Cómo ajustar el nivel de seguridad de inicio de su iMac Pro con las funciones de arranque seguro

El iMac Pro de Apple viene con una nueva característica, llamada Secure Boot, que aprovecha el chip Apple T2 integrado, un procesador ARM similar al de un iPad o iPhone, que permite que el firmware de la computadora valide el cargador de arranque antes de cargarlo..

El chip T2 valida todo el proceso de arranque cuando se enciende el equipo, al tiempo que garantiza que los niveles más bajos de software no sean alterados y que solo el cargador de arranque inicial y el software del sistema operativo en el que confía Apple se cargue al inicio.

¿Qué es el arranque seguro??

Secure Boot es una nueva característica exclusiva de iMac Pro que ayuda a garantizar que su computadora siempre se inicie desde su disco de inicio designado y siempre desde un sistema operativo confiable.

La configuración de arranque seguro está disponible en Startup Security Utility, a la que solo se puede acceder a través del modo de recuperación de macOS.

Startup Security Utility ofrece los siguientes conmutadores para ayudar a proteger su iMac Pro contra el acceso no autorizado (detallaremos las tres configuraciones en este artículo):

  • Protección de contraseña de firmware-Evite que la computadora se inicie sin proporcionar su contraseña de firmware.
  • Arranque seguro-Ajuste el nivel de seguridad de inicio de su computadora.
  • Arranque externo-No permitir el arranque desde medios externos.

Tenga en cuenta que iMac Pro actualmente no admite el arranque desde volúmenes de red, aunque NetBoot probablemente vendrá a Secure Boot en una futura actualización de software.

La configuración de arranque seguro no afecta al modo de disco de destino. Este modo, invocado sosteniendo el "T" clave al iniciar su computadora, convierte su iMac Pro en un disco externo para otra Mac.

En otras palabras, el Arranque seguro no impedirá que un mal actor con acceso físico a su computadora inicie su computadora en modo de disco de destino y la monte en su Mac con acceso completo a todas las unidades y volúmenes conectados.

Activar el cifrado de disco FileVault, que vincula el cifrado SSD con su contraseña, ayuda a mitigar este problema porque evita que los datos en su SSD se descifren sin el hardware adecuado y tu contraseña.

Las funciones de arranque seguro no están disponibles en modelos que no son iMac Pro.

TUTORIAL: Todas las formas en que puede iniciar su Mac

Si no posee un iMac Pro, crear una contraseña de firmware segura hará que sea imposible para otras personas iniciar su computadora desde un disco que no sea el disco de inicio designado sin la contraseña.

Cómo ajustar el nivel de seguridad de inicio de iMac Pro

1) Reinicie o encienda su iMac Pro, luego mantenga presionado Comando (⌘) -R inmediatamente después de que vea el logotipo de Apple. Esto iniciará la máquina en el modo de recuperación de macOS.

2) Hacer clic Utilidades en la barra de menú en la ventana Utilidades.

3) Hacer clic Utilidad de seguridad de inicio en la ventana de Utilidades.

PROPINA: Si Startup Security Utility no se abre, no ha creado ninguna cuenta de usuario en la computadora o el Asistente de configuración aún no se ha ejecutado.

4) Cuando se le solicite autenticar, haga clic en Ingrese la contraseña de macOS, luego seleccione una cuenta de administrador e ingrese su contraseña.

5) Startup Security Utility presentará tres configuraciones de arranque seguro:

  • Seguridad total-La configuración predeterminada que brinda el más alto nivel de seguridad. Es posible que se requiera una conexión a Internet activa en el momento de la instalación del software para que su iMac Pro pueda confirmar que está iniciando una versión de MacOS o Windows que no ha sido manipulada de ninguna manera. Deje esta configuración habilitada para ejecutar una versión de macOS o Windows que esté instalada actualmente en su iMac Pro, o cualquier sistema operativo firmado criptográficamente en el que confíe Apple.
  • Seguridad media-Esta configuración verifica la versión de macOS o Windows en el disco de inicio solo para ver si Apple o Microsoft lo han firmado correctamente, pero no requiere una conexión a Internet o información de integridad actualizada de Apple. No impide que la máquina ejecute un sistema operativo en el que Apple ya no confía. Use esta configuración para arrancar en versiones anteriores de macOS independientemente del nivel de confianza de Apple.
  • Sin seguridad-Esta es la configuración de seguridad más baja que no impone ningún requisito de seguridad para el sistema operativo de arranque en su disco de inicio. Úselo para iniciar Linux o cualquier otro sistema operativo compatible con su hardware, no se requiere firma ni verificación con Apple. Esta es la forma en que todos los demás Macs se inician actualmente.

Si usa Boot Camp, puede iniciar Windows 10 mientras permanece completamente seguro porque el chip T2 y Secure Boot respetan la autoridad de firma de Microsoft para Windows 10 a partir de la Actualización de creadores de otoño de 2017.

6) Cierre la ventana de la Utilidad de seguridad de inicio.

7) Hacer clic Reiniciar en el menú Apple para reiniciar la máquina con la configuración de seguridad en su lugar.

NOTA: Si seleccionó Seguridad completa o Media y el sistema operativo en su disco de inicio no pudo pasar la verificación, esto es lo que sucede:

  • Mac OS-Aparece una alerta que le informa que se requiere una actualización de software para usar el disco de inicio. Hacer clic Actualizar para abrir el instalador de macOS, que puede usar para reinstalar macOS en el disco de inicio (esto requiere una conexión a Internet). Si no desea actualizar su copia instalada de macOS a la última versión disponible, elija el Disco de inicio en su lugar, seleccione un disco de inicio diferente que Secure Boot intentará verificar.
  • Ventanas: Una alerta le informa que necesita instalar Windows con el Asistente Boot Camp.

NOTA: Desactivar la seguridad total y luego volver a activarla le pedirá que se conecte.

Si se está preguntando sobre los efectos de restablecer NVRAM en la configuración de arranque seguro, no hay ninguno. Al restablecer NVRAM se activa la Protección de integridad del sistema (si estaba desactivada), la configuración de arranque seguro permanece igual que antes del reinicio.

Siga leyendo para obtener descripciones detalladas de la configuración de seguridad completa y media.

Sobre seguridad completa

Un nivel de seguridad que anteriormente solo estaba disponible en dispositivos iOS, esta configuración garantiza que solo un sistema operativo actualizado (macOS) o un sistema operativo firmado criptográficamente en el que Apple (Microsoft Windows) confíe actualmente, pueda ejecutarse en su computadora. Ningún otro sistema operativo podrá ejecutar este iMac Pro.

Si el Arranque seguro encuentra un sistema operativo desconocido en su unidad de inicio o no puede verificarlo, la computadora se conectará a Internet y descargará la información de integridad actualizada de Apple que necesita para verificar el sistema operativo. "Esta información es exclusiva de su iMac Pro y garantiza que su iMac Pro se inicie desde un sistema operativo en el que Apple confíe", según la compañía..

Si no está conectado, es posible que vea una alerta que indique que se requiere una conexión a Internet. Elija una red Wi-Fi activa en la barra de menú, luego haga clic Inténtalo de nuevo.

Si su iMac Pro utiliza el cifrado de disco FileVault, es posible que se le solicite que ingrese una contraseña para desbloquear el disco antes de que la computadora intente recuperar información actualizada de integridad de Apple. Ingrese su contraseña de administrador, luego haga clic desbloquear para completar la descarga.

Sobre seguridad media

Cuando se activa la configuración Media, su iMac Pro puede ejecutar cualquier versión del sistema operativo en la que Apple haya confiado, no solo la versión actual. A diferencia de la configuración Completa, no requiere una conexión a Internet o información de integridad actualizada de Apple.

Esta configuración se usa mejor cuando necesita iniciar una versión anterior de macOS en la que Apple ya no confía, no necesariamente la versión actual de macOS instalada en su iMac Pro.

Configurar una contraseña de firmware

Puede evitar que las personas con acceso físico a su máquina intenten iniciarla desde un disco que no sea el disco de inicio designado creando una contraseña de firmware en la Utilidad de seguridad de inicio (que no debe confundirse con la contraseña de su cuenta de usuario de macOS).

1) Reinicie o encienda su iMac Pro, luego mantenga presionado Comando (⌘) -R inmediatamente después de ver el logotipo de Apple para iniciar la computadora usando el modo de recuperación de macOS.

2) Hacer clic Utilidades en la barra de menú en la ventana Utilidades.

3) Hacer clic Utilidad de seguridad de inicio en la ventana de Utilidades.

4) Cuando se le solicite autenticar, haga clic en Ingrese la contraseña de macOS, luego seleccione una cuenta de administrador e ingrese su contraseña.

5) Hacer clic Activar contraseña de firmware en la ventana Startup Security Utility.

6) Ingrese la contraseña de firmware deseada en los campos provistos, luego haga clic Configurar la clave.

NOTA: Escriba esta contraseña y guárdela en un lugar seguro. Si olvida la contraseña del firmware, deberá programar una cita de servicio con Apple o un proveedor de servicios autorizado para desbloquear la máquina.

7) Cierre la ventana Startup Security Utility, luego elija Reiniciar desde el menú de Apple para reiniciar tu iMac Pro con tu nueva configuración de seguridad.

Su Mac debería iniciarse normalmente desde su disco de inicio designado.

Cualquier persona que conozca su contraseña de firmware podrá iniciar su iMac Pro desde un disco que no sea de inicio. Para seleccionar un dispositivo de almacenamiento desde el que desea iniciar su iMac Pro, mantenga presionada la tecla Opción (⌥) después de encender la computadora, resalte un disco que contenga un sistema operativo utilizable y presione Entrar.

Aparece el campo de contraseña de firmware: escriba la contraseña de firmware que creó y presione Entrar para desbloquear la computadora y continuar arrancando desde el disco designado.

PROPINA: Para eliminar la contraseña del firmware, repita los pasos anteriores, pero haga clic en Desactivar contraseña de firmware en el paso 4.

Configurar una contraseña de firmware le brinda otra capa de seguridad y tranquilidad al saber que a nadie se le permitirá iniciar su iMac Pro desde un disco duro externo, CD / DVD, memoria USB o cualquier otro dispositivo de almacenamiento.

También deberá escribir su contraseña de firmware antes de ingresar al modo de recuperación de macOS. Esto proporciona una protección contra ataques locales ya que cualquier persona con acceso físico a su computadora puede arrancar en el modo de recuperación de macOS.

Incluso si la gente de su hogar o sus compañeros de trabajo conocen su contraseña de firmware, aún puede evitar que inicien su iMac Pro desde medios externos ajustando las opciones que se detallan a continuación..

Prevención de arranque desde medios externos

La configuración de arranque externo le permite controlar si su iMac Pro puede arrancar desde un medio externo. De manera predeterminada, la computadora está configurada para usar la opción más segura que no permite el arranque desde discos duros externos, unidades de memoria USB u otros medios externos.

Para ajustar esta configuración a su gusto, siga las instrucciones paso a paso a continuación:

1) Reinicie o encienda su iMac Pro, luego mantenga presionado Comando (⌘) -R inmediatamente después de ver el logotipo de Apple para iniciar la computadora usando el modo de recuperación de macOS.

2) Hacer clic Utilidades en la barra de menú en la ventana Utilidades.

3) Hacer clic Utilidad de seguridad de inicio en la ventana de Utilidades.

4) Cuando se le solicite autenticar, haga clic en Ingrese la contraseña de macOS, luego seleccione una cuenta de administrador e ingrese su contraseña.

5) Elija el nivel deseado de seguridad de inicio justo debajo del Arranque externo encabezado en la ventana Startup Security Utility:

  • No permitir el arranque desde medios externos-No se puede hacer que tu iMac Pro se inicie desde ningún medio externo.
  • Permitir el arranque desde medios externos-Su computadora puede iniciarse desde medios externos.

6) Salga de Startup Security Utility, luego elija Reiniciar desde el menú de Apple para reiniciar su iMac Pro con su nueva configuración de seguridad en su lugar.

PROPINA: Si ha permitido el arranque desde medios externos y desea seleccionar un disco de inicio antes de reiniciar, salga de la Utilidad de seguridad de inicio y elija Disco de inicio desde el menú de Apple.

Cuando se selecciona la opción "No permitir el arranque desde un medio externo", se selecciona un disco que no es de inicio en Preferencias del sistema → Disco de inicio Aparecerá un mensaje de advertencia que dice que su configuración de seguridad no permite que esto suceda.

PROPINA: Para elegir su disco de inicio en el momento del arranque, invoque Startup Manager manteniendo presionada la tecla Opción (⌥) inmediatamente después de encender o reiniciar su computadora.

Si lo hace, cuando se haya habilitado la configuración "No permitir el arranque desde medios externos", su iMac Pro se reiniciará con un mensaje que indica que su configuración de seguridad evita que se inicie desde medios externos. Luego se le presentará la opción de reiniciar desde su disco de inicio actual o seleccionar otro disco de inicio.

Cerrar la sesión, activar y desactivar la configuración "No permitir el arranque desde medios externos" y configurar una contraseña de firmware segura es la mejor manera de evitar que los usuarios malvados inicien su iMac Pro desatendido desde su memoria USB.

Su chip iMac Pro y Apple T2

Apple comenzó a descargar ciertas funciones del sistema Mac a un coprocesador dedicado basado en ARM, llamado T1, que debutó en el MacBook Pro con Touch Bar.

Su sucesor, el chip Apple T2 en su iMac Pro, no solo admite las nuevas características de arranque seguro para garantizar que la máquina ejecute un sistema operativo legítimo, sino que también integra varios controladores y coprocesadores especializados en un solo chip:

  • Controlador de gestión del sistema
  • Procesador de señal de imagen
  • Controlador de audio
  • Controlador SSD
  • Coprocesador criptográfico Secure Enclave

Chip Apple T2 en tu iMac Pro. Imagen cortesía de iFixit.

Además de las características de arranque seguro, el chip T2 maneja las siguientes tareas:

  • Imágenes mejoradas para la cámara frontal FaceTime HD de 1080p
  • Cifrado de almacenamiento flash basado en hardware sin penalización de rendimiento

Debido a que el chip T2 incorpora el procesador de señal de imagen diseñado internamente por Apple, hace posible que las funciones de imagen aceleradas por hardware para la cámara FaceTime HD no sean diferentes a las de los dispositivos iOS:

  • Control de exposición mejorado
  • Mapeo de tonos mejorado
  • Exposición automática basada en detección de rostros
  • Balance de blancos automático basado en detección de rostros

Por último, el silicio T2 incluye una sección protegida especial como el coprocesador criptográfico Secure Enclave integrado en los chips móviles de la serie A de Apple que alimentan iPhones y iPads.

Secure Enclave de T2 contiene sus claves de cifrado de almacenamiento y el almacén de certificados de confianza en su propia memoria protegida que está separada del resto del sistema. También alberga motores de hardware AES dedicados que cifran / descifran datos sobre la marcha sin afectar el rendimiento del SSD, al tiempo que mantienen el procesador Xeon libre para sus tareas informáticas..

Por último, proporciona funciones criptográficas al resto del sistema..

¿Necesitas ayuda? Pregunte a iDB!

Si le gusta este tutorial, páselo a su equipo de soporte y deje un comentario a continuación..

¿Quedó atascado? ¿No está seguro de cómo hacer ciertas cosas en su dispositivo Apple? Háganos saber a través de [email protected] y un tutorial futuro podría proporcionar una solución.

Envíe sus sugerencias prácticas a través de [email protected].