den från den angivna disken.
DRICKS: För att döda firmwarelösenordet, upprepa stegen ovan, men klicka på Stäng av Firmware-lösenordet i steg 4.
Att ställa in ett firmwarelösenord ger dig ytterligare ett lager av säkerhet och ett sinne att veta att ingen kommer att få starta din iMac Pro från en extern hårddisk, CD / DVD, USB-tumenhet eller någon annan lagringsenhet.
Du måste också skriva in ditt firmware-lösenord innan du går in i macOS's Recovery Mode. Detta ger en skydd mot lokala attacker eftersom alla som har fysisk åtkomst till din dator kan starta i macOS's Recovery-läge.
Även om folk i ditt hushåll eller dina medarbetare känner ditt firmwarelösenord, kan du fortfarande hindra dem från att starta upp din iMac Pro från externa media genom att justera alternativen nedan nedan.
Förhindrar start från externa media
Inställningarna för Extern Boot låter dig styra om din iMac Pro får starta upp från externa media. Som standard är datorn inställd på att använda det säkraste alternativet som inte tillåter uppstart från externa hårddiskar, USB-tumenheter eller andra externa medier.
Om du vill justera dessa inställningar följer du steg-för-steg-instruktionerna nedan:
1) Starta om eller slå på din iMac Pro och håll sedan intryckt Kommando (⌘) -R omedelbart efter att du ser Apple-logotypen för att starta datorn med macOSs återställningsläge.
2) Klick verktyg i menyfältet i fönstret Verktyg.
3) Klick Startup Security Utility i fönstret Verktyg.
4) Klicka på om du blir ombedd att verifiera Ange macOS-lösenord, välj sedan ett administratörskonto och ange lösenordet.
5) Välj önskad nivå för säkerhetsstart precis under Extern start rubrik i fönstret Startup Security Utility:
- Tillåt inte start från externa media-din iMac Pro kan inte göras för att starta upp från externa media.
- Tillåt start från externa media-Din dator kan starta från externa media.
6) Avsluta Startup Security Utility och välj sedan Omstart från Apple-menyn för att starta om din iMac Pro med dina nya säkerhetsinställningar på plats.
DRICKS: Om du har tillåtit starta från externt media och vill välja en startdisk innan du startar om, avslutar du Startup Security Utility och väljer Startdisk från Apple-menyn.
När inställningen ”Tillåt uppstart från externt media” är vald väljer du en icke-startdisk i Systeminställningar → Startdisk ger ett varningsmeddelande som säger att dina säkerhetsinställningar inte tillåter att detta händer.
DRICKS: För att välja din startdisk vid starttid, anropa Startup Manager genom att hålla ned Alternativ (⌥) omedelbart efter att du har startat eller startat om datorn.
Om du gör det när inställningen ”Tillåt uppstart från externt media” har aktiverats ska din iMac Pro starta om till ett meddelande som säger att dina säkerhetsinställningar förhindrar uppstart från externt media. Då får du möjlighet att starta om från din nuvarande startdisk eller välja en annan startdisk.
Att stänga av, slå på inställningen ”Tillåt uppstart från externt media” och ställa in ett starkt lösenord för fast programvara är det bästa sättet att förhindra onda användare från att starta din obevakade iMac Pro från sin USB-tumenhet.
Ditt iMac Pro- och Apple T2-chip
Apple började ladda ner vissa Mac-systemfunktioner till en dedikerad ARM-baserad coprocessor, kallad T1, som debuterade i MacBook Pro med Touch Bar.
Dess efterföljare, Apple T2-chip i din iMac Pro, stöder inte bara de nya Secure Boot-funktionerna för att säkerställa att maskinen kör ett legitimt operativsystem, utan integrerar också olika styrenheter och specialiserade coprocessorer i ett enda chip:
- Systemhanteringskontroller
- Bildsignalprocessor
- Ljudkontroll
- SSD-styrenhet
- Secure Enclave cryptographic coprocessor
Apple T2-chip i din iMac Pro. Bild med tillstånd av iFixit.
Förutom Secure Boot-funktioner hanterar T2-chipet följande uppgifter:
- Förbättrad bildbehandling för FaceTime HD-kameran på 1080p framåt
- Maskinvarubaserad flash-lagringskryptering utan prestationsstraff
Eftersom T2-chipet innehåller Apples egen designade bildsignalprocessor, möjliggör det hårdvaruaccelererade bildfunktioner för FaceTime HD-kameran som inte skiljer sig från dem på iOS-enheter:
- Förbättrad exponeringskontroll
- Förbättrad tonmappning
- Auto exponering baserad på ansiktsdetektering
- Auto vitbalans baserad på ansiktsdetektering
Slutligen innehåller T2-kisel ett speciellt skyddat avsnitt som krypteringssäkran Secure Enclave som är inbäddad i Apples A-serien mobila chips som driver iPhones och iPads.
T2s Secure Enclave har dina lagringskrypteringsnycklar och det betrodda certifikatlagret i sitt eget skyddade minne som är murat från resten av systemet. Den innehåller också dedikerade AES-hårdvarumotorer som krypterar / dekrypterar data i farten utan någon effekt på SSD: s prestanda, samtidigt som Xeon-processorn är fri för dina datoruppgifter.
Slutligen tillhandahåller det kryptografiska funktioner till resten av systemet.
Behövs hjälp? Fråga iDB!
Om du gillar det här sättet, skicka det till dina supportpersoner och lämna en kommentar nedan.
Fastnade? Är du inte säker på hur du gör vissa saker på din Apple-enhet? Låt oss veta via [email protected] och en framtida handledning kan ge en lösning.
Skicka in dina förslagsförslag via [email protected].
