L'iMac Pro di Apple viene fornito con una nuova funzionalità, chiamata Secure Boot, che sfrutta il chip Apple T2 integrato, un processore ARM simile a quello di un iPad o iPhone, che consente al firmware del computer di convalidare il bootloader prima del caricamento.
Il chip T2 convalida l'intero processo di avvio all'accensione, garantendo al contempo che i livelli più bassi di software non vengano manomessi e che all'avvio venga caricato solo il software del bootloader iniziale e del sistema operativo di fiducia di Apple.
Cos'è Secure Boot?
Secure Boot è una nuova funzionalità esclusiva di iMac Pro che aiuta a garantire che il computer si avvii sempre dal disco di avvio designato e sempre da un sistema operativo affidabile.
Le impostazioni di avvio protetto sono disponibili in Utilità di sicurezza avvio, accessibile solo tramite la modalità di ripristino di macOS.
Startup Security Utility offre le seguenti opzioni per proteggere iMac Pro da accessi non autorizzati (illustreremo in dettaglio tutte e tre le impostazioni in questo articolo):
- Protezione password del firmware-Impedire l'avvio del computer senza fornire la password del firmware.
- Avvio sicuro-Regola il livello di sicurezza di avvio del tuo computer.
- Boot esterno-Non consentire l'avvio da supporti esterni.
Tieni presente che al momento iMac Pro non supporta l'avvio da volumi di rete sebbene NetBoot probabilmente arriverà ad Avvio protetto in un futuro aggiornamento del software.
Le impostazioni di avvio protetto non influiscono sulla modalità disco di destinazione. Questa modalità, invocata tenendo premuto il tasto “T” quando si avvia il computer, trasforma iMac Pro in un disco esterno per un altro Mac.
In altre parole, Secure Boot non impedirà a un cattivo attore con accesso fisico al tuo computer di avviare il computer in modalità Disco di destinazione e montarlo sul proprio Mac con pieno accesso a tutte le unità e i volumi collegati.
L'attivazione della crittografia del disco FileVault, che collega la crittografia SSD alla password, aiuta a mitigare questo problema perché impedisce la decrittografia dei dati sull'unità SSD senza l'hardware corretto e la tua password.
Le funzioni di avvio protetto non sono disponibili sui modelli non iMac Pro.
TUTORIAL: Tutti i modi in cui puoi avviare il tuo Mac
Se non possiedi un iMac Pro, la creazione di una password del firmware avanzata renderà impossibile per altre persone avviare il computer da un disco diverso dal disco di avvio designato senza la password.
Come regolare il livello di sicurezza dell'avvio di iMac Pro
1) Riavvia o accendi iMac Pro, quindi tieni premuto Comando (⌘) -R subito dopo aver visto il logo Apple. Ciò avvierà la macchina in modalità di ripristino di macOS.
2) Clic Utilità nella barra dei menu nella finestra Utilità.
3) Clic Utilità di sicurezza all'avvio nella finestra Utilità.
MANCIA: Se Startup Security Utility non si apre, non è stato creato alcun account utente sul computer o l'installazione guidata non è stata ancora eseguita.
4) Alla richiesta di autenticazione, fai clic su Inserisci la password di macOS, quindi seleziona un account amministratore e inserisci la sua password.
5) Startup Security Utility presenterà tre impostazioni di avvio protetto:
- Piena sicurezza-L'impostazione predefinita che porta il massimo livello di sicurezza. Potrebbe essere necessaria una connessione Internet attiva al momento dell'installazione del software in modo che iMac Pro possa confermare che si sta avviando una versione macOS o Windows che non è stata manomessa in alcun modo. Lascia questa impostazione abilitata per eseguire una versione di macOS o Windows attualmente installata su iMac Pro o qualsiasi sistema operativo con firma crittografica ritenuto attendibile da Apple.
- Media sicurezza-Questa impostazione verifica la versione di macOS o Windows sul disco di avvio solo per vedere se è stata firmata correttamente da Apple o Microsoft, ma non richiede una connessione Internet o informazioni aggiornate sull'integrità da parte di Apple. Non impedisce alla macchina di eseguire un sistema operativo non più attendibile da Apple. Usa questa impostazione per avviare versioni precedenti di macOS indipendentemente dal livello di affidabilità di Apple.
- Nessuna sicurezza-Questa è l'impostazione di sicurezza più bassa che non impone alcun requisito di sicurezza per il sistema operativo avviabile sul disco di avvio. Usalo per avviare Linux o qualsiasi altro sistema operativo supportato sul tuo hardware, non è richiesta alcuna firma o verifica con Apple. Questo è il modo in cui tutti gli altri Mac si avviano attualmente.
Se usi Boot Camp, puoi eseguire l'avvio in Windows 10 pur rimanendo completamente sicuro perché il chip T2 e Secure Boot rispettano entrambi l'autorità di firma di Microsoft per Windows 10 a partire dall'aggiornamento dei creatori dell'autunno 2017.
6) Chiudi la finestra Utilità di sicurezza di avvio.
7) Clic Ricomincia nel menu Apple per riavviare la macchina con le impostazioni di sicurezza in atto.
NOTA: Se è stata selezionata la protezione Completa o Media e il sistema operativo sul disco di avvio non è riuscito a superare la verifica, ecco cosa succede:
- Mac OS-Viene visualizzato un avviso che informa che è necessario un aggiornamento software per utilizzare il disco di avvio. Clic Aggiornare per aprire il programma di installazione di macOS, che è possibile utilizzare per reinstallare macOS sul disco di avvio (ciò richiede una connessione a Internet). Se non vuoi aggiornare la tua copia installata di macOS all'ultima versione disponibile, scegli il Disco di avvio opzione invece e quindi selezionare un diverso disco di avvio che Secure Boot tenterà di verificare.
- finestre: Un avviso informa che è necessario installare Windows con Assistente Boot Camp.
NOTA: la disattivazione di Sicurezza completa e la riattivazione ti chiederanno di andare online.
Se ti stai chiedendo gli effetti del ripristino di NVRAM sulle impostazioni di avvio sicuro, non ce ne sono. Mentre il ripristino di NVRAM attiva la protezione dell'integrità del sistema (se è stata disabilitata), le impostazioni di avvio protetto rimangono le stesse di prima del ripristino.
Continua a leggere per le descrizioni dettagliate delle impostazioni di sicurezza complete e medie.
Informazioni sulla sicurezza completa
Un livello di sicurezza precedentemente disponibile solo su dispositivi iOS, questa impostazione garantisce che solo un sistema operativo aggiornato (macOS) o un sistema operativo con firma crittografica attualmente considerato attendibile da Apple (Microsoft Windows), sia in grado di funzionare sul tuo computer. Nessun altro sistema operativo sarà autorizzato a funzionare su questo iMac Pro.
Se Secure Boot rileva un sistema operativo sconosciuto sull'unità di avvio o non è in grado di verificarlo, il computer si connetterà a Internet e scaricherà le informazioni di integrità aggiornate da Apple necessarie per verificare il sistema operativo. "Queste informazioni sono univoche per iMac Pro e garantiscono che iMac Pro si avvii da un sistema operativo considerato affidabile da Apple", secondo la società.
Se sei offline, potresti vedere un avviso che dice che è necessaria una connessione a Internet. Scegli una rete Wi-Fi attiva dalla barra dei menu, quindi fai clic su Riprova.
Se iMac Pro utilizza la crittografia del disco FileVault, è possibile che ti venga chiesto di inserire una password per sbloccare il disco prima che il computer tenti di recuperare le informazioni di integrità aggiornate da Apple. Immettere la password dell'amministratore, quindi fare clic su Sbloccare per completare il download.
Informazioni sulla sicurezza media
Quando l'impostazione Media è attivata, iMac Pro può eseguire qualsiasi versione del sistema operativo mai considerata affidabile da Apple, non solo la versione corrente. A differenza dell'impostazione Completa, non richiede una connessione Internet o informazioni aggiornate sull'integrità di Apple.
Questa impostazione viene utilizzata al meglio quando è necessario avviare una versione precedente di macOS non più attendibile da Apple, non necessariamente l'attuale versione di macOS installata su iMac Pro.
Impostazione di una password del firmware
Puoi impedire alle persone con accesso fisico al tuo computer di tentare di avviarlo da un disco diverso dal tuo disco di avvio designato creando una password del firmware in Startup Security Utility (da non confondere con la password del tuo account utente macOS).
1) Riavvia o accendi iMac Pro, quindi tieni premuto Comando (⌘) -R subito dopo aver visualizzato il logo Apple per avviare il computer utilizzando la modalità di ripristino di macOS.
2) Clic Utilità nella barra dei menu nella finestra Utilità.
3) Clic Utilità di sicurezza all'avvio nella finestra Utilità.
4) Quando ti viene chiesto di autenticarti, fai clic su Inserisci la password di macOS, quindi seleziona un account amministratore e inserisci la sua password.
5) Clic Attiva la password del firmware nella finestra Utilità di sicurezza di avvio.
6) Immettere la password del firmware desiderata nei campi forniti, quindi fare clic su Impostare la password.
NOTA: Scrivi questa password e conservala in un posto sicuro. Se si dimentica la password del firmware, è necessario pianificare un appuntamento di servizio con Apple o un fornitore di servizi autorizzato per sbloccare la macchina.
7) Chiudi la finestra Utilità di sicurezza di avvio, quindi scegli Ricomincia dal menu Apple per riavviare iMac Pro con le nuove impostazioni di sicurezza in atto.
Il Mac dovrebbe avviarsi normalmente dal disco di avvio designato.
Chiunque conosca la password del firmware sarà in grado di avviare iMac Pro da un disco non di avvio. Per selezionare un dispositivo di archiviazione da cui si desidera avviare iMac Pro, tenere premuto il tasto Opzione (⌥) tasto dopo aver acceso il computer, quindi evidenziare un disco contenente un sistema operativo utilizzabile e premere accedere.
Viene visualizzato il campo della password del firmware: digitare la password del firmware creata e premere accedere per sbloccare il computer e continuare l'avvio dal disco designato.
MANCIA: Per eliminare la password del firmware, ripetere i passaggi sopra, ma fare clic su Disattiva la password del firmware nel passaggio 4.
L'impostazione di una password del firmware ti offre un altro livello di sicurezza e un pensiero consapevole che a nessuno sarà consentito di avviare iMac Pro da un disco rigido esterno, CD / DVD, chiavetta USB o qualsiasi altro dispositivo di archiviazione.
Dovrai anche digitare la password del firmware prima di accedere alla modalità di ripristino di macOS. Ciò fornisce una protezione contro gli attacchi locali poiché chiunque abbia accesso fisico al computer può avviare la modalità di ripristino di macOS.
Anche se le persone della tua famiglia o dei tuoi colleghi conoscono la tua password del firmware, puoi comunque impedire loro di avviare iMac Pro da supporti esterni regolando le opzioni descritte più avanti.
Prevenire l'avvio da supporti esterni
Le impostazioni di avvio esterno consentono di controllare se iMac Pro può essere avviato da un supporto esterno. Per impostazione predefinita, il computer è impostato per utilizzare l'opzione più sicura che non consente l'avvio da qualsiasi disco rigido esterno, chiavetta USB o altro supporto esterno.
Per adattare queste impostazioni a proprio piacimento, seguire le istruzioni dettagliate di seguito:
1) Riavvia o accendi iMac Pro, quindi tieni premuto Comando (⌘) -R subito dopo aver visualizzato il logo Apple per avviare il computer utilizzando la modalità di ripristino di macOS.
2) Clic Utilità nella barra dei menu nella finestra Utilità.
3) Clic Utilità di sicurezza all'avvio nella finestra Utilità.
4) Quando ti viene chiesto di autenticarti, fai clic su Inserisci la password di macOS, quindi seleziona un account amministratore e inserisci la sua password.
5) Scegli il livello desiderato di sicurezza di avvio proprio sotto il Boot esterno nella finestra Startup Security Utility:
- Non consentire l'avvio da supporti esterni-non è possibile eseguire l'avvio di iMac Pro da alcun supporto esterno.
- Consenti l'avvio da supporti esterni-Il computer può essere avviato da un supporto esterno.
6) Esci da Startup Security Utility, quindi scegli Ricomincia dal menu Apple per riavviare iMac Pro con le nuove impostazioni di sicurezza in atto.
MANCIA: Se hai autorizzato l'avvio da supporti esterni e desideri selezionare un disco di avvio prima di riavviare, esci da Startup Security Utility e scegli Disco di avvio dal menu Apple.
Quando è selezionata l'impostazione "Non consentire l'avvio da un supporto esterno", selezionare un disco non di avvio in Preferenze di Sistema → Disco di avvio produrrà un messaggio di avviso in cui si dice che le impostazioni di sicurezza non consentono ciò.
MANCIA: Per scegliere il disco di avvio al momento dell'avvio, richiamare Startup Manager tenendo premuto il tasto Opzione (⌥) subito dopo aver acceso o riavviato il computer.
In questo modo, quando è stata abilitata l'impostazione "Non consentire l'avvio da un supporto esterno", iMac Pro si riavvierà su un messaggio in cui si dice che le impostazioni di sicurezza impediscono l'avvio da un supporto esterno. Ti verrà quindi presentata l'opzione per riavviare dal tuo attuale disco di avvio o selezionare un altro disco di avvio.
Disconnettersi, attivare o disattivare l'impostazione "Non consentire l'avvio da supporti esterni" e configurare una password del firmware avanzata è il modo migliore per impedire agli utenti malvagi di avviare iMac Pro incustoditi dalla loro chiavetta USB.
Il tuo chip iMac Pro e Apple T2
Apple ha iniziato a scaricare alcune funzioni del sistema Mac su un coprocessore dedicato basato su ARM, chiamato T1, che ha debuttato nel MacBook Pro con Touch Bar.
Il suo successore, il chip Apple T2 nel tuo iMac Pro, non solo supporta le nuove funzionalità Secure Boot per garantire che la macchina esegua un sistema operativo legittimo, ma integra anche vari controller e coprocessori specializzati su un singolo chip:
- Controller di gestione del sistema
- Processore di segnale immagine
- Controller audio
- Controller SSD
- Coprocessore crittografico Secure Enclave
Chip Apple T2 nel tuo iMac Pro. Immagine gentilmente concessa da iFixit.
Oltre alle funzionalità di avvio sicuro, il chip T2 gestisce le seguenti attività:
- Immagini ottimizzate per la fotocamera FaceTime HD frontale a 1080p
- Crittografia dell'archiviazione flash basata su hardware senza penalizzazioni delle prestazioni
Poiché il chip T2 incorpora il processore di segnale di immagine progettato da Apple, rende possibili funzionalità di imaging accelerate dall'hardware per la fotocamera FaceTime HD non diversamente da quelle sui dispositivi iOS:
- Controllo dell'esposizione migliorato
- Mappatura dei toni migliorata
- Esposizione automatica basata sul rilevamento del volto
- Bilanciamento del bianco automatico basato sul rilevamento del volto
Infine, il silicio T2 include una sezione protetta speciale come il coprocessore crittografico Secure Enclave incorporato nei chip mobili serie A di Apple che alimentano iPhone e iPad.
Secure Enclave di T2 contiene le chiavi di crittografia di archiviazione e l'archivio certificati attendibili nella propria memoria protetta che è protetta dal resto del sistema. Ospita anche motori hardware AES dedicati che crittografano / decrittografano i dati al volo senza alcun effetto sulle prestazioni dell'SSD, mantenendo il processore Xeon libero per le attività di calcolo.
Infine, fornisce funzioni crittografiche al resto del sistema.
Ho bisogno di aiuto? Chiedi a iDB!
Se ti piace questa guida, passala alla tua assistenza e lascia un commento qui sotto.
Rimasto bloccato? Non sei sicuro di come eseguire determinate operazioni sul tuo dispositivo Apple? Facci sapere tramite [email protected] e un futuro tutorial potrebbe fornire una soluzione.
Invia i tuoi suggerimenti pratici tramite [email protected].
