Der iMac Pro von Apple wird mit einer neuen Funktion namens Secure Boot ausgeliefert, die den integrierten Apple T2-Chip nutzt, einen ARM-Prozessor ähnlich dem eines iPad oder iPhone, sodass die Firmware des Computers den Bootloader vor dem Laden validieren kann.
Der T2-Chip überprüft den gesamten Startvorgang beim Einschalten und stellt dabei sicher, dass die niedrigste Softwareversion nicht manipuliert wird und nur die von Apple als vertrauenswürdig eingestufte Bootloader- und Betriebssystemsoftware beim Start geladen wird.
Was ist sicherer Start??
Secure Boot ist eine neue, exklusive Funktion von iMac Pro, mit der sichergestellt wird, dass Ihr Computer immer von der angegebenen Startdiskette und immer von einem vertrauenswürdigen Betriebssystem aus gestartet wird.
Die Einstellungen für den sicheren Start sind im Startup Security Utility verfügbar, auf das nur über den Wiederherstellungsmodus von macOS zugegriffen werden kann.
Das Startup Security Utility bietet die folgenden Optionen, um Ihren iMac Pro vor unbefugtem Zugriff zu schützen (alle drei Einstellungen werden in diesem Artikel beschrieben):
- Firmware-Passwortschutz-Verhindern Sie, dass der Computer gestartet wird, ohne Ihr Firmware-Kennwort einzugeben.
- Sicherer Startvorgang-Passen Sie die Startsicherheitsstufe Ihres Computers an.
- Externer Boot-Booten von externen Medien nicht zulassen.
Beachten Sie, dass iMac Pro derzeit das Booten von Netzwerk-Volumes nicht unterstützt, obwohl NetBoot wahrscheinlich in einem zukünftigen Software-Update für Secure Boot zur Verfügung steht.
Secure Boot-Einstellungen wirken sich nicht auf den Zielfestplattenmodus aus. Dieser Modus wird aufgerufen, indem Sie die Taste gedrückt halten "T" Wenn Sie beim Starten Ihres Computers die Taste drücken, wird Ihr iMac Pro zu einer externen Festplatte für einen anderen Mac.
Mit anderen Worten, Secure Boot verhindert nicht, dass ein schlechter Akteur mit physischem Zugriff auf Ihren Computer Ihren Computer im Zieldatenträgermodus startet und ihn auf seinem Mac mit vollem Zugriff auf alle angeschlossenen Laufwerke und Volumes mounten kann.
Wenn Sie die FileVault-Festplattenverschlüsselung aktivieren, durch die die SSD-Verschlüsselung mit Ihrem Kennwort verknüpft wird, wird dieses Problem verringert, da verhindert wird, dass Daten auf Ihrer SSD ohne die richtige Hardware entschlüsselt werden und Ihr Passwort.
Secure Boot-Funktionen sind bei Nicht-iMac Pro-Modellen nicht verfügbar.
LERNPROGRAMM: Alle Möglichkeiten, wie Sie Ihren Mac starten können
Wenn Sie keinen iMac Pro besitzen, können andere Benutzer Ihren Computer nicht ohne das Kennwort von einer anderen Festplatte als der angegebenen Startdiskette starten, wenn Sie ein sicheres Firmware-Kennwort erstellen.
So passen Sie die Startsicherheitsstufe des iMac Pro an
1) Starten Sie Ihren iMac Pro neu oder schalten Sie ihn ein, und halten Sie dann gedrückt Befehl (⌘) -R unmittelbar nachdem Sie das Apple-Logo sehen. Dadurch wird der Computer im Wiederherstellungsmodus von macOS gestartet.
2) Klicken Dienstprogramme in der Menüleiste im Fenster Dienstprogramme.
3) Klicken Startup Security Utility im Utilities-Fenster.
TRINKGELD: Wenn das Startup Security Utility nicht geöffnet wird, haben Sie keine Benutzerkonten auf dem Computer erstellt oder der Setup-Assistent wurde noch nicht ausgeführt.
4) Wenn Sie zur Authentifizierung aufgefordert werden, klicken Sie auf Geben Sie das macOS-Passwort ein, Wählen Sie dann ein Administratorkonto aus und geben Sie das Kennwort ein.
5) Das Startup Security Utility zeigt drei Secure Boot-Einstellungen an:
- Volle Sicherheit-Die Standardeinstellung, die die höchste Sicherheitsstufe bietet. Möglicherweise ist während der Softwareinstallation eine aktive Internetverbindung erforderlich, damit Ihr iMac Pro bestätigen kann, dass eine MacOS- oder Windows-Version gestartet wird, die in keiner Weise manipuliert wurde. Lassen Sie diese Einstellung aktiviert, um eine MacOS- oder Windows-Version auszuführen, die derzeit auf Ihrem iMac Pro oder einem von Apple als vertrauenswürdig eingestuften kryptografisch signierten Betriebssystem installiert ist.
- Mittlere Sicherheit-Diese Einstellung überprüft die macOS- oder Windows-Version auf der Startdiskette nur, um festzustellen, ob sie von Apple oder Microsoft ordnungsgemäß signiert wurde, erfordert jedoch keine Internetverbindung oder aktualisierte Integritätsinformationen von Apple. Dies verhindert nicht, dass auf dem Computer ein Betriebssystem ausgeführt wird, dem Apple nicht mehr vertraut. Verwenden Sie diese Einstellung, um ältere Versionen von macOS zu starten, unabhängig von der Vertrauensstufe von Apple.
- Keine Sicherheit-Dies ist die niedrigste Sicherheitseinstellung, die keine Sicherheitsanforderungen für das startfähige Betriebssystem auf Ihrer Startdiskette erzwingt. Verwenden Sie es, um Linux oder ein anderes Betriebssystem zu starten, das von Ihrer Hardware unterstützt wird. Eine Signierung oder Überprüfung bei Apple ist nicht erforderlich. Auf diese Weise werden derzeit alle anderen Macs gestartet.
Wenn Sie Boot Camp verwenden, können Sie Windows 10 starten, ohne die Sicherheit zu verlieren, da sowohl der T2-Chip als auch Secure Boot die Signaturberechtigung von Microsoft für Windows 10 ab dem Fall Creators Update 2017 einhalten.
6) Schließen Sie das Startup Security Utility-Fenster.
7) Klicken Neustart im Apple-Menü, um den Computer mit Ihren Sicherheitseinstellungen neu zu starten.
HINWEIS: Wenn Sie Vollständige oder Mittlere Sicherheit ausgewählt haben und das Betriebssystem auf Ihrer Startdiskette die Überprüfung nicht bestanden hat, geschieht Folgendes:
- Mac OS-Es wird eine Warnung angezeigt, die Sie darüber informiert, dass ein Softwareupdate erforderlich ist, um die Startdiskette zu verwenden. Klicken Aktualisieren Öffnen Sie das macOS-Installationsprogramm, mit dem Sie macOS auf der Startdiskette neu installieren können (hierfür ist eine Internetverbindung erforderlich). Wenn Sie Ihre installierte Kopie von macOS nicht auf die neueste verfügbare Version aktualisieren möchten, wählen Sie die Startdiskette Wählen Sie stattdessen eine andere Startdiskette aus, die Secure Boot zu überprüfen versucht.
- Windows: Eine Warnung informiert Sie darüber, dass Sie Windows mit Boot Camp Assistant installieren müssen.
HINWEIS: Wenn Sie die vollständige Sicherheit ausschalten und dann wieder einschalten, werden Sie aufgefordert, online zu gehen.
Wenn Sie sich fragen, welche Auswirkungen das Zurücksetzen des NVRAM auf die Einstellungen für den sicheren Start hat, gibt es keine. Während das Zurücksetzen des NVRAM den Systemintegritätsschutz aktiviert (falls dieser deaktiviert war), bleiben Ihre Einstellungen für den sicheren Start dieselben wie vor dem Zurücksetzen.
Ausführliche Beschreibungen der Sicherheitseinstellungen "Vollständig" und "Mittel" finden Sie weiter.
Über volle Sicherheit
Aufgrund der Sicherheitsstufe, die zuvor nur auf iOS-Geräten verfügbar war, wird sichergestellt, dass nur ein aktuelles Betriebssystem (macOS) oder ein kryptografisch signiertes Betriebssystem, dem Apple derzeit vertraut (Microsoft Windows), auf Ihrem Computer ausgeführt werden kann. Auf diesem iMac Pro dürfen keine anderen Betriebssysteme ausgeführt werden.
Wenn Secure Boot ein unbekanntes Betriebssystem auf Ihrem Startlaufwerk findet oder es nicht überprüfen kann, stellt der Computer eine Verbindung zum Internet her und lädt die aktualisierten Integritätsinformationen von Apple herunter, die zur Überprüfung des Betriebssystems erforderlich sind. „Diese Informationen gelten nur für Ihren iMac Pro und stellen sicher, dass Ihr iMac Pro unter einem Betriebssystem gestartet wird, dem Apple vertraut“, so das Unternehmen.
Wenn Sie offline sind, wird möglicherweise eine Warnmeldung angezeigt, dass eine Internetverbindung erforderlich ist. Wählen Sie in der Menüleiste ein aktives Wi-Fi-Netzwerk aus und klicken Sie auf Versuch es noch einmal.
Wenn Ihr iMac Pro die FileVault-Festplattenverschlüsselung verwendet, werden Sie möglicherweise aufgefordert, ein Kennwort einzugeben, um die Festplatte zu entsperren, bevor der Computer versucht, aktualisierte Integritätsinformationen von Apple abzurufen. Geben Sie Ihr Administratorkennwort ein und klicken Sie auf Freischalten um den Download abzuschließen.
Über mittlere Sicherheit
Wenn die Einstellung "Mittel" aktiviert ist, kann auf Ihrem iMac Pro jede Betriebssystemversion ausgeführt werden, die jemals von Apple als vertrauenswürdig eingestuft wurde, und nicht nur die aktuelle Version. Im Gegensatz zur Einstellung "Vollständig" sind keine Internetverbindung oder aktualisierte Integritätsinformationen von Apple erforderlich.
Diese Einstellung wird am besten verwendet, wenn Sie eine frühere MacOS-Version starten müssen, die von Apple nicht mehr als vertrauenswürdig eingestuft wird, und nicht unbedingt die aktuelle MacOS-Version, die auf Ihrem iMac Pro installiert ist.
Einrichten eines Firmware-Passworts
Sie können verhindern, dass Personen mit physischem Zugriff auf Ihren Computer versuchen, ihn von einer anderen als der von Ihnen festgelegten Startdiskette zu starten, indem Sie im Startup Security Utility ein Firmware-Kennwort erstellen (nicht zu verwechseln mit dem Kennwort Ihres macOS-Benutzerkontos)..
1) Starten Sie Ihren iMac Pro neu oder schalten Sie ihn ein, und halten Sie dann gedrückt Befehl (⌘) -R Unmittelbar nachdem Sie das Apple-Logo sehen, können Sie den Computer im Wiederherstellungsmodus von macOS starten.
2) Klicken Dienstprogramme in der Menüleiste im Fenster Dienstprogramme.
3) Klicken Startup Security Utility im Utilities-Fenster.
4) Wenn Sie zur Authentifizierung aufgefordert werden, klicken Sie auf Geben Sie das macOS-Passwort ein, Wählen Sie dann ein Administratorkonto aus und geben Sie das Kennwort ein.
5) Klicken Aktivieren Sie das Firmware-Passwort im Fenster Startup Security Utility.
6) Geben Sie das gewünschte Firmware-Passwort in die dafür vorgesehenen Felder ein und klicken Sie auf Passwort festlegen.
HINWEIS: Notieren Sie sich dieses Passwort und bewahren Sie es an einem sicheren Ort auf. Wenn Sie das Firmware-Kennwort vergessen haben, müssen Sie einen Servicetermin mit Apple oder einem autorisierten Serviceanbieter vereinbaren, um das Gerät zu entsperren.
7) Schließen Sie das Startup Security Utility-Fenster und wählen Sie Neustart Klicken Sie im Apple-Menü auf "Neu starten", um den iMac Pro mit den neuen Sicherheitseinstellungen zu starten.
Ihr Mac sollte normal von der angegebenen Startdiskette gestartet werden.
Jeder, der Ihr Firmware-Kennwort kennt, kann Ihren iMac Pro von einer Nicht-Startdiskette starten. Halten Sie die Taste gedrückt, um ein Speichergerät auszuwählen, von dem Sie Ihren iMac Pro starten möchten Option (⌥) Wenn Sie den Computer eingeschaltet haben, markieren Sie eine Diskette mit einem verwendbaren Betriebssystem und drücken Sie Eingeben.
Das Feld für das Firmware-Passwort wird angezeigt: Geben Sie das von Ihnen erstellte Firmware-Passwort ein und drücken Sie Eingeben um den Computer zu entsperren und weiterhin von der angegebenen Festplatte zu booten.
TRINKGELD: Um das Firmware-Passwort zu löschen, wiederholen Sie die obigen Schritte, klicken Sie jedoch auf Deaktivieren Sie das Firmware-Passwort in Schritt 4.
Das Einrichten eines Firmware-Kennworts bietet Ihnen eine weitere Sicherheitsebene und die Gewissheit, dass niemand Ihren iMac Pro von einer externen Festplatte, CD / DVD, einem USB-Stick oder einem anderen Speichergerät starten darf.
Sie müssen auch Ihr Firmware-Passwort eingeben, bevor Sie in den Wiederherstellungsmodus von macOS wechseln können. Dies bietet einen Schutz vor lokalen Angriffen, da jeder mit physischem Zugriff auf Ihren Computer in den Wiederherstellungsmodus von macOS booten kann.
Selbst wenn Personen in Ihrem Haushalt oder Ihre Mitarbeiter Ihr Firmware-Kennwort kennen, können Sie sie daran hindern, Ihren iMac Pro von externen Medien zu starten, indem Sie die weiter unten beschriebenen Optionen anpassen.
Verhindern, dass von externen Medien gebootet wird
Mit den Einstellungen für den externen Start können Sie steuern, ob Ihr iMac Pro von externen Medien gestartet werden darf. Standardmäßig ist der Computer so eingestellt, dass er die sicherste Option verwendet, die das Booten von externen Festplatten, USB-Sticks oder anderen externen Medien nicht zulässt.
Befolgen Sie die nachstehenden schrittweisen Anweisungen, um diese Einstellungen Ihren Wünschen anzupassen:
1) Starten Sie Ihren iMac Pro neu oder schalten Sie ihn ein, und halten Sie dann gedrückt Befehl (⌘) -R Unmittelbar nachdem Sie das Apple-Logo sehen, können Sie den Computer im Wiederherstellungsmodus von macOS starten.
2) Klicken Dienstprogramme in der Menüleiste im Fenster Dienstprogramme.
3) Klicken Startup Security Utility im Utilities-Fenster.
4) Wenn Sie zur Authentifizierung aufgefordert werden, klicken Sie auf Geben Sie das macOS-Passwort ein, Wählen Sie dann ein Administratorkonto aus und geben Sie das Kennwort ein.
5) Wählen Sie die gewünschte Sicherheitsstufe für den Start direkt unter dem Externer Boot Überschrift im Fenster des Startup Security Utility:
- Booten von externen Medien nicht zulassen-Ihr iMac Pro kann nicht von einem externen Medium gestartet werden.
- Erlaube das Booten von externen Medien-Ihr Computer kann von externen Medien gestartet werden.
6) Beenden Sie das Startup Security Utility und wählen Sie Neustart Klicken Sie im Apple-Menü auf "Neu starten", um den iMac Pro mit den neuen Sicherheitseinstellungen zu starten.
TRINKGELD: Wenn Sie das Booten von externen Medien zugelassen haben und vor dem Neustart eine Startdiskette auswählen möchten, beenden Sie das Startup Security Utility und wählen Sie Startdiskette aus dem Apple-Menü.
Wenn die Einstellung "Booten von externen Medien nicht zulassen" ausgewählt ist, wählen Sie eine Nicht-Startdiskette aus Systemeinstellungen → Startdiskette wird eine Warnmeldung anzeigen, die besagt, dass Ihre Sicherheitseinstellungen dies nicht zulassen.
TRINKGELD: Um die Startdiskette beim Booten auszuwählen, rufen Sie den Startup Manager auf, indem Sie die Taste gedrückt halten Option (⌥) sofort nach dem Einschalten oder Neustart Ihres Computers.
Wenn Sie dies tun, wenn die Einstellung "Booten von externen Medien nicht zulassen" aktiviert wurde, wird Ihr iMac Pro neu gestartet, und Sie erhalten die Meldung, dass Ihre Sicherheitseinstellungen das Booten von externen Medien verhindern. Sie haben dann die Möglichkeit, von Ihrer aktuellen Startdiskette neu zu starten oder eine andere Startdiskette auszuwählen.
Das Abmelden, das Deaktivieren der Option "Booten von externen Medien nicht zulassen" und das Einrichten eines sicheren Firmware-Kennworts ist die beste Möglichkeit, um zu verhindern, dass bösartige Benutzer Ihren unbeaufsichtigten iMac Pro von ihrem USB-Stick aus starten.
Ihr iMac Pro und Apple T2 Chip
Apple begann mit der Auslagerung bestimmter Mac-Systemfunktionen auf einen dedizierten ARM-basierten Coprozessor namens T1, der im MacBook Pro mit Touch Bar eingeführt wurde.
Sein Nachfolger, der Apple T2-Chip in Ihrem iMac Pro, unterstützt nicht nur die neuen Secure Boot-Funktionen, um sicherzustellen, dass auf dem Computer ein legitimes Betriebssystem ausgeführt wird, sondern integriert auch verschiedene Controller und spezialisierte Coprozessoren auf einem einzigen Chip:
- System Management Controller
- Bildsignalprozessor
- Audio-Controller
- SSD-Controller
- Kryptografischer Coprozessor von Secure Enclave
Apple T2 Chip in Ihrem iMac Pro. Bild mit freundlicher Genehmigung von iFixit.
Abgesehen von den Secure Boot-Funktionen übernimmt der T2-Chip die folgenden Aufgaben:
- Verbesserte Bildgebung für die 1080p FaceTime HD-Kamera mit Vorderseite
- Hardwarebasierte Flash-Speicherverschlüsselung ohne Leistungseinbußen
Da der T2-Chip über den von Apple entwickelten Bildsignalprozessor verfügt, ermöglicht er hardwarebeschleunigte Bildfunktionen für die FaceTime HD-Kamera, ähnlich wie bei iOS-Geräten:
- Verbesserte Belichtungssteuerung
- Verbesserte Tonzuordnung
- Automatische Belichtung basierend auf der Gesichtserkennung
- Automatischer Weißabgleich basierend auf der Gesichtserkennung
Schließlich enthält das T2-Silizium einen speziellen geschützten Bereich wie den Secure Enclave-Kryptografie-Coprozessor, der in die mobilen Chips der A-Serie von Apple für iPhones und iPads integriert ist.
Die sichere Enklave von T2 speichert Ihre Speicherverschlüsselungsschlüssel und das vertrauenswürdige Zertifikat in einem eigenen geschützten Speicher, der vom Rest des Systems abgeschirmt ist. Es enthält außerdem dedizierte AES-Hardware-Engines, die Daten ohne Auswirkung auf die Leistung der SSD im laufenden Betrieb verschlüsseln / entschlüsseln und gleichzeitig den Xeon-Prozessor für Ihre Rechenaufgaben frei halten.
Schließlich stellt es dem Rest des Systems kryptografische Funktionen zur Verfügung.
Brauchen Sie Hilfe? Fragen Sie iDB!
Wenn Ihnen diese Anleitung gefällt, geben Sie sie an Ihre Support-Mitarbeiter weiter und hinterlassen Sie unten einen Kommentar.
Stecken geblieben? Sie sind sich nicht sicher, wie Sie bestimmte Aufgaben auf Ihrem Apple-Gerät ausführen sollen? Lassen Sie es uns über wissen [email protected] und ein zukünftiges Tutorial könnte eine Lösung bieten.
Senden Sie Ihre Vorschläge zur Vorgehensweise über [email protected].