Como usar a segurança de inicialização no macOS

Como usar a segurança de inicialização no macOS

Veja como usar a segurança de inicialização no macOS para aumentar a segurança do seu MacBook sem comprometer a usabilidade.

Como usar a segurança de inicialização no macOS
Como usar a segurança de inicialização no macOS

Aprenda a como usar a segurança de inicialização para aumentar o nível de segurança do seu MacBook.

Apesar a Apple trabalhar para aumentar o nível de segurança de seus sistemas existem diversas ferramentas para auxiliar nessa situação.

E mesmo com todo esse esforço ainda vemos casos de roubo de dados ou ataques de malware em sistemas da Apple.

Como usar a segurança de inicialização no macOS

Quando falamos em aumentar a segurança de um ambiente computacional devemos minimizar a superfície suscetível ao ataque e em casos críticos, quando um ataque obtém sucesso, devemos ter estratégias para minimizar o dano.

Vetor de inicialização

Um ponto muito sensível a ataques é o processo de boot, pois o sistema ainda não está completamente carregado.

Com isso suas ferramentas de segurança ainda estão inativas e uma parte do sistema já está em execução.

Invasores tentam explorar este momento para instalar software malicioso, como vírus, programas de cavalo de Troia e firmware para permitir que o código personalizado seja executado ou até mesmo danificar o dispositivo.

Um MacBook com processador Intel mais recente possui um chip T2 Security, destinado a bloquear esse tipo de ataque.

Para MacBooks com chip Apple Silicon, a partir da versão M2 possuem Secure Enclave que utiliza criptografia baseada em hardware para evitar ataques de boot.

O risco do startup

Mesmo utilizando recursos de um chip T2 ou Secure Enclave, após a etapa inicial de boot, se o firmware sinalizar que tudo está bem o sistema irá acessar os dispositivos conectados.

Neste ponto um dispositivo USB ou similar comprometido poderá injetar código malicioso.

Como proteger seu MacBook

De qualquer forma existem diversas maneiras de utilizar as próprias ferramentas da Apple para garantir a segurança do seu MacBook:

  • Usar o Startups Security Utility
  • Usar Secure Boot e External Boot
  • Não permitir inicialização de dispositivos externos
  • Proteger seu Mac com senha na inicialização
  • Restringir usuários e senhas de login
  • Proteger um ou mais dispositivos de armazenamento com senha
  • Inicializar no Modo de Segurança
  • Usar o Modo de Bloqueio
  • Bloquear remotamente um Mac usando o MDM
Startups Security Utility

Em MacBooks com chip T2, ou mesmo sem o chip, mas que apresentem suporte é possível adicionar uma senha ao firmware.

Esse senha interrompe o processo de inicialização até que a mesma seja informada.

Nessa mesma ferramenta é possível ainda a desabilitar o recurso de external boot, impedindo que um dispositivo externo e pouco confiável seja utilizado no processo de boot.

Para acessar o Startup Security Utility em um MacBook Intel faça o seguinte:

  • Ligue seu Mac e mantenha pressionado Command ()-R
  • Na Recuperação do macOS, insira sua senha de administrador
  • Selecione Utilitários > Utilitário de Segurança de Inicialização
  • Agora basta configurar qualquer uma das opções de segurança que desejar:
    • Definir uma senha de firmware
    • Definir o nível de segurança a ser usado na inicialização (Inicialização Segura)
    • Definir se deseja ou não permitir a inicialização de mídia externa (Inicialização Externa)

Caso a opção Segurança Completa no Utilitário de Segurança de Inicialização seja selecionada, o firmware do Mac irá verificar remotamente a versão instalada do macOS entrando em contato com os servidores da Apple.

Para isso é obrigatório que exista uma conexão a internet no momento do boot.

MacBook com Apple Silicon

Em um MacBook com processadores da linha M da própria Apple o processo é diferente dos processadores Intel.

Ao inicializar, pressione e segure o botão liga/desliga do MacBook até que a mensagem Carregando opções de inicialização apareça.

Agora, no aplicativo Recovery, escolha Utilitários > Utilitário de Segurança de Inicialização selecione o sistema.

Neste momento somente poderá ser selecionada duas opções de segurança: Segurança Total ou Segurança Reduzida.

A Segurança Total também exige que uma conexão com a internet esteja disponível, enquanto que a Segurança Reduzida irá inicializar somente uma versão confiável e assinada do macOS.

Login passwords

Por padrão um nome de usuário e senha é requisitado para acessar o sistema, mas isso pode ser alterado.

Neste caso o recomendado é que este procedimento seja mantido, se o seu MacBook não exige senha será necessário alterar essa política.

Nesta área também é possível configurar usuários e acessos via AD, se este for a sua necessidade.

Volumes com senha

Exigir senha para que um volume seja montado irá dificultar muito o acesso a arquivos deste volume por terceiros ou invasores.

Antes de executar essa tarefa é necessário apagar e criptografar todo o volume, portante é necessário evitar a perda de dados.

No Utilitário de Disco, selecione o volume que será criptografado, clique em Apagar na barra de ferramentas, insira um nome para o volume, selecione Mapa de Partição GUID e escolha um formato de sistema de arquivo criptografado.

Insira e verifique a senha do volume criptografado e clique em Escolher, clique em Apagar e em Concluído.

Inicializar o modo de segurança

É possível que extensões de Kernel legadas (KEXTs), que são componentes de software que podem estender a funcionalidade do Kernel do macOS com código personalizado sejam executadas.

No macOS 11 e posteriores, a Apple descontinuou as KEXTs em favor das Extensões do Sistema.

Usando o Modo de Segurança, é possível inicializar no macOS, mas excluir o AuxKC e impedir que as KEXTs sejam carregadas.

Inicialize no Modo de Recuperação e ao selecionar o volume de armazenamento que deseja usar, mantenha pressionada a tecla Shift e continue com as etapas listadas acima.

Modo de bloqueio

De acordo com a Apple, o Modo de bloqueio “ajuda a proteger dispositivos contra ataques cibernéticos extremamente raros e altamente sofisticados”.

Este modo limita acessos e algumas tecnologias de comunicação de redes que poderiam ser exploradas nesses determinados tipos de ataques.

Esse Modo de bloqueio está disponível apenas no macOS Ventura.

Para ativar o Modo de bloqueio no macOS em Configurações do sistema > Privacidade e segurança > Modo de bloqueio.

Mobile Device Management (MDM)

Essa tecnologia da Apple permite que administradores de sistemas Macintosh bloqueiem remotamente um Mac usando servidores MDM.

Uma vez registrado no MDM, o bloqueio remoto é controlado pelo servidor e pelo administrador do servidor.

Essa tecnologia tem serventia para que administradores de rede facilitem seu trabalho de controle sobre redes operando o ecossistema da Apple.

Tradicionalmente será executado por administradores para desabilitar remotamente dispositivos Apple que possivelmente se tornaram ameaças às redes de uma organização.

matrix