- Remarque: dmgloading, sécurisé SecureOpenCore 0.6.1Ouvrir dans une nouvelle fenêtreOu plus récent
- Remarque 2: MacOS Big Sur nécessite OpenCore 0.6.3+ pour la prise en charge de démarrage Apple Secure Apple appropriée
#Qu'est-ce que Apple Secure Boot
- Informations basées surfil de Vit9696Ouvrir dans une nouvelle fenêtre,Docs T2 d'AppleOuvrir dans une nouvelle fenêtreetPage de démarrage sécurisée d'OSYOuvrir dans une nouvelle fenêtre
Pour mieux comprendre Apple Secure Boot, jetons un coup d'œil sur le fonctionnement du processus de démarrage dans Macs vs OpenCore en ce qui concerne la sécurité:
Comme nous pouvons le voir, il y a plusieurs couches de confiance incorporées dans Apple Secure Boot:
OpenCore vérifiera le manifeste boot.efi (par exemple boot.efi.j137ap.im4m) pour s'assurer que boot.efi a été signé par Apple et peut être utilisé par ce modèle de démarrage sécurisé.
- Pour un apécide non nul, OpenCore vérifiera en outre la valeur ECID, écrite dans le manifeste boot.efi (par exemple boot.efi.j137ap.xxxxxxx.im4m), pour garantir qu'un disque dur compromis à partir d'une autre machine avec le même démarrage sécurisé sécurisé sécurisé sécurisé)Le modèle ne peut pas être utilisé dans votre ordinateur.
boot.efi vérifiera le kernelcache pour s'assurer qu'il n'a pas été falsifié
Apfs.Kext et AppleImage4 assurez-vous que l'instantané de votre volume de système n'a pas été falsifié (uniquement applicable avec Big Sur +)
Toutes ces vérifications ne sont pas nécessaires pour démarrer, mais elles sont toutes possibles pour ceux qui veulent une sécurité maximale.Actuellement, les informations concernant le démarrage sécurisé basé sur le micrologiciel ne sont pas couvertes, mais toutes les options de démarrage sécurisées Apple sont détaillées ci-dessous.
#Dmgloading
Un paramètre assez simple, mais important en ce qui concerne le démarrage d'Apple sécurisé.Ce paramètre vous permet de définir la stratégie de chargement avec DMGS dans OpenCore.Par défaut, nous vous recommandons d'utiliserSigné
Cependant pour la meilleure sécuritéDésactivé
peut être préféré.
Options possibles pourDivers -> Sécurité -> DMGLOADING
:
Valeur | Commentaire |
---|---|
N'importe lequel | Permet à tous les DMG de se charger dans OpenCore, mais cette option entraînera une panne de démarrage si Apple Secure Boot est activé |
Signé | Permet uniquement des DMG signés par Apple comme les installateurs de macOS à charger |
Désactivé | Désactive toute la charge de DMG externe, mais la récupération interne est toujours autorisée avec cette option |
#Secure Bootmodel
SecureBootModel est utilisé SET LE MODÈLE DE BOASTE SÉCURÉ APPLE Secure Boot et la stratégie, nous permettant d'activer le démarrage sécurisé d'Apple avec des SMBIOS même si les SMBIO d'origine ne l'ont pas pris en charge (c'est-à-dire pas de T2 présent sur les SMBIO avant 2017).L'activation de SecureBootModel est l'équivalent de"Sécurité moyenne"Ouvrir dans une nouvelle fenêtre, pour une sécurité complète, veuillez voirApécide
Actuellement les options suivantes pourMisc -> Sécurité -> SecureBootModel
sont pris en charge:
Valeur | SMBIOS | Version de macOS minimum |
---|---|---|
Désactivé | Aucun modèle, le démarrage sécurisé sera désactivé. | N / A |
Défaut | Actuellement réglé sur la légèreté x86 | 11.0.1 (20 QA) |
C 137 | IMACPRO1,1 (décembre 2017) | 10.13.2 (17C2111) |
J680 | MacBookPro15,1 (juillet 2018) | 10.13.6 (17G2112) |
C 132 | MacBookPro15,2 (juillet 2018) | 10.13.6 (17G2112) |
J174 | Macmini8,1 (octobre 2018) | 10.14 (18a 063) |
j140k | MacBookair8,1 (octobre 2018) | 10.14.1 (18b2084) |
j780 | MacBookPro15,3 (mai 2019) | 10.14.5 (18F132) |
J213 | MacBookPro15,4 (juillet 2019) | 10.14.5 (18F2058) |
J140A | MacBookair8,2 (juillet 2019) | 10.14.5 (18F2058) |
C 152 F | MacBookPro16,1 (novembre 2019) | 10.15.1 (19e 093) |
J160 | MacPro7,1 (décembre 2019) | 10.15.1 (19 po) |
J230K | MacBookair9,1 (mars 2020) | 10.15.3 (19D2064) |
J214K | MacBookPro16,2 (mai 2020) | 10.15.4 (19 Élades) |
affamé | MacBookPro16,3 (mai 2020) | 10.15.4 (19 coloration) |
j215 | MacBookPro16,4 (juin 2020) | 10.15.5 (19F96) |
C 185 | IMAC20,1 (août 2020) | 10.15.6 (19G2005) |
J. 185 F | IMAC20,2 (août 2020) | 10.15.6 (19G2005) |
x86 | Mac non-T2 dans 11.0 (recommandé pour les machines virtuelles) | 11.0.1 (20 QA) |
#Notes spéciales avec SecureBootModel
- Le
Défaut
La valeur n'est pas recommandée comme si vous prévoyez de l'utiliser avec APECID pour une sécurité complète, nous vous recommandons de définir une valeur appropriée (c'est-à-dire la plus proche de votre SMBIOS ou des versions de macOS que vous prévoyez de démarrer) car leDéfaut
La valeur est susceptible d'être mise à jour à l'avenir.- En outre,
Défaut
est réglé surx86
ce qui va baisser la haute Sierra à travers Catalina. x86
n'est pas requis pour les modèles MAC normaux sans T2, toutes les valeurs ci-dessus sont prises en charge.
- En outre,
- La liste des pilotes en cache peut être différente, ce qui a donné la nécessité de modifier la liste des pilotes de noyau ajoutés ou forcés.
- c'est à dire.IO80211Family ne peut pas être injecté dans ce cas, car il est déjà présent dans le Kernelcache
- Unsigned et plusieurs conducteurs de noyau signé ne peuvent pas être utilisés
- Cela inclut les pilotes Web de Nvidia en 10.13
- Les modifications du volume du système dans les systèmes d'exploitation avec scellement, comme MacOS 11, peuvent entraîner un bootable le système d'exploitation.
- Si vous prévoyez de désactiver les instantanés APFS de MacOS, n'oubliez pas de désactiver SecureBootModel également
- Certaines erreurs de démarrage sont plus susceptibles d'être déclenchées avec un démarrage sécurisé activé qui n'étaient pas requis auparavant
- Générément vu avec certains systèmes APTIO IV où ils peuvent ne pas nécessiter d'ignoterinvalidflexratio et de hashservices initialement, mais le démarrage sécurisé.
- Sur les processeurs plus anciens (c'est-à-dire avant le pont de sable), l'activation du coffre sécurisé peut provoquer une charge légèrement plus lente jusqu'à 1 seconde
- Les systèmes d'exploitation publiés avant le démarrage d'Apple Secure Boot (c.-à-d. MacOS 10.12 ou plus tôt) démarreront toujours jusqu'à ce que la démarrage sécurisé UEFI soit activée.C'est tellement,
- Cela est dû à l'Apple Secure Boot en supposant qu'ils sont incompatibles et seront gérés par le firmware, tout comme Microsoft Windows
- Les machines virtuelles voudront utiliser
x86
pour une prise en charge de démarrage sécurisée- Remarque L'utilisation de tout autre modèle nécessitera
Forcesecurebootscheme
activé
- Remarque L'utilisation de tout autre modèle nécessitera
Dépannage
En raison d'un bogue ennuyeux du côté d'Apple, certains systèmes peuvent manquer les fichiers de démarrage sécurisés eux-mêmes sur le lecteur.Pour cette raison, vous pouvez obtenir des problèmes tels que:
OCB: FOLDIMAGAGE Échec - Violation de la sécurité
Pour résoudre, exécutez ce qui suit en macOS:
# Tout d'abord, trouvez votre volume de pré-bacliste de diskutil# D'après la liste ci-dessous, nous pouvons voir que notre volume de pré-bot est DISK5S2/ dev / disque5(synthétisé):#: Type Nom Taille Identificateur 0: Schéma de conteneur APFS - +255.7 Go Disk5 Store physique Disk4S21: Volume APFS Big sur HD - Données122.5GB DISK5S12: Prebot de volume APFS309.4MB DISK5S23: Récupération du volume APFS887.8MB DISK5S34: VM Volume Apfs1.1MB DISK5S45: Volume Apfs Big sur HD16.2GB DISK5S56: Apfs snapshot com.apple.os.update-...16.2GB DISK5S5S# Maintenant montez le volume pré-botdiscussionmonterDisque spécialisé# CD dans votre volume pré-bot# Remarque Le volume réel est sous / système / volumes / pré-bot dans macOS# Cependant, en récupération, c'est simplement sous / volumes / pré-bootCD/ Système / Volumes / Preboot# Prenez votre uuidLS46923F6E-968E-46E9 -AC6D-9E6141DF52FD CD844C38-1A25-48D5-9388-5D62AA46CFB8# Si plusieurs apparaissent (c'est-à-dire que vous démarrez deux versions multiples de macOS), vous le ferez# Besoin de déterminer quel UUID est correct.# Le moyen le plus simple de déterminer est l'impression de la valeur de .disk_label.contentdetails# de chaque volume.chat./46923F6E-968E-46E9-AC6D-9E6141DF52FD/System/Library/Coreservices/.Disk_label.Contentdetails Big Sur HD%chat./CD844C38-1A25-48D5-9388-5D62AA46CFB8/SYSTEM/LIBRARY/CORESERVICES/.DISK_LABEL.ContentDetails Catalina HD%# Next permet de copier sur les fichiers de démarrage sécurisés, la récupération aura besoin de commandes différentes# Exemples de commandes pour Inside macOS# Remplacez CD844C38-1A25-48D5-9388-5D62AA46CFB8 avec votre valeur UUIDCD~Sudo CP -un/ usr / autonome / i386 /./ Système / Volumes / Preboot / CD844C38-1A25-48D5-9388-5D62AA46CFB8 / Système / Library / Corerservices# Exemples de commandes de récupération# Remplacez Macintosh \ HD et CD844C38-1A25-48D5-9388-5D62AA46CFB8 avec# Le nom de votre volume de système et UUID de pré-botCP -un/ Volumes / Macintosh\HD / USR / Standalone / i386 /./ Volumes / Prebot / CD844C38-1A25-48D5-9388-5D62AA46CFB8 / Système / Library / Corerservices
Vous pouvez maintenant activer SecureBootModel et redémarrer sans problème!Et comme nous ne modifions pas le volume du système lui-même, nous n'avons pas à nous soucier de la désactivation des instantanés SIP ou de la rupture des macOS.
#Apécide
APECID est utilisé comme identifiant Apple Enclave, ce que cela signifie, c'est qu'il nous permet d'utiliser des identificateurs de démarrage Apple Secure personnalisés et d'atteindre"Sécurité complète"Ouvrir dans une nouvelle fenêtreSelon la page de démarrage sécurisée d'Apple (lorsqu'elle est associée à SecuRebootModel).
Pour générer votre propre valeur APECID, vous voudrez une forme de générateur de nombres aléatoires cryptographiquement sécurisé qui sortira un entier 64 bits.Ci-dessous, nous fournissons un exemple qui peut être exécuté siPython 3Ouvrir dans une nouvelle fenêtreest installé sur votre machine:
python3-c«Importer des secrets;Imprimer (secrets.randbits (64)) '
Avec cet INT 64 bits unique, vous pouvez désormais l'entrer sous Misc -> Apecid dans votre configuration.plist
Cependant, avant de définir Apecid, il y a quelques choses que nous devons noter:
- Les installations fraîches avec un alecide réglé sur une valeur non nulle nécessiteront une connexion réseau au moment de l'installation pour la vérification
- SecureBootModel devrait avoir une valeur définie au lieu de
Défaut
Pour éviter les problèmes si la valeur devait changer dans les versions OpenCore ultérieures. - Les installations préexistantes devront personnaliser le volume, car vous devrez d'abord redémarrer dans la récupération et exécuter la commande suivante (remplacer
Macintosh HD
avec le nom de volume de votre système):
# Exécutez cette commande après la définition de votre valeur apécide# Vous aurez également besoin d'une connexion réseau active en récupération pour exécuter cette commandebénir--dossier "/ Volumes / Macintosh HD / System / Library / Corerservices" --boofi --personnaliser
Et quelque chose à noter lors de la réinstallation de MacOS 10.15 ou plus est que vous pouvez recevoir le message d'erreur "incapable de vérifier MacOS".Pour contourner ce problème, vous voudrez allouer un disque RAM dédié de 2 MBS pour la personnalisation de MacOS en entrant les commandes suivantes dans le terminal de récupération macOS avant de démarrer l'installation:
disque=$ (Hdiutil attaché-nomourRam: // 4096)diskutil EraseVolume HFS + Secureboot$ disquediskutil Unmount$ disquemkdir/ Var / tmp / oespersonaliattemphispulsmonter -Mountpoint/ var / tmp / oespersonalizationTemp$ disque