O iMac Pro da Apple é fornecido com um novo recurso, chamado Secure Boot, que tira proveito do chip Apple T2 integrado, um processador ARM semelhante ao de um iPad ou iPhone, permitindo que o firmware do computador valide o gerenciador de inicialização antes do carregamento.
O chip T2 valida todo o processo de inicialização quando a energia é ligada, garantindo que os níveis mais baixos de software não sejam violados e que apenas o carregador de inicialização inicial e o software do sistema operacional confiáveis pela Apple sejam carregados na inicialização.
O que é inicialização segura?
O Secure Boot é um novo recurso exclusivo do iMac Pro que ajuda a garantir que o computador sempre seja inicializado a partir do disco de inicialização designado e sempre de um sistema operacional confiável.
As configurações de inicialização segura estão disponíveis no Startup Security Utility, acessível apenas através do modo de recuperação do macOS.
O Startup Security Utility oferece as seguintes opções para ajudar a proteger seu iMac Pro contra acesso não autorizado (detalharemos as três configurações deste artigo):
- Proteção de senha de firmware-Impedir a inicialização do computador sem fornecer a senha do firmware.
- Modo de segurança-Ajuste o nível de segurança de inicialização do seu computador.
- Inicialização externa-Não permitir inicialização de mídia externa.
Lembre-se de que o iMac Pro atualmente não oferece suporte à inicialização a partir de volumes de rede, embora o NetBoot provavelmente esteja chegando ao Secure Boot em uma futura atualização de software.
As configurações de inicialização segura não afetam o modo de disco de destino. Esse modo, chamado mantendo pressionado o "T" ao inicializar o computador, transforma o iMac Pro em um disco externo para outro Mac.
Em outras palavras, o Secure Boot não impedirá que um agente mal-intencionado com acesso físico ao computador inicie o computador no Modo de Disco de Destino e o monte no Mac com acesso total a todas as unidades e volumes conectados.
A ativação da criptografia de disco do FileVault, que vincula a criptografia SSD à sua senha, ajuda a atenuar esse problema, pois evita que os dados no SSD sejam descriptografados sem o hardware adequado e sua senha.
Os recursos de inicialização segura não estão disponíveis nos modelos que não são do iMac Pro.
TUTORIAL: Todas as formas de iniciar o seu Mac
Se você não possui um iMac Pro, a criação de uma senha forte de firmware tornará impossível para outras pessoas iniciar o computador a partir de um disco que não seja o disco de inicialização designado sem a senha.
Como ajustar o nível de segurança de inicialização do iMac Pro
1) Reinicie ou ligue o iMac Pro e pressione e segure Comando (⌘) -R imediatamente depois de ver o logotipo da Apple. Isso inicializará a máquina no modo de recuperação do macOS.
2) Clique Serviços de utilidade pública na barra de menus na janela Utilitários.
3) Clique Utilitário de segurança de inicialização na janela Utilitários.
DICA: Se o Startup Security Utility não abrir, você não criou nenhuma conta de usuário no computador ou o Assistente de Instalação ainda não foi executado..
4) Quando solicitado a se autenticar, clique em Digite a senha do macOS, selecione uma conta de administrador e digite sua senha.
5) O Startup Security Utility apresentará três configurações de inicialização segura:
- Segurança total-A configuração padrão que oferece o mais alto nível de segurança. Uma conexão ativa com a Internet pode ser necessária no momento da instalação do software, para que o iMac Pro possa confirmar que está inicializando uma versão do macOS ou do Windows que não foi violada de nenhuma maneira. Deixe essa configuração ativada para executar uma versão do macOS ou Windows atualmente instalada no seu iMac Pro ou em qualquer sistema operacional com assinatura criptográfica confiável pela Apple.
- Segurança Média-Essa configuração verifica a versão do macOS ou do Windows no disco de inicialização apenas para verificar se foi assinada corretamente pela Apple ou pela Microsoft, mas não requer uma conexão com a Internet ou informações de integridade atualizadas da Apple. Isso não impede que a máquina execute um sistema operacional que não é mais confiável pela Apple. Use esta configuração para inicializar em versões mais antigas do macOS, independentemente do nível de confiança da Apple.
- Sem segurança-Essa é a configuração de segurança mais baixa que não impõe nenhum requisito de segurança para o sistema operacional inicializável no seu disco de inicialização. Use-o para inicializar no Linux ou em qualquer outro sistema operacional suportado no seu hardware, sem necessidade de assinatura ou verificação com a Apple. É assim que todos os outros Macs atualmente iniciam.
Se você usa o Boot Camp, é possível inicializar no Windows 10 enquanto permanece totalmente seguro, pois o chip T2 e o Secure Boot respeitam a autoridade de assinatura da Microsoft para o Windows 10, começando com a Atualização de Criadores de Queda de 2017.
6) Feche a janela do Startup Security Utility.
7) Clique Reiniciar no menu Apple para reiniciar a máquina com as configurações de segurança no lugar.
NOTA: Se você selecionou a segurança Total ou Média e o sistema operacional no disco de inicialização falhou na verificação, é o que acontece:
- Mac OS-Um alerta é exibido informando que é necessária uma atualização de software para usar o disco de inicialização. Clique Atualizar para abrir o instalador do macOS, que você pode usar para reinstalar o macOS no disco de inicialização (isso requer uma conexão com a Internet). Se você não deseja atualizar sua cópia instalada do macOS para a versão mais recente disponível, escolha o Disco de inicialização opção e selecione um disco de inicialização diferente que o Secure Boot tentará verificar.
- janelas: Um alerta informa que você precisa instalar o Windows com o Boot Camp Assistant.
NOTA: desativar a segurança total e ativá-la novamente solicitará que você fique on-line.
Se você está se perguntando sobre os efeitos da redefinição da NVRAM nas configurações de inicialização segura, não há nenhuma. Enquanto a redefinição da NVRAM ativa a Proteção de integridade do sistema (se estiver desativada), suas configurações de inicialização segura permanecem as mesmas de antes da redefinição.
Continue lendo para obter descrições detalhadas das configurações de segurança completa e média.
Sobre segurança total
Um nível de segurança anteriormente disponível apenas em dispositivos iOS, essa configuração garante que apenas um sistema operacional atualizado (macOS) ou um sistema operacional assinado criptograficamente e atualmente confiável pela Apple (Microsoft Windows) possa ser executado no seu computador. Nenhum outro sistema operacional poderá executar neste iMac Pro.
Se o Secure Boot encontrar um sistema operacional desconhecido na unidade de inicialização ou não conseguir verificá-lo, o computador se conectará à Internet e fará o download das informações de integridade atualizadas da Apple necessárias para verificar o sistema operacional. “Essas informações são exclusivas do seu iMac Pro e garantem que o iMac Pro seja inicializado a partir de um sistema operacional confiável da Apple”, de acordo com a empresa.
Se você estiver offline, poderá receber um alerta informando que é necessária uma conexão com a Internet. Escolha uma rede Wi-Fi ativa na barra de menus e clique em Tente novamente.
Se o seu iMac Pro usa a criptografia de disco do FileVault, você pode ser solicitado a digitar uma senha para desbloquear o disco antes que o computador tente recuperar informações de integridade atualizadas da Apple. Digite sua senha de administrador e clique em Desbloquear para concluir o download.
Sobre segurança média
Quando a configuração Média está ativada, seu iMac Pro pode executar qualquer versão do sistema operacional que a Apple confie, não apenas a versão atual. Diferente da configuração Completa, ela não requer conexão com a Internet ou informações de integridade atualizadas da Apple..
Essa configuração é melhor usada quando você precisa inicializar em uma versão anterior do macOS que não é mais confiável pela Apple, não necessariamente a versão atual do macOS instalada no seu iMac Pro.
Configurando uma senha de firmware
Você pode impedir que pessoas com acesso físico à sua máquina tentem inicializá-la a partir de um disco que não seja o disco de inicialização designado, criando uma senha de firmware no Startup Security Utility (para não confundir com a senha da sua conta de usuário do macOS).
1) Reinicie ou ligue o iMac Pro e pressione e segure Comando (⌘) -R imediatamente depois de ver o logotipo da Apple para iniciar o computador usando o Modo de recuperação do macOS.
2) Clique Serviços de utilidade pública na barra de menus na janela Utilitários.
3) Clique Utilitário de segurança de inicialização na janela Utilitários.
4) Quando você for solicitado a se autenticar, clique em Digite a senha do macOS, selecione uma conta de administrador e digite sua senha.
5) Clique Ativar senha de firmware na janela Startup Security Utility.
6) Digite a senha de firmware desejada nos campos fornecidos e clique em Configurar senha.
NOTA: Anote essa senha e guarde-a em algum lugar seguro. Se você esquecer a senha do firmware, precisará agendar uma consulta de serviço com a Apple ou com um provedor de serviços autorizado para desbloquear a máquina.
7) Feche a janela do Startup Security Utility e escolha Reiniciar no menu Apple para reiniciar o iMac Pro com as novas configurações de segurança.
O seu Mac deve iniciar normalmente a partir do disco de inicialização designado.
Qualquer pessoa que saiba sua senha de firmware poderá inicializar o seu iMac Pro a partir de um disco que não seja de inicialização. Para selecionar um dispositivo de armazenamento a partir do qual você deseja inicializar o seu iMac Pro, mantenha pressionada a tecla Opção (⌥) depois de ligar o computador, realce um disco que contém um sistema operacional utilizável e pressione Entrar.
O campo de senha do firmware é exibido: digite a senha do firmware que você criou e pressione Entrar para desbloquear o computador e continuar inicializando-o a partir do disco designado.
DICA: Para matar a senha do firmware, repita as etapas acima, mas clique em Desativar senha do firmware na etapa 4.
A configuração de uma senha de firmware oferece outra camada de segurança e tranqüilidade, sabendo que ninguém poderá iniciar o iMac Pro a partir de um disco rígido externo, CD / DVD, pen drive USB ou qualquer outro dispositivo de armazenamento.
Você também precisará digitar sua senha de firmware antes de entrar no modo de recuperação do macOS. Isso fornece uma proteção contra ataques locais, pois qualquer pessoa com acesso físico ao seu computador pode inicializar no modo de recuperação do macOS.
Mesmo que as pessoas da sua casa ou seus colegas de trabalho saibam a senha do firmware, você ainda pode impedir que eles inicializem o iMac Pro a partir de mídia externa, ajustando as opções detalhadas mais adiante.
Impedindo a inicialização a partir de mídia externa
As configurações de inicialização externa permitem controlar se o iMac Pro pode ser inicializado a partir de mídia externa. Por padrão, o computador está configurado para usar a opção mais segura que não permite a inicialização de discos rígidos externos, pen drives USB ou outra mídia externa.
Para ajustar essas configurações ao seu gosto, siga as instruções passo a passo abaixo:
1) Reinicie ou ligue o iMac Pro e pressione e segure Comando (⌘) -R imediatamente depois de ver o logotipo da Apple para iniciar o computador usando o Modo de recuperação do macOS.
2) Clique Serviços de utilidade pública na barra de menus na janela Utilitários.
3) Clique Utilitário de segurança de inicialização na janela Utilitários.
4) Quando você for solicitado a se autenticar, clique em Digite a senha do macOS, selecione uma conta de administrador e digite sua senha.
5) Escolha o nível desejado de segurança de inicialização logo abaixo do Inicialização externa na janela Startup Security Utility:
- Não permitir inicialização de mídia externa-não é possível criar seu iMac Pro para inicializar a partir de nenhuma mídia externa.
- Permitir inicialização a partir de mídia externa-Seu computador pode iniciar a partir de mídia externa.
6) Saia do Startup Security Utility e escolha Reiniciar no menu Apple para reiniciar o iMac Pro com as novas configurações de segurança.
DICA: Se você permitiu a inicialização a partir de uma mídia externa e deseja selecionar um disco de inicialização antes de reiniciar, saia do Startup Security Utility e escolha Disco de inicialização no menu Apple.
Quando a configuração "Proibir inicialização a partir de mídia externa" é selecionada, selecione um disco que não seja de inicialização em Preferências do Sistema → Disco de Inicialização gerará uma mensagem de aviso dizendo que suas configurações de segurança não permitem que isso aconteça.
DICA: Para escolher seu disco de inicialização no momento da inicialização, chame o Startup Manager mantendo pressionado o botão Opção (⌥) imediatamente após ligar ou reiniciar o computador.
Fazer isso quando a configuração "Proibir inicialização de mídia externa" estiver ativada fará com que o iMac Pro seja reiniciado em uma mensagem informando que suas configurações de segurança o impedem de inicializar a partir de mídia externa. Você receberá a opção de reiniciar do disco de inicialização atual ou selecionar outro disco de inicialização.
Assinar, ativar a configuração "Proibir a inicialização a partir de mídia externa" e definir uma senha forte de firmware é a melhor maneira de impedir que usuários nefastos iniciem o iMac Pro autônomo a partir do pen drive USB.
Seu chip iMac Pro e Apple T2
A Apple começou a descarregar determinadas funções do sistema Mac para um coprocessador dedicado baseado em ARM, chamado T1, que estreou no MacBook Pro com Touch Bar.
Seu sucessor, o chip Apple T2 no seu iMac Pro, não apenas suporta os novos recursos de Inicialização Segura para garantir que a máquina execute um sistema operacional legítimo, mas também integra vários controladores e coprocessadores especializados em um único chip:
- Controlador de gerenciamento do sistema
- Processador de sinal de imagem
- Controlador de áudio
- Controlador SSD
- Coprocessador criptográfico Secure Enclave
Chip Apple T2 no seu iMac Pro. Imagem cortesia de iFixit.
Além dos recursos de Inicialização Segura, o chip T2 lida com as seguintes tarefas:
- Imagens aprimoradas para a câmera FaceTime HD de frente para 1080p
- Criptografia de armazenamento flash baseada em hardware sem penalização de desempenho
Como o chip T2 incorpora o processador de sinal de imagem projetado pela Apple, ele possibilita recursos de imagem acelerados por hardware para a câmera FaceTime HD, não muito diferentes dos dispositivos iOS:
- Controle de exposição aprimorado
- Mapeamento de tom aprimorado
- Exposição automática baseada na detecção de rosto
- Balanço de branco automático com base na detecção de rosto
Por fim, o silício T2 inclui uma seção protegida especial, como o coprocessador criptográfico Secure Enclave incorporado aos chips móveis da série A da Apple, alimentando iPhones e iPads.
O Secure Enclave do T2 mantém suas chaves de criptografia de armazenamento e o armazenamento confiável de certificados em sua própria memória protegida, protegida do resto do sistema. Ele também possui mecanismos de hardware AES dedicados que criptografam / descriptografam dados em tempo real sem afetar o desempenho do SSD, mantendo o processador Xeon livre para suas tarefas de computação.
Por fim, ele fornece funções criptográficas para o resto do sistema.
Preciso de ajuda? Ask iDB!
Se você gosta deste tutorial, passe-o para o pessoal de suporte e deixe um comentário abaixo.
Fiquei preso? Não sabe ao certo como fazer certas coisas no seu dispositivo Apple? Deixe-nos saber via [email protected] e um tutorial futuro pode fornecer uma solução.
Envie suas sugestões de instruções via [email protected].