IMac Pro de la Apple este livrat cu o nouă caracteristică, numită Secure Boot, care profită de la cipul Apple T2 de la bord, un procesor ARM similar cu cel dintr-un iPad sau iPhone, care permite firmware-ului computerului să valideze încărcătorul înainte de încărcare..
Cipul T2 validează întregul proces de pornire atunci când se pornește puterea, asigurându-se că cele mai mici niveluri de software nu sunt afectate și că doar inițialul de încărcare și software-ul sistemului de operare de încredere de către Apple se încarcă la pornire..
Ce este Secure Boot?
Secure Boot este o nouă caracteristică exclusivă pentru iMac Pro care vă ajută să vă asigurați pornirea computerului de pe discul de pornire desemnat și întotdeauna de la un sistem de operare de încredere.
Setările Secur Boot sunt disponibile în Startup Security Utility, care este accesibilă numai prin modul de recuperare al macOS.
Utilitatea Startup Security oferă următoarele comutări pentru a vă asigura securitatea iMac Pro împotriva accesului neautorizat (vom detalia toate cele trei setări din acest articol):
- Protecție cu parolă firmware-Împiedicați pornirea computerului fără a furniza parola firmware-ului.
- Încărcare sigură-Reglați nivelul de securitate de pornire al computerului.
- Cizme externe-Nu permiteți pornirea de pe suporturi externe.
Rețineți că în prezent iMac Pro nu acceptă pornirea din volumele de rețea, deși NetBoot va veni probabil la Secure Boot într-o viitoare actualizare software.
Setările securizate de pornire nu afectează modul de disc țintă. Acest mod, invocat ținând apăsat butonul „T“ tasta la pornirea computerului, transformă iMac Pro într-un disc extern pentru un alt Mac.
Cu alte cuvinte, Secure Boot nu va împiedica un actor rău cu acces fizic la computer să pornească computerul în modul Disk Target și să îl monteze pe Mac-ul lor cu acces complet la toate unitățile și volumele atașate..
Activarea criptării pe disc FileVault, care leagă criptarea SSD de parola dvs., ajută la atenuarea acestei probleme, deoarece împiedică decriptarea datelor de pe SSD-ul dvs. fără hardware-ul corespunzător și parola Dvs.
Funcțiile Secure Boot nu sunt disponibile pe modelele non-iMac Pro.
TUTORIAL: Toate modalitățile prin care poți porni computerul Mac
Dacă nu dețineți un iMac Pro, crearea unei parole de firmware puternice va face imposibilă pornirea computerului de pe alt disc decât discul de pornire desemnat fără parola.
Cum se ajustează nivelul de securitate la pornire iMac Pro
1) Reporniți sau porniți iMac Pro, apoi apăsați și mențineți apăsat Comanda (⌘) -R imediat după ce vedeți sigla Apple. Aceasta va porni aparatul în modul de recuperare al macOS.
2) Clic Utilități în bara de meniu din fereastra Utilități.
3) Clic Utilitatea de securitate pentru pornire în fereastra Utilități.
BACSIS: Dacă Startup Security Utility nu se va deschide, nu ați creat conturi de utilizator pe computer sau Asistentul de configurare nu a fost încă rulat.
4) Când vi se solicită autentificarea, faceți clic pe Introduceți parola macOS, apoi selectați un cont de administrator și introduceți parola acestuia.
5) Utilitatea de securitate pentru pornire va prezenta trei setări Secure Boot:
- Securitate deplină-Setarea implicită care aduce cel mai înalt nivel de securitate. Este posibil să fie necesară o conexiune la Internet activă la momentul instalării software, astfel încât iMac Pro să poată confirma că lansează o versiune macOS sau Windows cu care nu a fost modificată în niciun fel. Lăsați această setare activată pentru a rula o versiune macOS sau Windows instalată în prezent pe iMac Pro sau pe orice sistem de operare semnat criptografic încredere de Apple.
- Securitate medie-Această setare verifică versiunea macOS sau Windows de pe discul de pornire numai pentru a vedea dacă a fost semnată corect de Apple sau Microsoft, dar nu necesită o conexiune la Internet sau informații de integritate actualizate de la Apple. Nu împiedică mașina să ruleze un sistem de operare care nu mai are încredere de Apple. Utilizați această setare pentru a porni în versiuni mai vechi de macOS, indiferent de nivelul de încredere al Apple.
- Fără securitate-Aceasta este cea mai mică setare de securitate care nu impune nicio cerință de securitate pentru sistemul de operare de pornire de pe discul de pornire. Utilizați-l pentru a porni în Linux sau în orice alt sistem de operare acceptat pe hardware-ul dvs., nu este necesară semnarea sau verificarea cu Apple. Acesta este modul în care toate celelalte Mac-uri pornesc în prezent.
Dacă utilizați Boot Camp, puteți porni în Windows 10, rămânând pe deplin sigure, deoarece cipul T2 și Secure Boot respectă autoritatea de semnare Microsoft pentru Windows 10 începând cu actualizarea Fall Creators din 2017.
6) Închideți fereastra Startup Security Security.
7) Clic Repornire din meniul Apple pentru a reporni mașina cu setările de securitate pe loc.
NOTĂ: Dacă ați selectat securitate completă sau medie și sistemul de operare de pe discul de pornire nu a reușit să treacă de verificare, acest lucru se întâmplă:
- MacOS-Va apărea o alertă care vă informează că este necesară o actualizare software pentru a utiliza discul de pornire. Clic Actualizați pentru a deschide instalatorul macOS, pe care îl puteți utiliza pentru a reinstala macOS pe discul de pornire (aceasta necesită o conexiune la Internet). Dacă nu doriți să actualizați copia instalată de macOS la cea mai recentă versiune disponibilă, alegeți Discul de pornire opțiune în loc și apoi selectați un alt disc de pornire pe care Secure Boot îl va încerca să verifice.
- ferestre: O alertă vă informează că trebuie să instalați Windows cu Boot Camp Assistant.
NOTĂ: oprirea securității depline, apoi comutarea acesteia din nou, vă va solicita să accesați online.
Dacă vă întrebați despre efectele resetării NVRAM pe setările Secure Boot, nu există. În timp ce resetarea NVRAM activează Protecția integrității sistemului (dacă a fost dezactivată), setările dvs. de siguranță de pornire rămân aceleași ca înainte de resetare.
Citiți mai departe pentru descrierile detaliate ale setărilor de securitate completă și medie.
Despre securitate deplină
Un nivel de securitate disponibil anterior pe dispozitivele iOS, această setare asigură că numai un sistem de operare actualizat (macOS) sau un sistem de operare semnat criptografic în prezent, de încredere de Apple (Microsoft Windows), poate fi rulat pe computer. Niciun alt sistem de operare nu va fi permis să ruleze pe acest iMac Pro.
Dacă Secure Boot găsește un sistem de operare necunoscut pe unitatea de pornire sau nu este în măsură să îl verifice, computerul se va conecta la Internet și va descărca informațiile de integritate actualizate de la Apple de care are nevoie pentru a verifica sistemul de operare. „Aceste informații sunt unice pentru iMac Pro și asigură pornirea iMac Pro de la un sistem de operare de încredere de Apple”, potrivit companiei.
Dacă sunteți offline, este posibil să vedeți o alertă care să spună că este necesară o conexiune la Internet. Alegeți o rețea Wi-Fi activă din bara de meniuri, apoi faceți clic pe Încearcă din nou.
Dacă iMac Pro folosește criptarea discului FileVault, vi se poate cere să introduceți o parolă pentru a debloca discul înainte ca computerul să încerce să obțină informații de integritate actualizate de la Apple. Introduceți parola de administrator, apoi faceți clic pe Deblocare pentru a finaliza descărcarea.
Despre securitate medie
Când setarea Mediu este activată, iMac Pro este permis să ruleze orice versiune de sistem de operare încredută vreodată de Apple, nu doar versiunea curentă. Spre deosebire de setarea completă, nu necesită o conexiune la Internet sau informații de integritate actualizate de la Apple.
Această setare este folosită cel mai bine atunci când trebuie să porniți într-o versiune macOS anterioară care nu mai are încredere de Apple, nu neapărat versiunea macOS curentă instalată pe iMac Pro.
Configurarea unei parole de firmware
Puteți împiedica persoanele cu acces fizic la mașină să încerce să-l pornească de pe un disc, altul decât discul de pornire desemnat, prin crearea unei parole de firmware în Startup Security Utility (să nu fie confundat cu parola contului de utilizator macOS).
1) Reporniți sau porniți iMac Pro, apoi apăsați și mențineți apăsat Comanda (⌘) -R imediat după ce vedeți logo-ul Apple pentru a porni computerul folosind modul de recuperare al macOS.
2) Clic Utilități în bara de meniu din fereastra Utilități.
3) Clic Utilitatea de securitate pentru pornire în fereastra Utilități.
4) Când vi se solicită autentificare, faceți clic Introduceți parola macOS, apoi selectați un cont de administrator și introduceți parola acestuia.
5) Clic Activați parola firmware-ului în fereastra Startup Security Utility.
6) Introduceți parola de firmware dorită în câmpurile furnizate, apoi faceți clic pe Seteaza parola.
NOTĂ: Scrieți această parolă și stocați-o undeva în siguranță. Dacă uitați parola firmware-ului, va trebui să programați o programare la Apple sau un Furnizor de servicii autorizat pentru a debloca aparatul.
7) Închideți fereastra Startup Security Utility, apoi alegeți Repornire din meniul Apple pentru a reporni iMac Pro cu noile setări de securitate în loc.
Mac-ul dvs. ar trebui să pornească normal de pe discul de pornire desemnat.
Oricine știe parola dvs. de firmware va putea porni iMac Pro de pe un disc care nu este pornit. Pentru a selecta un dispozitiv de stocare din care doriți să porniți iMac Pro, țineți apăsat butonul Opțiune (⌥) după ce porniți computerul, apoi evidențiați un disc care conține un sistem de operare utilizabil și apăsați introduce.
Se afișează câmpul parolei firmware-ului: introduceți parola firmware-ului pe care ați creat-o și apăsați introduce pentru a debloca calculatorul și a continua bootarea de pe discul desemnat.
BACSIS: Pentru a ucide parola de firmware, repetați pașii de mai sus, dar faceți clic pe Dezactivați parola firmware-ului la pasul 4.
Configurarea unei parole de firmware vă oferă un alt nivel de securitate și o minte știind că nimeni nu va avea voie să pornească iMac Pro de pe un hard disk extern, CD / DVD, unitatea USB thumb sau orice alt dispozitiv de stocare.
De asemenea, va trebui să tastați parola de firmware înainte de a intra în modul de recuperare al macOS. Aceasta oferă o protecție împotriva atacurilor locale, deoarece oricine are acces fizic la computer se poate porni în modul de recuperare al macOS.
Chiar dacă oamenii din gospodărie sau colaboratorii dvs. știu parola firmware-ului dvs., puteți totuși să-i opriți să pornească iMac Pro de pe suporturi externe prin ajustarea opțiunilor detaliate mai jos.
Prevenirea bootării de pe suporturi externe
Setările de bootare externă vă permit să controlați dacă iMac Pro este permis să se pornească de pe suporturi externe. În mod implicit, computerul este setat să utilizeze cea mai sigură opțiune care nu permite pornirea de pe orice hard disk extern, unități USB de tip thumb sau alte suporturi externe.
Pentru a ajusta aceste setări după bunul plac, urmați instrucțiunile pas cu pas de mai jos:
1) Reporniți sau porniți iMac Pro, apoi apăsați și mențineți apăsat Comanda (⌘) -R imediat după ce vedeți logo-ul Apple pentru a porni computerul folosind modul de recuperare al macOS.
2) Clic Utilități în bara de meniu din fereastra Utilități.
3) Clic Utilitatea de securitate pentru pornire în fereastra Utilități.
4) Când vi se solicită autentificare, faceți clic Introduceți parola macOS, apoi selectați un cont de administrator și introduceți parola acestuia.
5) Alegeți nivelul dorit de securitate de pornire chiar de sub Cizme externe titlu în fereastra Startup Security Utility:
- Nu permiteți pornirea de pe suporturi externe-iMac Pro nu poate fi creat pentru a porni de pe un suport extern.
- Permiteți pornirea de pe suporturi externe-Calculatorul dvs. poate porni de pe suporturi externe.
6) Renunțați la utilitatea de securitate pentru pornire, apoi alegeți Repornire din meniul Apple pentru a reporni iMac Pro cu noile setări de securitate în loc.
BACSIS: Dacă ați permis pornirea de pe suporturi externe și doriți să selectați un disc de pornire înainte de repornire, renunțați la utilitatea Startup Security și alegeți Discul de pornire din meniul Apple.
Când este selectată setarea „Începeți pornirea din suporturi externe”, selectând un disc care nu este pornit Preferințe de sistem → Discul de pornire va genera un mesaj de avertizare spunând că setările dvs. de securitate nu permit acest lucru.
BACSIS: Pentru a alege discul de pornire la momentul de pornire, invocați Startup Manager ținând apăsat butonul Opțiune (⌥) imediat după pornirea sau repornirea computerului.
Făcând acest lucru atunci când setarea „Disallow booting from media extern” a fost activată, iMac Pro vă va reporni la un mesaj care spune că setările dvs. de securitate împiedică pornirea de pe suporturi externe. Apoi, vi se va oferi opțiunea de a reporni din discul de pornire curent sau de a selecta un alt disc de pornire.
Deconectarea, comutarea opțiunii „Renunță la pornirea de pe suporturi externe” și configurarea unei parole de firmware puternice este cea mai bună modalitate de a împiedica utilizatorii neplăceri să pornească iMac Pro nesupravegheat de la unitatea lor USB.
Cipul tău iMac Pro și Apple T2
Apple a început să descarce anumite funcții ale sistemului Mac către un coprocesor dedicat bazat pe ARM, numit T1, care a debutat în MacBook Pro cu Touch Bar.
Succesorul său, cipul Apple T2 din iMac Pro dvs., nu numai că acceptă noile funcții Secure Boot pentru a vă asigura că mașina rulează un sistem de operare legitim, dar integrează și diverse controlere și coprocesoare specializate pe un singur cip:
- Controler de administrare a sistemului
- Procesor de semnal de imagine
- Controler audio
- Controler SSD
- Coprocesor criptografic Secure Enclave
Chip Apple T2 din iMac Pro. Imagine amabilitate pentru iFixit.
În afară de funcțiile Secure Boot, cipul T2 gestionează următoarele sarcini:
- Imagini îmbunătățite pentru camera foto FaceTime HD de 1080p față
- Criptare de stocare flash bazată pe hardware fără penalități de performanță
Deoarece cipul T2 încorporează procesorul de semnal de imagine proiectat de Apple, face posibile funcții de imagini accelerate hardware pentru camera FaceTime HD, spre deosebire de cele de pe dispozitivele iOS:
- Control îmbunătățit al expunerii
- Cartografiere avansată a tonurilor
- Expunere automată bazată pe detectarea feței
- Bilanț automat de alb pe baza detectării feței
În sfârșit, siliconul T2 include o secțiune specială protejată, cum ar fi coprocesorul criptografic Secure Enclave încorporat în cipurile mobile din seria A a Apple care alimentează iPhone și iPads.
Secure Enclave T2 deține cheile de criptare de stocare și certificatele de încredere care se depozitează în propria memorie protejată care este închisă de restul sistemului. De asemenea, găzduiește motoare hardware AES dedicate, care criptează / decriptează date în zbor, fără niciun efect asupra performanței SSD, păstrând în același timp procesorul Xeon pentru activitățile de calcul.
În cele din urmă, oferă funcții criptografice restului sistemului.
Nevoie de ajutor? Întrebați iDB!
Dacă vă place acest lucru, transmiteți-le celor de asistență și lăsați un comentariu mai jos.
M-am impotmolit? Nu sunteți sigur cum puteți face anumite lucruri pe dispozitivul Apple? Spune-ne via [email protected] iar un viitor tutorial ar putea oferi o soluție.
Trimiteți-vă sugestiile despre cum să faceți [email protected].
