กระบวนการเริ่มการทำงานสำหรับ Mac ที่ใช้ Intel
Mac ที่ใช้ Intel ที่มีชิป Apple T2 Security
เมื่อเปิดคอมพิวเตอร์ Mac ที่ใช้ Intel ที่มีชิป Apple T2 Security ชิปจะดำเนินการเริ่มต้นระบบอย่างปลอดภัยจาก Boot ROM ของชิปในลักษณะเดียวกันกับ iPhone, iPad และ Mac ที่มี Apple Silicon ขั้นตอนนี้จะตรวจสอบยืนยันตัวโหลดเริ่มต้นระบบ iBoot และเป็นขั้นตอนแรกในลำดับการตรวจสอบความน่าเชื่อถือ โดย iBoot จะตรวจสอบเคอร์เนลและโค้ดส่วนขยายเคอร์เนลบนชิป T2 ซึ่งหลังจากนั้นจะตรวจสอบเฟิร์มแวร์ UEFI ของ Intel เฟิร์มแวร์ UEFI และลายเซ็นที่เกี่ยวข้องจะสามารถใช้กับชิป T2 ได้แค่ในตอนแรกเท่านั้น
หลังจากการตรวจสอบยืนยัน ภาพดิสก์เฟิร์มแวร์ UEFI จะถูกเทียบผังไปยังส่วนหนึ่งของหน่วยความจำชิป T2 หน่วยความจำนี้สามารถใช้งานได้กับ Intel CPU ผ่าน enhanced Serial Peripheral Interface (eSPI) เมื่อ Intel CPU ดังกล่าวเริ่มการทำงานเป็นครั้งแรก จะดึงข้อมูลเฟิร์มแวร์ UEFI ผ่าน eSPI จากสำเนาที่มีการตรวจสอบความสมบูรณ์และเทียบผังหน่วยความจำของเฟิร์มแวร์ซึ่งอยู่บนชิป T2
การประเมินลำดับการตรวจสอบความน่าเชื่อถือจะดำเนินการต่อบน Intel CPU โดยเฟิร์มแวร์ UEFI จะประเมินลายเซ็นของ boot.efi ซึ่งเป็นตัวโหลดเริ่มต้นระบบของ macOS ลายเซ็นการเริ่มต้นระบบอย่างปลอดภัยของ macOS สำหรับ Intel จะถูกจัดเก็บในรูปแบบ Image4 เดียวกันกับที่ใช้สำหรับการเริ่มต้นระบบอย่างปลอดภัยของ iOS, iPadOS และชิป T2 และโค้ดที่แยกวิเคราะห์ไฟล์ Image4 เป็นโค้ดเดียวกันที่เข้มงวดขึ้นจากการใช้งานการเริ่มต้นระบบอย่างปลอดภัยสำหรับ iOS และ iPadOS ปัจจุบัน Boot.efi จะตรวจสอบยืนยันลายเซ็นของไฟล์ที่เรียกว่า immutablekernel เมื่อการเริ่มต้นระบบอย่างปลอดภัยเปิดใช้งานอยู่ ไฟล์ immutablekernel จะแสดงถึงชุดส่วนขยายเคอร์เนลของ Apple ที่สมบูรณ์ที่ต้องใช้ในการเริ่มการทำงาน macOS นโยบายการเริ่มต้นระบบอย่างปลอดภัยจะสิ้นสุดลงเมื่อส่งต่อไปยัง immutablekernel และหลังจากนั้นนโยบายด้านความปลอดภัยของ macOS (เช่น การปกป้องความสมบูรณ์ของระบบ และส่วนขยายเคอร์เนลที่มีการลงชื่อ) จะมีผล
ถ้ามีข้อผิดพลาดหรือความล้มเหลวใดๆ ในกระบวนการนี้ Mac จะเข้าสู่โหมดการกู้คืน โหมดการกู้คืนชิป Apple T2 Security หรือโหมดอัปเกรดเฟิร์มแวร์อุปกรณ์ (DFU) ของชิป Apple T2 Security
Microsoft Windows บน Mac ที่ใช้ Intel ที่มีชิป T2
ตามค่าเริ่มต้น Mac ที่ใช้ Intel ที่รองรับการเริ่มต้นระบบอย่างปลอดภัยจะเชื่อถือเนื้อหาที่ลงชื่อโดย Apple เท่านั้น อย่างไรก็ตาม ในการปรับปรุงความปลอดภัยของการติดตั้ง Boot Camp บริษัท Apple ยังรองรับการเริ่มต้นระบบอย่างปลอดภัยสำหรับ Windows อีกด้วย เฟิร์มแวร์ Unified Extensible Firmware Interface (UEFi) มีสำเนาของใบรับรอง Microsoft Windows Production CA 2011 ที่ใช้ตรวจสอบสิทธิ์ Bootloader ของ Microsoft
หมายเหตุ: ในปัจจุบัน ไม่มีความเชื่อถือให้สำหรับ Microsoft Corporation UEFI CA 2011 ที่จะอนุญาตให้ตรวจสอบยืนยันโค้ดที่ลงชื่อโดยคู่ค้าของ Microsoft UEFI CA นี้มักนำมาใช้ในการตรวจสอบยืนยันความถูกต้องของตัวโหลดเริ่มต้นระบบสำหรับระบบปฏิบัติการอื่นๆ เช่น ระบบปฏิบัติการต่างๆ ของ Linux
การรองรับการเริ่มการทำงาน Windows อย่างปลอดภัยไม่ได้เปิดใช้งานตามค่าเริ่มต้น แต่จะถูกเปิดใช้งานโดยใช้ผู้ช่วย Boot Camp (BCA) เมื่อผู้ใช้เรียกใช้ BCA จะมีการกำหนดค่า macOS อีกครั้งเพื่อให้เชื่อถือรหัสที่ลงชื่อของบริษัทแรกจาก Microsoft ในระหว่างการเริ่มการทำงาน หลังจาก BCA ดำเนินการเสร็จสิ้นแล้ว ถ้า macOS ส่งผ่านการประเมินความน่าเชื่อถือของบริษัทแรกจาก Apple ในระหว่างการเริ่มต้นระบบอย่างปลอดภัย เฟิร์มแวร์ UEFI จะพยายามประเมินความน่าเชื่อถือของวัตถุตามการจัดรูปแบบการเริ่มต้นระบบอย่างปลอดภัยสำหรับ UEFI ถ้าดำเนินการประเมินความน่าเชื่อถือได้สำเร็จ Mac จะดำเนินการต่อและเริ่มการทำงาน Windows ถ้าดำเนินการไม่สำเร็จ Mac จะเข้าสู่ recoveryOS และแจ้งผู้ใช้ว่าประเมินความน่าเชื่อถือไม่สำเร็จ
คอมพิวเตอร์ Mac ที่ใช้ Intel ที่ไม่มีชิป T2
Mac ที่ใช้ Intel ที่ไม่มีชิป T2 จะไม่รองรับการเริ่มต้นระบบอย่างปลอดภัย ดังนั้นเฟิร์มแวร์ Unified Extensible Firmware Interface (UEFi) จะโหลดตัวเริ่มการทำงาน macOS (boot.efi) จากระบบไฟล์โดยไม่มีการตรวจสอบยืนยัน และตัวเริ่มการทำงานจะโหลดเคอร์เนล (prelinkedkernel) จากระบบไฟล์โดยไม่มีการตรวจสอบยืนยัน ในการปกป้องความสมบูรณ์ของลำดับการเริ่มการทำงาน ผู้ใช้ควรเปิดใช้งานกลไกความปลอดภัยต่อไปนี้ทั้งหมด:
การปกป้องความสมบูรณ์ของระบบ (SIP): การตั้งค่านี้จะเปิดใช้งานตามค่าเริ่มต้น โดยจะปกป้องตัวเริ่มการทำงานและเคอร์เนลจากการเขียนที่เป็นอันตรายจากภายใน macOS ที่ใช้งานอยู่
FileVault: สามารถเปิดใช้งานการตั้งค่านี้ได้สองวิธี: โดยผู้ใช้หรือโดยผู้ดูแลของการจัดการอุปกรณ์เคลื่อนที่ (MDM) การตั้งค่านี้จะป้องกันผู้โจมตีที่ใช้วิธีทางกายภาพโดยใช้โหมดดิสก์เป้าหมายในการเขียนทับตัวเริ่มการทำงาน
รหัสผ่านเฟิร์มแวร์: สามารถเปิดใช้งานการตั้งค่านี้ได้สองวิธี: โดยผู้ใช้หรือโดยผู้ดูแลของ MDM การตั้งค่านี้จะช่วยป้องกันไม่ให้ผู้โจมตีที่ใช้วิธีทางกายภาพเปิดทำงานโหมดเริ่มการทำงานอื่นๆ เช่น recoveryOS, โหมดผู้ใช้รายเดียว หรือโหมดดิสก์เป้าหมาย ซึ่งอาจทำให้ตัวเริ่มการทำงานถูกเขียนทับได้ และยังช่วยป้องกันไม่ให้มีการเริ่มการทำงานจากสื่ออื่น ซึ่งผู้โจมตีสามารถเรียกใช้รหัสเพื่อเขียนทับตัวรเริ่มการทำงานได้
