你可能错过了苹果(Apple)全新MacBook Pro内置的一项面向企业的全新功能——全新的T2芯片,它从根本上提高了这些电脑的安全性。
作为T1的继承者,苹果的T2芯片可以在电脑上进行安全启动和加密存储。它首先出现在iMac Pro上。
T2芯片处理的最广泛报道的任务是首次在Mac上提供“嘿,Siri”支持。
当然,这并不是芯片的全部功能。它还控制触摸ID(使用一个安全的飞地)和触摸条,并集成了许多以前需要多个控制器才能完成的任务,如系统管理控制器(SMC)、图像信号处理器、环境光传感器、音频和固态驱动器(SSD)控制器。
企业用户最感兴趣的应该是该芯片对动态加密和安全引导的内置支持。
加密问题。T2芯片内置了一个硬件加密引擎,使用每台Mac独有的安全密钥对存储在SSD上的所有数据进行加密。
这意味着Mac上存储的所有数据只能由Mac自己读取,而苹果现有的FileVault保护意味着,你可以确保为了访问Mac上的任何数据,你必须使用自己的个人密钥,只有你自己知道。
SSD上的数据使用256位AES保护加密。
简而言之,这意味着Mac内部的SSD将是不可读的,除非被该Mac访问,即使从Mac删除。
这种方法的优点是所有的企业数据都更加安全,但缺点是,除非您维护可靠且安全的备份策略,否则可能会失去对所有数据的访问。
如果使用这些系统,应该总是备份数据。
T2芯片还提供了苹果所说的“信任的硬件基础”。
在启动Mac时,这是一个安全的起点,启动过程中的每个后续步骤都由Apple加密签名,以确保系统的完整性。
当你第一次启动你的Mac,这个过程是由T2芯片处理,它验证和控制启动过程中的每一步。
这意味着使Mac运行的所有系统组件(例如固件、内核和内核扩展)在启动时都是激活的;他们被证实是安全的。这有助于保护mac电脑免受低级攻击,也就是说,只有受信任的软件才能在启动时启动。
我惊讶地发现,安全启动还可以验证boot Camp Windows卷在Mac上的完整性。
Mac用户可以使用在macOS恢复中访问的启动安全实用程序来控制T2芯片提供的安全启动过程。
通过按Command-Rduring启动来访问它。
该实用程序允许您将安全启动配置为完全启动、中等启动或不启动。完全安全(安装软件时需要网络连接)意味着你的Mac只能运行最新最安全的操作系统;medium软件稍微温和一些,只需要启动“可验证”的软件(如果您的企业安全策略要求您使用较旧的macOS版本,那么您将使用medium)。
这种方法的优点是,它为企业提供了对员工机器上安装什么软件的更多控制,
该实用程序还允许您打开固件密码,以防止计算机在没有该密码的情况下从不同的硬盘启动。您还可以允许或不允许从外部设备引导,包括USB和Thunderbolt驱动器。
当然,这些mac电脑支持Touch ID。这可能不是所有企业都认可的特性,但它确实为有价值的企业数据提供了额外的生物识别层保护。
仔细研究一下,你会发现新的mac电脑不支持Netboot/Net安装。这可能会惹恼一些系统管理员,他们可能用这个来管理大量的mac。作为回应,苹果可能会提到它的Apple设备注册和部署计划,以及它与JAMF等大牌移动设备管理(MDM)解决方案的许多关系。
苹果现在提供的工具可以让你在不使用自定义映像的情况下,在几乎没有系统管理员干预的情况下,在特定的基础上自动设置和安装新的Mac电脑。系统管理员可以远程管理Mac设备登记。
苹果已经发布了T2芯片的一些信息,并提供了一个很好的安全启动的解释。
苹果决定为安装低级系统软件黑客和引导加载恶意软件增加另一个障碍,这表明该公司密切监控网络安全,并试图保护其平台。苹果公司已经对制造固件或零日攻击的趋势做出了回应。
这应该是企业用户特别感兴趣的,他们现在可能想要将T2芯片的mac电脑添加到他们的高度安全系统列表中。
Google + ?如果你使用社交媒体,并且碰巧是谷歌+用户,为什么不加入appleholic的Kool Aid Corner communityand参与对话,因为我们追求新模式苹果的精神?
有一个故事吗?请通过twitter给我留言,让我知道。我希望你能在Twitter上关注我,这样我