Apple's iMac Pro wordt geleverd met een nieuwe functie, Secure Boot genaamd, die gebruik maakt van de ingebouwde Apple T2-chip, een ARM-processor vergelijkbaar met die in een iPad of iPhone, waardoor de firmware van de computer de bootloader kan valideren voordat deze wordt geladen.
De T2-chip valideert het hele opstartproces wanneer de stroom wordt ingeschakeld en zorgt ervoor dat niet met de laagste niveaus van software wordt geknoeid en dat alleen de initiële bootloader en besturingssysteemsoftware die door Apple wordt vertrouwd, wordt geladen bij het opstarten.
Wat is Secure Boot?
Secure Boot is een nieuwe functie exclusief voor iMac Pro die ervoor zorgt dat uw computer altijd opstart vanaf de aangewezen opstartschijf en altijd vanuit een vertrouwd besturingssysteem.
Instellingen voor beveiligd opstarten zijn beschikbaar in Startup Security Utility, dat alleen toegankelijk is via de herstelmodus van macOS.
Startup Security Utility biedt de volgende schakelaars om uw iMac Pro te beveiligen tegen ongeautoriseerde toegang (we zullen alle drie de instellingen in dit artikel beschrijven):
- Firmware wachtwoordbeveiliging-Voorkom dat de computer opstart zonder uw firmwarewachtwoord op te geven.
- Veilig opstarten-Pas het opstartbeveiligingsniveau van uw computer aan.
- Externe boot-Opstarten vanaf externe media niet toestaan.
Houd er rekening mee dat iMac Pro momenteel geen ondersteuning biedt voor opstarten vanaf netwerkvolumes, hoewel NetBoot waarschijnlijk naar Secure Boot komt in een toekomstige software-update.
Instellingen voor veilig opstarten hebben geen invloed op doelschijfmodus. Deze modus wordt geactiveerd door de toets ingedrukt te houden “T” bij het opstarten van uw computer, verandert uw iMac Pro in een externe schijf voor een andere Mac.
Met andere woorden, Secure Boot verhindert niet dat een slechte acteur met fysieke toegang tot uw computer uw computer opstart in doelschijfmodus en deze op zijn Mac koppelt met volledige toegang tot alle aangesloten schijven en volumes.
Het inschakelen van FileVault-schijfversleuteling, die SSD-versleuteling aan uw wachtwoord koppelt, helpt dit probleem te verminderen omdat het voorkomt dat gegevens op uw SSD worden gedecodeerd zonder de juiste hardware en je wachtwoord.
Secure Boot-functies zijn niet beschikbaar op niet-iMac Pro-modellen.
TUTORIAL: Alle manieren waarop u uw Mac kunt opstarten
Als u geen iMac Pro bezit, maakt het maken van een sterk firmwarewachtwoord het voor andere mensen onmogelijk om uw computer op te starten vanaf een andere schijf dan uw aangewezen opstartschijf zonder het wachtwoord.
Hoe iMac Pro opstartbeveiligingsniveau aan te passen
1) Start de iMac Pro opnieuw op of houd hem ingedrukt en houd vervolgens ingedrukt Command (⌘) -R onmiddellijk nadat u het Apple-logo ziet. Hiermee wordt de machine opgestart in de herstelmodus van macOS.
2) Klik Gereedschap in de menubalk in het venster Hulpprogramma's.
3) Klik Startup Security Utility in het venster Hulpprogramma's.
TIP: Als Startup Security Utility niet wordt geopend, hebt u geen gebruikersaccounts op de computer gemaakt of is de Setup Assistant nog niet uitgevoerd.
4) Wanneer u wordt gevraagd om te verifiëren, klikt u op Voer macOS-wachtwoord in, selecteer vervolgens een beheerdersaccount en voer het wachtwoord in.
5) Startup Security Utility presenteert drie Secure Boot-instellingen:
- Volledige beveiliging-De standaardinstelling die het hoogste beveiligingsniveau biedt. Een actieve internetverbinding kan nodig zijn tijdens de installatie van de software, zodat uw iMac Pro kan bevestigen dat hij een macOS- of Windows-versie opstart waarmee op geen enkele manier is geknoeid. Laat deze instelling ingeschakeld om een macOS- of Windows-versie uit te voeren die momenteel op uw iMac Pro is geïnstalleerd, of elk cryptografisch ondertekend besturingssysteem dat wordt vertrouwd door Apple.
- Gemiddelde beveiliging-Deze instelling controleert de macOS- of Windows-versie op de opstartschijf alleen om te zien of deze correct is ondertekend door Apple of Microsoft, maar vereist geen internetverbinding of bijgewerkte integriteitsinformatie van Apple. Het belet niet dat de machine een besturingssysteem uitvoert dat niet langer wordt vertrouwd door Apple. Gebruik deze instelling om op te starten in oudere versies van macOS, ongeacht het vertrouwensniveau van Apple.
- Geen beveiliging-Dit is de laagste beveiligingsinstelling die geen beveiligingsvereisten afdwingt voor het opstartbare besturingssysteem op uw opstartschijf. Gebruik het om op te starten in Linux of een ander besturingssysteem dat wordt ondersteund door uw hardware, geen ondertekening of verificatie met Apple vereist. Dit is de manier waarop alle andere Macs momenteel opstarten.
Als je Boot Camp gebruikt, kun je opstarten in Windows 10 terwijl je volledig veilig blijft omdat de T2-chip en Secure Boot beide de ondertekeningsmachtiging van Microsoft voor Windows 10 respecteren, beginnend met de Fall Creators Update van 2017.
6) Sluit het venster Startup Security Utility.
7) Klik Herstarten in het Apple-menu om de machine opnieuw op te starten met uw beveiligingsinstellingen op zijn plaats.
NOTITIE: Als u Volledige of Gemiddelde beveiliging hebt geselecteerd en het besturingssysteem op uw opstartschijf de verificatie niet heeft doorstaan, gebeurt dit:
- MacOS-Er verschijnt een waarschuwing dat u een software-update nodig hebt om de opstartschijf te gebruiken. Klik Bijwerken om het macOS-installatieprogramma te openen, waarmee u macOS opnieuw op de opstartschijf kunt installeren (hiervoor is een internetverbinding vereist). Als u uw geïnstalleerde exemplaar van macOS niet wilt upgraden naar de nieuwste beschikbare versie, kiest u de Opstartschijf optie en selecteer vervolgens een andere opstartschijf die Secure Boot zal proberen te verifiëren.
- ramen: Een melding geeft aan dat u Windows moet installeren met Boot Camp Assistant.
NOTITIE: Als u Volledige beveiliging uitschakelt en vervolgens weer inschakelt, wordt u gevraagd online te gaan.
Als u zich afvraagt wat de effecten zijn van het resetten van NVRAM op Secure Boot-instellingen, zijn er geen. Terwijl het resetten van NVRAM systeemintegriteitsbescherming inschakelt (als deze was uitgeschakeld), blijven uw Secure Boot-instellingen dezelfde als vóór de reset.
Lees verder voor gedetailleerde beschrijvingen van volledige en middelgrote beveiligingsinstellingen.
Over volledige beveiliging
Een beveiligingsniveau dat voorheen alleen beschikbaar was op iOS-apparaten, deze instelling zorgt ervoor dat alleen een actueel besturingssysteem (macOS) of een cryptografisch ondertekend besturingssysteem dat momenteel wordt vertrouwd door Apple (Microsoft Windows), op uw computer kan worden uitgevoerd. Er kunnen geen andere besturingssystemen op deze iMac Pro worden uitgevoerd.
Als Secure Boot een onbekend besturingssysteem op uw opstartschijf vindt of het niet kan verifiëren, maakt de computer verbinding met internet en downloadt de bijgewerkte integriteitsinformatie van Apple die nodig is om het besturingssysteem te verifiëren. "Deze informatie is uniek voor uw iMac Pro en zorgt ervoor dat uw iMac Pro wordt opgestart vanuit een besturingssysteem dat door Apple wordt vertrouwd", aldus het bedrijf.
Als u offline bent, ziet u mogelijk een melding dat een internetverbinding vereist is. Kies een actief Wi-Fi-netwerk in de menubalk en klik vervolgens op Probeer het opnieuw.
Als uw iMac Pro FileVault-schijfversleuteling gebruikt, wordt u mogelijk gevraagd een wachtwoord in te voeren om de schijf te ontgrendelen voordat de computer probeert bijgewerkte integriteitsinformatie van Apple op te halen. Voer uw beheerderswachtwoord in en klik vervolgens op Ontgrendelen om de download te voltooien.
Over gemiddelde beveiliging
Wanneer de instelling Gemiddeld is ingeschakeld, mag uw iMac Pro elke besturingssysteemversie uitvoeren die ooit door Apple wordt vertrouwd, niet alleen de huidige versie. In tegenstelling tot de instelling Volledig is geen internetverbinding of bijgewerkte integriteitsinformatie van Apple vereist.
Deze instelling wordt het best gebruikt wanneer u moet opstarten in een eerdere macOS-versie die niet langer wordt vertrouwd door Apple, niet noodzakelijk de huidige macOS-versie die op uw iMac Pro is geïnstalleerd.
Firmware-wachtwoord instellen
U kunt voorkomen dat mensen met fysieke toegang tot uw machine proberen op te starten vanaf een andere schijf dan uw aangewezen opstartschijf door een firmwarewachtwoord te maken in Startup Security Utility (niet te verwarren met het wachtwoord van uw macOS-gebruikersaccount).
1) Start de iMac Pro opnieuw op of houd hem ingedrukt en houd vervolgens ingedrukt Command (⌘) -R onmiddellijk nadat u het Apple-logo ziet om de computer op te starten met de herstelmodus van macOS.
2) Klik Gereedschap in de menubalk in het venster Hulpprogramma's.
3) Klik Startup Security Utility in het venster Hulpprogramma's.
4) Wanneer u wordt gevraagd om te verifiëren, klikt u op Voer macOS-wachtwoord in, selecteer vervolgens een beheerdersaccount en voer het wachtwoord in.
5) Klik Schakel Firmware-wachtwoord in in het venster Startup Security Utility.
6) Voer een gewenst firmwarewachtwoord in de daarvoor bestemde velden in en klik vervolgens op Stel een wachtwoord in.
NOTITIE: Schrijf dit wachtwoord op en bewaar het op een veilige plek. Als u het firmwarewachtwoord vergeet, moet u een serviceafspraak met Apple of een geautoriseerde serviceprovider plannen om de machine te ontgrendelen.
7) Sluit het venster Startup Security Utility en kies vervolgens Herstarten vanuit het Apple-menu om uw iMac Pro opnieuw op te starten met uw nieuwe beveiligingsinstellingen.
Uw Mac zou normaal moeten opstarten vanaf de aangewezen opstartschijf.
Iedereen die uw firmwarewachtwoord kent, kan uw iMac Pro opstarten vanaf een niet-opstartschijf. Houd de toets ingedrukt om een opslagapparaat te selecteren waarmee u uw iMac Pro wilt opstarten Optie (⌥) na het inschakelen van de computer, markeer vervolgens een schijf met een bruikbaar besturingssysteem en druk op invoeren.
Het veld Firmware-wachtwoord verschijnt: typ het firmwarewachtwoord dat u hebt gemaakt en druk op invoeren om de computer te ontgrendelen en door te gaan vanaf de aangewezen schijf.
TIP: Herhaal de bovenstaande stappen om het firmwarewachtwoord te verwijderen, maar klik Schakel Firmware-wachtwoord uit in stap 4.
Het instellen van een firmwarewachtwoord geeft u een extra beveiligingslaag en een geruststelling omdat niemand uw iMac Pro mag opstarten vanaf een externe harde schijf, CD / DVD, USB-stick of een ander opslagapparaat.
U moet ook uw firmwarewachtwoord typen voordat u de herstelmodus van macOS opent. Dit biedt bescherming tegen lokale aanvallen, omdat iedereen met fysieke toegang tot uw computer kan opstarten in de herstelmodus van macOS.
Zelfs als mensen in uw huishouden of uw collega's uw firmwarewachtwoord kennen, kunt u nog steeds voorkomen dat ze uw iMac Pro opstarten vanaf externe media door de opties hieronder aan te passen.
Opstarten van externe media voorkomen
Met de instellingen voor extern opstarten kunt u bepalen of uw iMac Pro mag opstarten vanaf externe media. Standaard is de computer ingesteld om de veiligste optie te gebruiken die opstarten vanaf externe harde schijven, USB-sticks of andere externe media verbiedt..
Volg deze stapsgewijze instructies om deze instellingen naar wens aan te passen:
1) Start de iMac Pro opnieuw op of houd hem ingedrukt en houd vervolgens ingedrukt Command (⌘) -R onmiddellijk nadat u het Apple-logo ziet om de computer op te starten met de herstelmodus van macOS.
2) Klik Gereedschap in de menubalk in het venster Hulpprogramma's.
3) Klik Startup Security Utility in het venster Hulpprogramma's.
4) Wanneer u wordt gevraagd om te verifiëren, klikt u op Voer macOS-wachtwoord in, selecteer vervolgens een beheerdersaccount en voer het wachtwoord in.
5) Kies het gewenste niveau van opstartbeveiliging direct onder de Externe boot kop in het venster Startup Security Utility:
- Opstarten vanaf externe media niet toestaan-uw iMac Pro kan niet worden gemaakt om op te starten vanaf externe media.
- Opstarten vanaf externe media toestaan-Uw computer kan opstarten vanaf externe media.
6) Sluit het hulpprogramma Startup Security af en kies vervolgens Herstarten vanuit het Apple-menu om uw iMac Pro opnieuw op te starten met uw nieuwe beveiligingsinstellingen.
TIP: Als u het opstarten vanaf externe media hebt toegestaan en een opstartschijf wilt selecteren voordat u opnieuw opstart, sluit u het hulpprogramma Startup Security af en kiest u Opstartschijf uit het Apple-menu.
Wanneer de instelling "Niet toestaan op te starten vanaf externe media" is geselecteerd, selecteert u een niet-opstartschijf in Systeemvoorkeuren → Opstartschijf geeft een waarschuwingsbericht dat uw beveiligingsinstellingen dit niet toestaan.
TIP: Om uw opstartschijf tijdens het opstarten te kiezen, roept u Startup Manager op door de Optie (⌥) onmiddellijk na het inschakelen of opnieuw opstarten van uw computer.
Als u dit doet wanneer de instelling 'Niet toestaan op te starten vanaf externe media' is ingeschakeld, wordt uw iMac Pro opnieuw gestart met een bericht dat uw beveiligingsinstellingen voorkomen dat het opstart vanaf externe media. U krijgt dan de optie om opnieuw op te starten vanaf uw huidige opstartschijf of een andere opstartschijf te selecteren.
Afmelden, de instelling "Opstarten vanaf externe media toestaan" inschakelen en een sterk firmwarewachtwoord instellen is de beste manier om te voorkomen dat snode gebruikers uw onbeheerde iMac Pro opstarten vanaf hun USB-stick.
Je iMac Pro en Apple T2-chip
Apple begon bepaalde Mac-systeemfuncties te verplaatsen naar een speciale ARM-gebaseerde coprocessor, T1 genaamd, die in de MacBook Pro debuteerde met Touch Bar.
Zijn opvolger, de Apple T2-chip in uw iMac Pro, ondersteunt niet alleen de nieuwe Secure Boot-functies om ervoor te zorgen dat de machine een legitiem besturingssysteem uitvoert, maar integreert ook verschillende controllers en gespecialiseerde coprocessors op een enkele chip:
- Systeembeheercontroller
- Beeldsignaalprocessor
- Audio controller
- SSD-controller
- Secure Enclave cryptografische coprocessor
Apple T2-chip in uw iMac Pro. Afbeelding afkomstig van iFixit.
Afgezien van Secure Boot-functies, verwerkt de T2-chip de volgende taken:
- Verbeterde beeldvorming voor de 1080p FaceTime HD-camera aan de voorzijde
- Op hardware gebaseerde flashopslagcodering zonder prestatieverlies
Omdat de T2-chip de intern ontworpen beeldsignaalprocessor van Apple bevat, maakt deze hardware-versnelde beeldvormingsfuncties mogelijk voor de FaceTime HD-camera, in tegenstelling tot die op iOS-apparaten:
- Verbeterde belichtingsregeling
- Verbeterde tonemapping
- Automatische belichting op basis van gezichtsdetectie
- Automatische witbalans op basis van gezichtsherkenning
Ten slotte bevat het T2-silicium een speciaal beschermd gedeelte zoals de Secure Enclave-cryptografische coprocessor ingebed in Apple's A-serie mobiele chips die iPhones en iPads voeden.
Secure Enclave van T2 bewaart uw opslagcoderingssleutels en de vertrouwde certificaatopslag in zijn eigen beveiligde geheugen dat is ommuurd ten opzichte van de rest van het systeem. Het herbergt ook speciale AES-hardwaremotoren die gegevens direct coderen / decoderen zonder effect op de prestaties van de SSD, terwijl de Xeon-processor vrij blijft voor uw computertaken.
Ten slotte biedt het cryptografische functies aan de rest van het systeem.
Hulp nodig? Vraag het iDB!
Als je dit leuk vindt, geef het dan door aan je supportmedewerkers en laat hieronder een reactie achter.
Zat vast? Weet u niet zeker hoe u bepaalde dingen op uw Apple-apparaat moet doen? Laat het ons weten via [email protected] en een toekomstige tutorial kan een oplossing bieden.
Dien uw instructiesuggesties in via [email protected].