基于 Intel 的 Mac 中的固件密码保护

基于 Intel 且搭载 Apple T2 安全芯片的 Mac 电脑上的 macOS 支持使用固件密码，以帮助防止意外修改特定 Mac 上的固件设置。固件密码旨在阻止选择备选启动模式，如启动进入 recoveryOS 或“单用户模式”、从未经授权的宗卷启动或者启动进入“目标磁盘模式”。

【注】搭载 Apple 芯片的 Mac 无需固件密码，因为它所限制的关键固件功能已移到 recoveryOS 中，并且（文件保险箱启用时）recoveryOS 需要用户认证才能允许访问其关键功能。

在基于 Intel 且不搭载 T2 芯片的 Mac 上，可以通过 recoveryOS 中的“固件密码实用工具”来访问固件密码的最基本模式；而在基于 Intel 且搭载 T2 芯片的 Mac 上，可以从“启动安全性实用工具”进行访问。在 macOS 中，可以使用 firmwarepasswd 命令行工具来访问高级选项（如在每次启动时都提示输入密码）。

在基于 Intel 且不搭载 T2 芯片的 Mac 电脑上设置固件密码尤为重要，这可以降低处于电脑前的攻击者进行攻击的风险。固件密码可以帮助阻止攻击者启动进入 recoveryOS，否则攻击者可能在其中停用系统完整性保护 (SIP)。通过限制从备选介质启动，攻击者无法执行其他操作系统中的特权代码来攻击外围固件。

固件密码重设机制的存在对忘记密码的用户很有帮助。用户在启动时按下组合键后，系统会显示机型特定的字符串以提供给 AppleCare。AppleCare 在使用统一资源标识符 (URI) 检查资源的签名后，会对资源进行数字签名。如果签名经过验证且内容是针对该特定 Mac，UEFI 固件会移除固件密码。

对于不想让除自己外的其他任何人通过软件方式移除固件密码的用户，macOS 10.15 为 firmwarepasswd 命令行工具增加了 -disable-reset-capability 选项。在设置此选项前，用户必须确认在忘记密码且需要移除该密码的情况下，自行承担移除密码带来的逻辑板更换费用。对于想保护其 Mac 电脑不受外部攻击者和员工攻击的组织，必须在组织拥有的系统上设定固件密码。此操作可通过以下任一种方式在设备上完成：

预置期间，手动使用 firmwarepasswd 命令行工具

通过使用 firmwarepasswd 命令行工具的第三方管理工具

使用移动设备管理 (MDM)

下载本手册的 PDF 版