Boot sécurisé Apple |Guide du guide d'installation d'Opencore (2024)

#Qu'est-ce que Apple Secure Boot

Pour mieux comprendre Apple Secure Boot, jetons un coup d'œil sur le fonctionnement du processus de démarrage dans Macs vs OpenCore en ce qui concerne la sécurité:

Apple Secure Boot | Guida Installazione Opencore (1)

Comme nous pouvons le voir, il y a plusieurs couches de confiance incorporées dans Apple Secure Boot:

  • OpenCore vérifiera le manifeste boot.efi (par exemple boot.efi.j137ap.im4m) pour s'assurer que boot.efi a été signé par Apple et peut être utilisé par ce modèle de démarrage sécurisé.

    • Pour un apécide non nul, OpenCore vérifiera en outre la valeur ECID, écrite dans le manifeste boot.efi (par exemple boot.efi.j137ap.xxxxxxx.im4m), pour garantir qu'un disque dur compromis à partir d'une autre machine avec le même démarrage sécurisé sécurisé sécurisé sécurisé)Le modèle ne peut pas être utilisé dans votre ordinateur.

  • boot.efi vérifiera le kernelcache pour s'assurer qu'il n'a pas été falsifié

  • Apfs.Kext et AppleImage4 assurez-vous que l'instantané de votre volume de système n'a pas été falsifié (uniquement applicable avec Big Sur +)

Toutes ces vérifications ne sont pas nécessaires pour démarrer, mais elles sont toutes possibles pour ceux qui veulent une sécurité maximale.Actuellement, les informations concernant le démarrage sécurisé basé sur le micrologiciel ne sont pas couvertes, mais toutes les options de démarrage sécurisées Apple sont détaillées ci-dessous.

#Dmgloading

Un paramètre assez simple, mais important en ce qui concerne le démarrage d'Apple sécurisé.Ce paramètre vous permet de définir la stratégie de chargement avec DMGS dans OpenCore.Par défaut, nous vous recommandons d'utiliserSignéCependant pour la meilleure sécuritéDésactivépeut être préféré.

Options possibles pourDivers -> Sécurité -> DMGLOADING:

ValeurCommentaire
N'importe lequelPermet à tous les DMG de se charger dans OpenCore, mais cette option entraînera une panne de démarrage si Apple Secure Boot est activé
SignéPermet uniquement des DMG signés par Apple comme les installateurs de macOS à charger
DésactivéDésactive toute la charge de DMG externe, mais la récupération interne est toujours autorisée avec cette option

#Secure Bootmodel

SecureBootModel est utilisé SET LE MODÈLE DE BOASTE SÉCURÉ APPLE Secure Boot et la stratégie, nous permettant d'activer le démarrage sécurisé d'Apple avec des SMBIOS même si les SMBIO d'origine ne l'ont pas pris en charge (c'est-à-dire pas de T2 présent sur les SMBIO avant 2017).L'activation de SecureBootModel est l'équivalent de"Sécurité moyenne"Ouvrir dans une nouvelle fenêtre, pour une sécurité complète, veuillez voirApécide

Actuellement les options suivantes pourMisc -> Sécurité -> SecureBootModelsont pris en charge:

ValeurSMBIOSVersion de macOS minimum
DésactivéAucun modèle, le démarrage sécurisé sera désactivé.N / A
DéfautActuellement réglé sur la légèreté x8611.0.1 (20 QA)
C 137IMACPRO1,1 (décembre 2017)10.13.2 (17C2111)
J680MacBookPro15,1 (juillet 2018)10.13.6 (17G2112)
C 132MacBookPro15,2 (juillet 2018)10.13.6 (17G2112)
J174Macmini8,1 (octobre 2018)10.14 (18a 063)
j140kMacBookair8,1 (octobre 2018)10.14.1 (18b2084)
j780MacBookPro15,3 (mai 2019)10.14.5 (18F132)
J213MacBookPro15,4 (juillet 2019)10.14.5 (18F2058)
J140AMacBookair8,2 (juillet 2019)10.14.5 (18F2058)
C 152 FMacBookPro16,1 (novembre 2019)10.15.1 (19e 093)
J160MacPro7,1 (décembre 2019)10.15.1 (19 po)
J230KMacBookair9,1 (mars 2020)10.15.3 (19D2064)
J214KMacBookPro16,2 (mai 2020)10.15.4 (19 Élades)
affaméMacBookPro16,3 (mai 2020)10.15.4 (19 coloration)
j215MacBookPro16,4 (juin 2020)10.15.5 (19F96)
C 185IMAC20,1 (août 2020)10.15.6 (19G2005)
J. 185 FIMAC20,2 (août 2020)10.15.6 (19G2005)
x86Mac non-T2 dans 11.0 (recommandé pour les machines virtuelles)11.0.1 (20 QA)

#Notes spéciales avec SecureBootModel

  • LeDéfautLa valeur n'est pas recommandée comme si vous prévoyez de l'utiliser avec APECID pour une sécurité complète, nous vous recommandons de définir une valeur appropriée (c'est-à-dire la plus proche de votre SMBIOS ou des versions de macOS que vous prévoyez de démarrer) car leDéfautLa valeur est susceptible d'être mise à jour à l'avenir.
    • En outre,Défautest réglé surx86ce qui va baisser la haute Sierra à travers Catalina.
    • x86n'est pas requis pour les modèles MAC normaux sans T2, toutes les valeurs ci-dessus sont prises en charge.
  • La liste des pilotes en cache peut être différente, ce qui a donné la nécessité de modifier la liste des pilotes de noyau ajoutés ou forcés.
    • c'est à dire.IO80211Family ne peut pas être injecté dans ce cas, car il est déjà présent dans le Kernelcache
  • Unsigned et plusieurs conducteurs de noyau signé ne peuvent pas être utilisés
    • Cela inclut les pilotes Web de Nvidia en 10.13
  • Les modifications du volume du système dans les systèmes d'exploitation avec scellement, comme MacOS 11, peuvent entraîner un bootable le système d'exploitation.
    • Si vous prévoyez de désactiver les instantanés APFS de MacOS, n'oubliez pas de désactiver SecureBootModel également
  • Certaines erreurs de démarrage sont plus susceptibles d'être déclenchées avec un démarrage sécurisé activé qui n'étaient pas requis auparavant
    • Générément vu avec certains systèmes APTIO IV où ils peuvent ne pas nécessiter d'ignoterinvalidflexratio et de hashservices initialement, mais le démarrage sécurisé.
  • Sur les processeurs plus anciens (c'est-à-dire avant le pont de sable), l'activation du coffre sécurisé peut provoquer une charge légèrement plus lente jusqu'à 1 seconde
  • Les systèmes d'exploitation publiés avant le démarrage d'Apple Secure Boot (c.-à-d. MacOS 10.12 ou plus tôt) démarreront toujours jusqu'à ce que la démarrage sécurisé UEFI soit activée.C'est tellement,
    • Cela est dû à l'Apple Secure Boot en supposant qu'ils sont incompatibles et seront gérés par le firmware, tout comme Microsoft Windows
  • Les machines virtuelles voudront utiliserx86pour une prise en charge de démarrage sécurisée
    • Remarque L'utilisation de tout autre modèle nécessiteraForcesecurebootschemeactivé
Dépannage

En raison d'un bogue ennuyeux du côté d'Apple, certains systèmes peuvent manquer les fichiers de démarrage sécurisés eux-mêmes sur le lecteur.Pour cette raison, vous pouvez obtenir des problèmes tels que:

OCB: FOLDIMAGAGE Échec - Violation de la sécurité

Pour résoudre, exécutez ce qui suit en macOS:

# Tout d'abord, trouvez votre volume de pré-bacliste de diskutil# D'après la liste ci-dessous, nous pouvons voir que notre volume de pré-bot est DISK5S2/ dev / disque5(synthétisé):#: Type Nom Taille Identificateur 0: Schéma de conteneur APFS - +255.7 Go Disk5 Store physique Disk4S21: Volume APFS Big sur HD - Données122.5GB DISK5S12: Prebot de volume APFS309.4MB DISK5S23: Récupération du volume APFS887.8MB DISK5S34: VM Volume Apfs1.1MB DISK5S45: Volume Apfs Big sur HD16.2GB DISK5S56: Apfs snapshot com.apple.os.update-...16.2GB DISK5S5S# Maintenant montez le volume pré-botdiscussionmonterDisque spécialisé# CD dans votre volume pré-bot# Remarque Le volume réel est sous / système / volumes / pré-bot dans macOS# Cependant, en récupération, c'est simplement sous / volumes / pré-bootCD/ Système / Volumes / Preboot# Prenez votre uuidLS46923F6E-968E-46E9 -AC6D-9E6141DF52FD CD844C38-1A25-48D5-9388-5D62AA46CFB8# Si plusieurs apparaissent (c'est-à-dire que vous démarrez deux versions multiples de macOS), vous le ferez# Besoin de déterminer quel UUID est correct.# Le moyen le plus simple de déterminer est l'impression de la valeur de .disk_label.contentdetails# de chaque volume.chat./46923F6E-968E-46E9-AC6D-9E6141DF52FD/System/Library/Coreservices/.Disk_label.Contentdetails Big Sur HD%chat./CD844C38-1A25-48D5-9388-5D62AA46CFB8/SYSTEM/LIBRARY/CORESERVICES/.DISK_LABEL.ContentDetails Catalina HD%# Next permet de copier sur les fichiers de démarrage sécurisés, la récupération aura besoin de commandes différentes# Exemples de commandes pour Inside macOS# Remplacez CD844C38-1A25-48D5-9388-5D62AA46CFB8 avec votre valeur UUIDCD~Sudo CP -un/ usr / autonome / i386 /./ Système / Volumes / Preboot / CD844C38-1A25-48D5-9388-5D62AA46CFB8 / Système / Library / Corerservices# Exemples de commandes de récupération# Remplacez Macintosh \ HD et CD844C38-1A25-48D5-9388-5D62AA46CFB8 avec# Le nom de votre volume de système et UUID de pré-botCP -un/ Volumes / Macintosh\HD / USR / Standalone / i386 /./ Volumes / Prebot / CD844C38-1A25-48D5-9388-5D62AA46CFB8 / Système / Library / Corerservices

Vous pouvez maintenant activer SecureBootModel et redémarrer sans problème!Et comme nous ne modifions pas le volume du système lui-même, nous n'avons pas à nous soucier de la désactivation des instantanés SIP ou de la rupture des macOS.

#Apécide

APECID est utilisé comme identifiant Apple Enclave, ce que cela signifie, c'est qu'il nous permet d'utiliser des identificateurs de démarrage Apple Secure personnalisés et d'atteindre"Sécurité complète"Ouvrir dans une nouvelle fenêtreSelon la page de démarrage sécurisée d'Apple (lorsqu'elle est associée à SecuRebootModel).

Pour générer votre propre valeur APECID, vous voudrez une forme de générateur de nombres aléatoires cryptographiquement sécurisé qui sortira un entier 64 bits.Ci-dessous, nous fournissons un exemple qui peut être exécuté siPython 3Ouvrir dans une nouvelle fenêtreest installé sur votre machine:

python3-c«Importer des secrets;Imprimer (secrets.randbits (64)) '

Avec cet INT 64 bits unique, vous pouvez désormais l'entrer sous Misc -> Apecid dans votre configuration.plist

Cependant, avant de définir Apecid, il y a quelques choses que nous devons noter:

  • Les installations fraîches avec un alecide réglé sur une valeur non nulle nécessiteront une connexion réseau au moment de l'installation pour la vérification
  • SecureBootModel devrait avoir une valeur définie au lieu deDéfautPour éviter les problèmes si la valeur devait changer dans les versions OpenCore ultérieures.
  • Les installations préexistantes devront personnaliser le volume, car vous devrez d'abord redémarrer dans la récupération et exécuter la commande suivante (remplacerMacintosh HDavec le nom de volume de votre système):
# Exécutez cette commande après la définition de votre valeur apécide# Vous aurez également besoin d'une connexion réseau active en récupération pour exécuter cette commandebénir--dossier "/ Volumes / Macintosh HD / System / Library / Corerservices" --boofi --personnaliser

Et quelque chose à noter lors de la réinstallation de MacOS 10.15 ou plus est que vous pouvez recevoir le message d'erreur "incapable de vérifier MacOS".Pour contourner ce problème, vous voudrez allouer un disque RAM dédié de 2 MBS pour la personnalisation de MacOS en entrant les commandes suivantes dans le terminal de récupération macOS avant de démarrer l'installation:

disque=$ (Hdiutil attaché-nomourRam: // 4096)diskutil EraseVolume HFS + Secureboot$ disquediskutil Unmount$ disquemkdir/ Var / tmp / oespersonaliattemphispulsmonter -Mountpoint/ var / tmp / oespersonalizationTemp$ disque
Boot sécurisé Apple |Guide du guide d'installation d'Opencore (2024)
Top Articles
17 Friendship Activities for Preschoolers
Activities to Celebrate 100 Days of School
Keri Hilson Net Worth
Keri Russell Net Worth
Latest Posts
Instagram Notes Explained: What the Heck Are They For?
Here’s What Your Favorite Valentine’s Day Colors ACTUALLY Mean
Article information

Author: Otha Schamberger

Last Updated:

Views: 5895

Rating: 4.4 / 5 (55 voted)

Reviews: 94% of readers found this page helpful

Author information

Name: Otha Schamberger

Birthday: 1999-08-15

Address: Suite 490 606 Hammes Ferry, Carterhaven, IL 62290

Phone: +8557035444877

Job: Forward IT Agent

Hobby: Fishing, Flying, Jewelry making, Digital arts, Sand art, Parkour, tabletop games

Introduction: My name is Otha Schamberger, I am a vast, good, healthy, cheerful, energetic, gorgeous, magnificent person who loves writing and wants to share my knowledge and understanding with you.