关于搭载 Apple T2 安全芯片的 Mac 上的“启动安全性实用工具”

使用“启动安全性实用工具”可确保 Mac 始终从你指定的启动磁盘以及合法的受信任操作系统启动。

如果你使用的是搭载 Apple T2 安全芯片的 Mac,则可以通过“启动安全性实用工具”提供的以下三项功能来帮助保护 Mac 免受未经授权的访问:固件密码保护、安全启动,以及设置允许的启动介质的功能。

如果你使用的是搭载 Apple 芯片的 Mac,请了解如何在搭载 Apple 芯片的 Mac 上更改安全性设置

打开“启动安全性实用工具”

  1. 将你的 Mac 开机,然后在看到 Apple 标志后立即按住 Command (⌘)-R 键。Mac 会从“macOS 恢复”启动。
  2. 当系统要求你选择一个你知道相应密码的用户时,请选择这样的用户,点按“下一步”,然后输入用户的管理员密码。
  3. 当你看到“macOS 实用工具”窗口时,从菜单栏中选取“实用工具”>“启动安全性实用工具”。
  4. 当系统要求你进行认证时,点按“输入 macOS 密码”,然后选取管理员帐户并输入相应密码。
“启动安全性实用工具”窗口

设置固件密码

你可以使用固件密码来阻止不知道密码的人从你指定的启动磁盘以外的其他磁盘启动。要在“启动安全性实用工具”中设置固件密码,请点按“开启固件密码”,然后按照屏幕上的说明操作。

你也可以不允许从外部介质或可移动介质启动,以防止知道固件密码的人从这类介质启动。

更改“安全启动”设置

使用以下设置可确保 Mac 始终从合法的受信任操作系统启动。

完整安全性

“完整安全性”是默认设置,提供了最高级别的安全性。以前只有 iOS 设备才提供这个级别的安全性。

在启动期间,Mac 会验证启动磁盘上操作系统 (OS) 的完整性,以确保操作系统是合法的。如果 OS 未知或者无法确认 OS 是合法的,则 Mac 会连接到 Apple,以便下载所需的更新版完整性信息来验证 OS。这些是你 Mac 特有的信息,可以确保你的 Mac 从 Apple 信任的 OS 启动。

如果在 Mac 尝试下载更新版完整性信息时,“文件保险箱”处于启用状态,则系统会要求你输入密码以解锁磁盘。请输入你的管理员密码,然后点按“解锁”以完成下载。

如果 OS 没有通过验证:

  • macOS:系统会显示一条提醒信息,告知你需要更新软件才能使用这个启动磁盘。请点按“更新”以打开 macOS 安装器,然后可以使用安装器在启动磁盘上重新安装 macOS。或者点按“启动磁盘”,然后选取其他启动磁盘,Mac 也会尝试验证这个启动磁盘。
  • Windows:系统会显示一条提醒信息,告知你需要使用“启动转换助理”安装 Windows。

如果你的 Mac 无法连接到互联网,则系统会显示一条提醒信息,提示需要连接到互联网。

  • 检查你的互联网连接,例如从菜单栏的 Wi-Fi 状态菜单No alt supplied for Image中选取一个有效的网络。然后,点按“再试一次”。
  • 或者点按“启动磁盘”,然后选取其他启动磁盘。
  • 或者使用“启动安全性实用工具”降低安全级别。

中等安全性

启动过程中,如果“中等安全性”已打开,则 Mac 在对 OS 进行验证时只会确保启动磁盘上的 OS 已经由 Apple (macOS) 或 Microsoft (Windows) 正确签名。这种情况下不需要互联网连接,也不需要来自 Apple 的更新版完整性信息,因此无法防止 Mac 使用 Apple 不再信任的 OS。

如果 OS 没有通过验证:

  • macOS:系统会显示一条提醒信息,告知你需要更新软件才能使用这个启动磁盘。请点按“更新”以打开 macOS 安装器,然后可以使用安装器在启动磁盘上重新安装 macOS。这需要互联网连接。或者点按“启动磁盘”,然后选取其他启动磁盘,Mac 也会尝试验证这个启动磁盘。
  • Windows:系统会显示一条提醒信息,告知你需要使用“启动转换助理”安装 Windows。

无安全性

如果选择“无安全性”,则 Mac 不会对启动磁盘强制实施上述任何安全要求。

设置允许的启动介质

使用这项功能可控制你的 Mac 是否可以从外部介质或可移动介质启动。默认设置为不允许,这也是最安全的设置。如果你尝试从此类介质启动,但收到安全设置不允许的警告,则可以在“启动安全性实用工具”中更改设置。

无论你是否允许从外部介质或可移动介质启动,你的 Mac 都不支持从网络宗卷启动。

THE END