Apple iMac Pro dilengkapi dengan fitur baru, yang disebut Secure Boot, yang memanfaatkan chip Apple T2, prosesor ARM yang serupa dengan yang ada di iPad atau iPhone, memungkinkan firmware komputer untuk memvalidasi bootloader sebelum memuat..
Chip T2 memvalidasi seluruh proses boot ketika daya menyala sambil memastikan bahwa level terendah dari perangkat lunak tidak dirusak dan bahwa hanya bootloader awal dan perangkat lunak sistem operasi yang dipercaya oleh Apple yang dimuat saat startup.
Apa itu Boot Aman?
Secure Boot adalah fitur baru yang eksklusif untuk iMac Pro yang membantu memastikan komputer Anda selalu memulai dari disk startup yang ditunjuk dan selalu dari sistem operasi tepercaya.
Pengaturan Boot Aman tersedia dalam Startup Security Utility, yang hanya dapat diakses melalui Mode Pemulihan macOS.
Startup Security Utility menawarkan toggle berikut untuk membantu mengamankan iMac Pro Anda terhadap akses tidak sah (kami akan merinci ketiga pengaturan dalam artikel ini):
- Perlindungan kata sandi firmware-Cegah komputer memulai tanpa memberikan kata sandi firmware Anda.
- Boot Aman-Sesuaikan tingkat keamanan startup komputer Anda.
- Boot Eksternal-Larang boot dari media eksternal.
Ingatlah bahwa iMac Pro saat ini tidak mendukung boot dari volume jaringan meskipun NetBoot mungkin akan datang ke Secure Boot dalam pembaruan perangkat lunak di masa mendatang.
Pengaturan Boot Aman tidak memengaruhi Mode Disk Target. Mode ini, dipanggil dengan memegang "T" ketika memulai komputer Anda, mengubah iMac Pro Anda menjadi disk eksternal untuk Mac lain.
Dengan kata lain, Secure Boot tidak akan menghentikan aktor yang buruk dengan akses fisik ke komputer Anda untuk mem-boot komputer Anda dalam Mode Disk Target dan memasangnya di Mac mereka dengan akses penuh ke semua drive dan volume yang terpasang.
Mengaktifkan enkripsi disk FileVault, yang mengikat enkripsi SSD dengan kata sandi Anda, membantu mengurangi masalah ini karena mencegah data pada SSD Anda tidak dienkripsi tanpa perangkat keras yang tepat dan kata sandi Anda.
Fitur Boot Aman tidak tersedia pada model non-iMac Pro.
TUTORIAL: Semua cara Anda dapat memulai Mac Anda
Jika Anda tidak memiliki iMac Pro, membuat kata sandi firmware yang kuat akan membuat orang lain tidak dapat memulai komputer Anda dari disk selain dari disk startup yang ditunjuk tanpa kata sandi.
Bagaimana cara menyesuaikan tingkat keamanan startup iMac Pro
1) Mulai ulang atau nyalakan iMac Pro Anda, lalu tekan dan tahan Command (⌘) -R segera setelah Anda melihat logo Apple. Ini akan mem-boot mesin ke Mode Pemulihan macOS.
2) Klik Keperluan di bilah menu di jendela Utilities.
3) Klik Utilitas Keamanan Startup di jendela Utilities.
TIP: Jika Startup Security Utility tidak mau terbuka, Anda belum membuat akun pengguna di komputer atau Setup Assistant belum dijalankan.
4) Ketika diminta untuk mengautentikasi, klik Masukkan Kata Sandi macOS, lalu pilih akun administrator dan masukkan kata sandinya.
5) Utilitas Keamanan Startup akan menyajikan tiga pengaturan Boot Aman:
- Keamanan Penuh-Pengaturan default yang membawa tingkat keamanan tertinggi. Koneksi Internet yang aktif mungkin diperlukan pada waktu pemasangan perangkat lunak sehingga iMac Pro Anda dapat mengonfirmasi bahwa itu sedang mem-boot MacOS atau versi Windows yang belum dirusak dengan cara apa pun. Biarkan pengaturan ini diaktifkan untuk menjalankan versi macOS atau Windows yang saat ini diinstal pada iMac Pro Anda, atau sistem operasi yang ditandatangani secara kriptografi dipercaya oleh Apple.
- Keamanan Sedang-Pengaturan ini memverifikasi versi macOS atau Windows pada disk startup hanya untuk melihat apakah telah ditandatangani dengan benar oleh Apple atau Microsoft, tetapi tidak memerlukan koneksi Internet atau informasi integritas yang diperbarui dari Apple. Itu tidak mencegah mesin menjalankan sistem operasi yang tidak lagi dipercaya oleh Apple. Gunakan pengaturan ini untuk mem-boot ke versi macOS yang lebih lama terlepas dari tingkat kepercayaan Apple.
- Tidak ada keamanan-Ini adalah pengaturan keamanan terendah yang tidak memberlakukan persyaratan keamanan apa pun untuk sistem operasi yang dapat di-boot pada disk startup Anda. Gunakan untuk mem-boot ke Linux atau sistem operasi lain yang didukung pada perangkat keras Anda, tidak diperlukan penandatanganan atau verifikasi dengan Apple. Ini adalah cara semua Mac lain saat ini memulai.
Jika Anda menggunakan Boot Camp, Anda dapat mem-boot ke Windows 10 dengan tetap sepenuhnya aman karena chip T2 dan Secure Boot menghormati otoritas penandatanganan Microsoft untuk Windows 10 dimulai dengan Fall Creators Update 2017 tahun 2017.
6) Tutup jendela Startup Security Utility.
7) Klik Mengulang kembali di menu Apple untuk me-restart mesin dengan pengaturan keamanan Anda di tempat.
CATATAN: Jika Anda memilih keamanan Full atau Medium dan sistem operasi pada disk startup Anda gagal melewati verifikasi, inilah yang terjadi:
- macOS-Peringatan akan muncul memberitahukan Anda bahwa pembaruan perangkat lunak diperlukan untuk menggunakan disk startup. Klik Memperbarui untuk membuka penginstal macOS, yang dapat Anda gunakan untuk menginstal ulang macOS pada disk startup (ini memerlukan koneksi Internet). Jika Anda tidak ingin memutakhirkan salinan MacOS yang diinstal ke versi terbaru yang tersedia, pilih Disk Pengaktifan sebagai gantinya dan kemudian pilih disk startup yang berbeda yang akan diamankan oleh Boot Aman.
- Windows: Peringatan memberi tahu Anda bahwa Anda harus menginstal windows dengan Boot Camp Assistant.
CATATAN: mematikan keamanan penuh kemudian mengaktifkannya kembali akan meminta Anda untuk online.
Jika Anda bertanya-tanya tentang efek pengaturan ulang NVRAM pada pengaturan Boot Aman, tidak ada. Saat mengatur ulang NVRAM mengaktifkan Perlindungan Integritas Sistem (jika dinonaktifkan), pengaturan Boot Aman Anda tetap sama seperti sebelum reset.
Baca terus untuk penjelasan terperinci tentang pengaturan keamanan Penuh dan Menengah.
Tentang keamanan penuh
Tingkat keamanan yang sebelumnya hanya tersedia di perangkat iOS, pengaturan ini memastikan bahwa hanya sistem operasi yang mutakhir (macOS) atau sistem operasi yang ditandatangani secara kriptografi yang saat ini dipercaya oleh Apple (Microsoft Windows), yang dapat berjalan di komputer Anda. Tidak ada sistem operasi lain yang diizinkan berjalan di iMac Pro ini.
Jika Secure Boot menemukan sistem operasi yang tidak dikenal pada drive startup Anda atau tidak dapat memverifikasinya, komputer akan terhubung ke Internet dan mengunduh informasi integritas yang diperbarui dari Apple yang diperlukan untuk memverifikasi sistem operasi. "Informasi ini unik untuk iMac Pro Anda, dan memastikan iMac Pro Anda dimulai dari sistem operasi yang dipercaya oleh Apple," menurut perusahaan.
Jika Anda offline, Anda mungkin melihat peringatan yang mengatakan bahwa koneksi Internet diperlukan. Pilih jaringan Wi-Fi aktif dari bilah menu, lalu klik Coba lagi.
Jika iMac Pro menggunakan enkripsi disk FileVault, Anda mungkin diminta memasukkan kata sandi untuk membuka kunci disk sebelum komputer mencoba mengambil informasi integritas yang diperbarui dari Apple. Masukkan kata sandi administrator Anda, lalu klik Membuka kunci untuk menyelesaikan unduhan.
Tentang keamanan sedang
Ketika pengaturan Medium diaktifkan, iMac Pro Anda diizinkan untuk menjalankan versi sistem operasi apa pun yang dipercaya oleh Apple, bukan hanya versi saat ini. Berbeda dengan pengaturan Penuh, ini tidak memerlukan koneksi Internet atau informasi integritas yang diperbarui dari Apple.
Pengaturan ini paling baik digunakan ketika Anda perlu mem-boot ke versi macOS sebelumnya yang tidak lagi dipercaya oleh Apple, belum tentu versi macOS saat ini diinstal pada iMac Pro Anda.
Menyiapkan kata sandi firmware
Anda dapat menghentikan orang dengan akses fisik ke mesin Anda dari mencoba untuk mem-boot-nya dari disk selain dari disk startup yang ditunjuk dengan membuat kata sandi firmware di Startup Security Utility (jangan bingung dengan kata sandi akun pengguna macOS Anda).
1) Mulai ulang atau nyalakan iMac Pro Anda, lalu tekan dan tahan Command (⌘) -R segera setelah Anda melihat logo Apple untuk memulai komputer menggunakan Mode Pemulihan macOS.
2) Klik Keperluan di bilah menu di jendela Utilities.
3) Klik Utilitas Keamanan Startup di jendela Utilities.
4) Ketika Anda diminta untuk mengautentikasi, klik Masukkan Kata Sandi macOS, lalu pilih akun administrator dan masukkan kata sandinya.
5) Klik Nyalakan Kata Sandi Firmware di jendela Startup Security Utility.
6) Masukkan kata sandi firmware yang diinginkan di bidang yang disediakan, lalu klik Setel Kata Sandi.
CATATAN: Tulis kata sandi ini dan simpan di tempat yang aman. Jika Anda lupa kata sandi firmware, Anda harus menjadwalkan janji temu layanan dengan Apple atau Penyedia Layanan Resmi untuk membuka kunci mesin.
7) Tutup jendela Startup Security Utility, lalu pilih Mengulang kembali dari menu Apple untuk me-reboot iMac Pro Anda dengan pengaturan keamanan baru Anda.
Mac Anda harus mulai secara normal dari disk startup yang ditentukan.
Siapa pun yang mengetahui kata sandi firmware Anda akan dapat mem-boot iMac Pro Anda dari disk non-startup. Untuk memilih perangkat penyimpanan dari mana Anda ingin mem-boot iMac Pro Anda, tahan Opsi (⌥) setelah menyalakan komputer, kemudian sorot disk yang berisi sistem operasi yang dapat digunakan dan tekan Memasukkan.
Kolom kata sandi firmware muncul: ketikkan kata sandi firmware yang Anda buat dan tekan Memasukkan untuk membuka kunci komputer dan melanjutkan booting dari disk yang ditunjuk.
TIP: Untuk mematikan kata sandi firmware, ulangi langkah-langkah di atas, tetapi klik Matikan Kata Sandi Firmware pada langkah 4.
Menyiapkan kata sandi firmware memberi Anda lapisan keamanan lain dan sedikit pikiran mengetahui bahwa tidak seorang pun akan diizinkan untuk memulai iMac Pro Anda dari hard drive eksternal, CD / DVD, USB thumb drive atau perangkat penyimpanan lainnya..
Anda juga harus mengetikkan kata sandi firmware Anda sebelum memasuki Mode Pemulihan macOS. Ini memberikan perlindungan terhadap serangan lokal karena siapa pun yang memiliki akses fisik ke komputer Anda dapat mem-boot ke mode Pemulihan macOS.
Bahkan jika orang-orang di rumah Anda atau rekan kerja Anda mengetahui kata sandi firmware Anda, Anda masih dapat menghentikan mereka untuk mem-boot iMac Pro Anda dari media eksternal dengan menyesuaikan opsi yang dirinci lebih lanjut di bawah ini..
Mencegah booting dari media eksternal
Pengaturan Boot Eksternal memungkinkan Anda mengontrol apakah iMac Pro Anda diizinkan untuk boot dari media eksternal. Secara default, komputer diatur untuk menggunakan opsi paling aman yang melarang booting dari hard drive eksternal, USB thumb drive atau media eksternal lainnya.
Untuk menyesuaikan pengaturan ini sesuai dengan keinginan Anda, ikuti petunjuk langkah demi langkah di bawah ini:
1) Mulai ulang atau nyalakan iMac Pro Anda, lalu tekan dan tahan Command (⌘) -R segera setelah Anda melihat logo Apple untuk memulai komputer menggunakan Mode Pemulihan macOS.
2) Klik Keperluan di bilah menu di jendela Utilities.
3) Klik Utilitas Keamanan Startup di jendela Utilities.
4) Ketika Anda diminta untuk mengautentikasi, klik Masukkan Kata Sandi macOS, lalu pilih akun administrator dan masukkan kata sandinya.
5) Pilih tingkat keamanan startup yang Anda inginkan tepat di bawah Boot Eksternal menuju pada jendela Startup Security Utility:
- Larang boot dari media eksternal-iMac Pro Anda tidak dapat dibuat untuk boot dari media eksternal apa pun.
- Izinkan boot dari media eksternal-Komputer Anda dapat memulai dari media eksternal.
6) Keluar dari Utilitas Keamanan Startup, lalu pilih Mengulang kembali dari menu Apple untuk me-restart iMac Pro Anda dengan pengaturan keamanan baru Anda.
TIP: Jika Anda mengizinkan boot dari media eksternal dan ingin memilih disk startup sebelum memulai kembali, keluar dari Startup Security Utility dan pilih Disk Pengaktifan dari menu Apple.
Ketika pengaturan "Larang booting dari media eksternal" dipilih, pilih disk non-startup System Preferences → Startup Disk akan menghasilkan pesan peringatan yang mengatakan pengaturan keamanan Anda tidak memungkinkan ini terjadi.
TIP: Untuk memilih disk startup Anda saat boot, aktifkan Startup Manager dengan menahan Opsi (⌥) segera setelah menyalakan atau menyalakan kembali komputer Anda.
Melakukannya ketika pengaturan "Larang booting dari media eksternal" telah diaktifkan akan menyebabkan iMac Pro Anda memulai kembali ke pesan yang mengatakan pengaturan keamanan Anda mencegahnya boot dari media eksternal. Anda kemudian akan diberikan opsi untuk memulai kembali dari disk startup Anda saat ini atau memilih disk startup lainnya.
Keluar, matikan pengaturan "Larang booting dari media eksternal" dan setel kata sandi firmware yang kuat adalah cara terbaik untuk mencegah pengguna jahat memulai iMac Pro tanpa pengawasan Anda dari thumb drive USB mereka..
Chip iMac Pro dan Apple T2 Anda
Apple mulai membongkar fungsi sistem Mac tertentu ke coprocessor berbasis ARM khusus, yang disebut T1, yang memulai debutnya di MacBook Pro dengan Touch Bar.
Penggantinya, chip Apple T2 di iMac Pro Anda, tidak hanya mendukung fitur Boot Aman baru untuk memastikan mesin menjalankan sistem operasi yang sah, tetapi juga mengintegrasikan berbagai pengontrol dan coprocessor khusus ke dalam satu chip:
- Pengontrol manajemen sistem
- Prosesor sinyal gambar
- Pengontrol audio
- Pengontrol SSD
- Coprocessor kriptografi Enklave Aman
Chip Apple T2 di iMac Pro Anda. Gambar milik iFixit.
Selain dari fitur Boot Aman, chip T2 menangani tugas-tugas berikut:
- Pencitraan yang disempurnakan untuk kamera FaceTime HD 1080p yang menghadap ke depan
- Enkripsi penyimpanan flash berbasis perangkat keras tanpa penalti kinerja
Karena chip T2 menggabungkan prosesor sinyal gambar yang dirancang sendiri oleh Apple, itu memungkinkan fitur pencitraan yang dipercepat perangkat keras untuk kamera HD FaceTime tidak seperti yang ada pada perangkat iOS:
- Kontrol eksposur yang ditingkatkan
- Pemetaan nada yang ditingkatkan
- Eksposur otomatis berdasarkan deteksi wajah
- Keseimbangan putih otomatis berdasarkan deteksi wajah
Terakhir, silikon T2 mencakup bagian yang dilindungi khusus seperti kriptografi kriptografi Secure Enclave yang disematkan ke dalam chip ponsel seri-A Apple yang memperkuat iPhone dan iPad..
Secure Enclave T2 menyimpan kunci enkripsi penyimpanan Anda dan toko sertifikat tepercaya dalam memori terproteksinya sendiri yang diblokir dari sistem lainnya. Ia juga memiliki mesin perangkat keras AES khusus yang mengenkripsi / mendekripsi data dengan cepat tanpa mempengaruhi kinerja SSD, sekaligus menjaga prosesor Xeon tetap bebas untuk tugas komputasi Anda.
Terakhir, ini menyediakan fungsi kriptografi ke seluruh sistem.
Butuh bantuan? Tanyakan iDB!
Jika Anda suka caranya, sampaikan kepada orang-orang pendukung Anda dan berikan komentar di bawah.
Terjebak? Tidak yakin bagaimana melakukan hal-hal tertentu pada perangkat Apple Anda? Beritahu kami via [email protected] dan tutorial di masa depan mungkin memberikan solusi.
Kirim saran cara Anda melalui [email protected].