Cómo ajustar el nivel de seguridad de inicio de tu iMac Pro con las funciones de arranque seguro

El iMac Pro de Apple incluye una nueva función, llamada Secure Boot, que aprovecha el chip T2 de Apple, un procesador ARM similar al de un iPad o iPhone, lo que permite que el firmware del ordenador valide el cargador de arranque antes de cargarlo.

El chip T2 valida todo el proceso de arranque cuando se enciende, al tiempo que garantiza que no se manipulan los niveles más bajos de software y que sólo se carga el cargador de arranque inicial y el software del sistema operativo en el que confía Apple al iniciar el sistema.

¿Qué es Secure Boot?

Secure Boot es una nueva función exclusiva del iMac Pro que ayuda a garantizar que el equipo siempre se inicie desde el disco de inicio designado y desde un sistema operativo de confianza.

La configuración de arranque seguro está disponible en la Utilidad de seguridad de inicio, a la que sólo se puede acceder a través de .

La utilidad de seguridad de inicio ofrece las siguientes opciones para ayudar a proteger tu iMac Pro contra el acceso no autorizado (detallaremos las tres configuraciones en este artículo):

• Protección con contraseña de firmware : evite que el equipo se inicie sin proporcionar la contraseña de firmware.
• Arranque seguro : ajuste el nivel de seguridad de inicio del equipo.
• Arranque externo -No permitir el arranque desde un dispositivo externo.

Ten en cuenta que el iMac Pro actualmente no admite el arranque desde volúmenes de red, aunque es probable que NetBoot venga a Secure Boot en una futura actualización del software.

La configuración de arranque seguro no afecta al modo de disco de destino. Este modo convierte tu iMac Pro en un disco externo para otro Mac.

En otras palabras, Secure Boot no impedirá que un mal actor con acceso físico a su ordenador inicie su ordenador en el modo Disco de destino y lo monte en su Mac con acceso total a todas las unidades y volúmenes conectados.

Activar el cifrado de disco de FileVault, que vincula el cifrado de las unidades SSD a su contraseña, ayuda a mitigar este problema, ya que evita que los datos de las unidades SSD se descifren sin el hardware y la contraseña adecuados.

Las funciones de arranque seguro no están disponibles en los modelos que no son iMac Pro.

TUTORIAL:

Si no tienes un iMac Pro, será imposible que otras personas inicien el equipo desde un disco que no sea el disco de inicio designado sin la contraseña.

Cómo ajustar el nivel de seguridad de inicio del iMac Pro

1) Reinicie o encienda su iMac Pro, luego presione y mantenga presionado Command (⌘)-R inmediatamente después de ver el logotipo de Apple. Esto iniciará la máquina en el modo de recuperación de macOS.

2) Haga clic en Utilidades en la barra de menús de la ventana Utilidades.

3) Haga clic en Iniciar Utilidad de seguridad en la ventana Utilidades.

SUGERENCIA: Si la utilidad de seguridad de inicio no se abre, no ha creado ninguna cuenta de usuario en el equipo o el Asistente de configuración aún no se ha ejecutado.

4) Cuando se le pida que se autentique, haga clic en Introduzca la contraseña de macOS , luego seleccione una cuenta de administrador e introduzca su contraseña.

5) La utilidad de seguridad de inicio presentará tres configuraciones de arranque seguro:

• Seguridad completa : la configuración predeterminada que proporciona el nivel más alto de seguridad. Es posible que se requiera una conexión a Internet activa en el momento de la instalación del software para que tu iMac Pro pueda confirmar que está iniciando una versión de MacOS o Windows que no ha sido manipulada de ninguna manera. Deja esta configuración habilitada para ejecutar una versión de MacOS o Windows que esté instalada en tu iMac Pro, o cualquier sistema operativo con firma criptográfica en el que confíe Apple.
• Seguridad media : esta configuración verifica la versión de macOS o Windows en el disco de inicio sólo para ver si ha sido firmado correctamente por Apple o Microsoft, pero no requiere una conexión a Internet ni información de integridad actualizada de Apple. No impide que la máquina ejecute un sistema operativo en el que Apple ya no confía. Utilice esta configuración para arrancar en versiones anteriores de macOS independientemente del nivel de confianza de Apple.
• Sin seguridad -Esta es la configuración de seguridad más baja que no aplica ningún requisito de seguridad para el sistema operativo de inicio en su disco de inicio. Úselo para arrancar en Linux o en cualquier otro sistema operativo compatible con su hardware, sin necesidad de firmar ni verificar con Apple. Esta es la forma en que todos los demás Macs se inician actualmente.

Si utiliza Boot Camp, puede arrancar en Windows 10 sin dejar de ser totalmente seguro, ya que tanto el chip T2 como Secure Boot respetan la autoridad de firma de Microsoft para Windows 10 a partir de la actualización Fall Creators Update de 2017.

6) Cierre la ventana de la Utilidad de seguridad de inicio.

7) Haga clic en Reiniciar en el menú Apple para reiniciar el equipo con la configuración de seguridad establecida.

NOTA: Si ha seleccionado Seguridad completa o Media y el sistema operativo de su disco de inicio no ha superado la verificación, esto es lo que ocurre:

• macOS – Aparece una alerta informándole que se requiere una actualización de software para utilizar el disco de inicio. Haga clic en Actualizar para abrir el instalador de macOS, que puede utilizar para reinstalar macOS en el disco de inicio (esto requiere una conexión a Internet). Si no desea actualizar su copia instalada de macOS a la última versión disponible, elija la opción Disco de inicio y, a continuación, seleccione un disco de inicio diferente que Secure Boot intentará verificar.
• Windows : Una alerta le informa que necesita instalar ventanas con el Asistente Boot Camp.

NOTA: al desactivar la seguridad completa y luego volver a activarla, se le pedirá que se conecte.

Si se está preguntando sobre los efectos de restablecer la NVRAM en la configuración de arranque seguro, no hay ninguna. Mientras se activa la Protección de integridad del sistema (si estaba desactivada), la configuración de inicio seguro sigue siendo la misma que antes del restablecimiento.

Siga leyendo para obtener descripciones detalladas de la configuración de seguridad completa y media.

Acerca de la seguridad total

Con un nivel de seguridad que antes sólo estaba disponible en dispositivos iOS, esta configuración garantiza que sólo un sistema operativo actualizado (macOS) o un sistema operativo con firma criptográfica en el que confíe Apple (Microsoft Windows) pueda ejecutarse en su ordenador. No se permitirá que ningún otro sistema operativo funcione en este iMac Pro.

Si Secure Boot encuentra un sistema operativo desconocido en la unidad de inicio o no puede verificarlo, el equipo se conectará a Internet y descargará la información de integridad actualizada de Apple que necesita para verificar el sistema operativo. «Esta información es exclusiva de tu iMac Pro y garantiza que el iMac Pro se inicie desde un sistema operativo en el que Apple confía», según la empresa.

Si está desconectado, es posible que aparezca una alerta que indica que se requiere una conexión a Internet. Elija una red Wi-Fi activa en la barra de menús y, a continuación, haga clic en Inténtelo de nuevo .

Si tu iMac Pro utiliza el cifrado de disco de FileVault, es posible que se te pida que introduzcas una contraseña para desbloquear el disco antes de que el ordenador intente recuperar la información de integridad actualizada de Apple. Introduzca la contraseña de administrador y haga clic en Desbloquear para completar la descarga.

Acerca de la seguridad media

Cuando la opción Medium está activada, tu iMac Pro puede ejecutar cualquier versión del sistema operativo en la que Apple haya confiado, no sólo la versión actual. A diferencia de la configuración completa, no requiere una conexión a Internet ni información de integridad actualizada de Apple.

Esta configuración se utiliza mejor cuando necesitas arrancar una versión anterior de macOS en la que Apple ya no confía, y no necesariamente la versión actual de macOS instalada en tu iMac Pro.

Configuración de una contraseña de firmware

Puede impedir que las personas con acceso físico a su equipo intenten arrancarlo desde un disco que no sea el disco de inicio designado creando una contraseña de firmware en la utilidad de seguridad de inicio (que no debe confundirse con la contraseña de su cuenta de usuario de macOS).

1) Reinicie o encienda su iMac Pro y, a continuación, mantenga presionada la tecla Command (⌘)-R inmediatamente después de ver el logotipo de Apple para iniciar el equipo utilizando el modo de recuperación de macOS.

2) Haga clic en Utilidades en la barra de menús de la ventana Utilidades.

3) Haga clic en Iniciar Utilidad de seguridad en la ventana Utilidades.

4) Cuando se le pida que se autentique, haga clic en Introduzca la contraseña de macOS , seleccione una cuenta de administrador e introduzca su contraseña.

5) Haga clic en Activar contraseña de firmware en la ventana de la utilidad de seguridad de inicio.

6) Introduzca la contraseña de firmware deseada en los campos proporcionados y, a continuación, haga clic en Establecer contraseña .

NOTA: Escriba esta contraseña y guárdela en un lugar seguro. Si olvida la contraseña del firmware, deberá programar una cita de servicio con Apple o con un proveedor de servicios autorizado para desbloquear el equipo.

7) Cierra la ventana de la Utilidad de seguridad de inicio y, a continuación, elige Reiniciar en el menú Apple para reiniciar el iMac Pro con la nueva configuración de seguridad.

Tu Mac debería arrancar normalmente desde su disco de inicio designado.

Cualquiera que conozca la contraseña de tu firmware podrá arrancar tu iMac Pro desde un disco que no sea de arranque. Para seleccionar un dispositivo de almacenamiento desde el que quieras arrancar tu iMac Pro, mantén presionada la tecla Opción (⌥) después de encender el ordenador, luego resalta un disco que contenga un sistema operativo utilizable y pulsa Enter .

Aparece el campo firmware password: escriba la contraseña del firmware que ha creado y pulse Enter para desbloquear el ordenador y continuar arrancándolo desde el disco designado.

CONSEJO: Para eliminar la contraseña del firmware, repita los pasos anteriores, pero haga clic en Desactivar contraseña del firmware en el paso 4.

La configuración de una contraseña de firmware te da otra capa de seguridad y tranquilidad al saber que nadie podrá iniciar tu iMac Pro desde un disco duro externo, un CD/DVD, una unidad USB o cualquier otro dispositivo de almacenamiento.

También necesitará escribir la contraseña de su firmware antes de entrar en el modo de recuperación de macOS. Esto proporciona una protección contra ataques locales ya que cualquier persona con acceso físico a su ordenador puede arrancar en el modo Recuperación de macOS.

Incluso si la gente de tu casa o tus compañeros de trabajo conocen tu contraseña de firmware, puedes impedir que arranquen tu iMac Pro desde un medio externo ajustando las opciones que se detallan más adelante.

Prevención del inicio desde un dispositivo externo

La configuración de arranque externo te permite controlar si tu iMac Pro puede arrancar desde un dispositivo externo. De forma predeterminada, el equipo está configurado para utilizar la opción más segura que no permite el arranque desde cualquier disco duro externo, unidad USB u otro medio externo.

Para ajustar estas configuraciones a su gusto, siga las instrucciones paso a paso que se indican a continuación:

1) Reinicie o encienda su iMac Pro y, a continuación, mantenga presionada la tecla Command (⌘)-R inmediatamente después de ver el logotipo de Apple para iniciar el equipo utilizando el modo de recuperación de macOS.

2) Haga clic en Utilidades en la barra de menús de la ventana Utilidades.

3) Haga clic en Iniciar Utilidad de seguridad en la ventana Utilidades.

4) Cuando se le pida que se autentique, haga clic en Introduzca la contraseña de macOS , seleccione una cuenta de administrador e introduzca su contraseña.

5) Elija el nivel deseado de seguridad de inicio justo debajo del encabezado External Boot en la ventana de la utilidad de seguridad de inicio:

• Deshabilitar el arranque desde un dispositivo externo : tu iMac Pro no se puede hacer para arrancar desde ningún dispositivo externo.
• Permitir el inicio desde un medio externo -Su ordenador puede iniciarse desde un medio externo.

6) Salga de la Utilidad de seguridad de inicio y, a continuación, elija Reiniciar en el menú Apple para reiniciar el iMac Pro con la nueva configuración de seguridad.

SUGERENCIA: Si ha permitido el arranque desde un dispositivo externo y desea seleccionar un disco de inicio antes de reiniciar, salga de la Utilidad de seguridad de inicio y seleccione Disco de inicio en el menú Apple.

Cuando se selecciona la opción «Disallow booting from external media», al seleccionar un disco que no sea de inicio en Preferencias del sistema → Disco de inicio aparecerá un mensaje de advertencia que indicará que la configuración de seguridad no permite que esto suceda.

SUGERENCIA: Para elegir el disco de inicio en el momento del inicio, invoque el Administrador de inicio manteniendo presionada la opción (⌥) inmediatamente después de encender o reiniciar el equipo.

Si lo haces cuando se haya activado la opción «Disallow booting from external media», tu iMac Pro se reiniciará con un mensaje que diga que la configuración de seguridad impide que se inicie desde un dispositivo externo. A continuación, se le presentará la opción de reiniciar desde su disco de inicio actual o seleccionar otro disco de inicio.

Cerrar la sesión, activar la configuración de «Disallow Booting from External Media» y establecer una contraseña de firmware segura es la mejor manera de evitar que usuarios malintencionados inicien tu iMac Pro desatendido desde su unidad USB.

Tu iMac Pro y el chip Apple T2

Apple comenzó a descargar ciertas funciones del sistema Mac a un coprocesador dedicado basado en ARM, llamado T1, que debutó en el MacBook Pro con Touch Bar.

Su sucesor, el , no sólo es compatible con las nuevas funciones de arranque seguro para garantizar que la máquina funcione con un sistema operativo legítimo, sino que también integra varios controladores y coprocesadores especializados en un único chip:

• Controlador de gestión del sistema
• Procesador de señales de imagen
• Controlador de audio
• Controlador SSD
• Coprocesador criptográfico Secure Enclave

El chip Apple T2 en tu iMac Pro. .

Además de las características de arranque seguro, el chip T2 se encarga de las siguientes tareas:

• Imagen mejorada para la cámara FaceTime HD frontal de 1080p
• Cifrado de almacenamiento flash basado en hardware sin penalización de rendimiento

Gracias a que el chip T2 incorpora el procesador de señales de imagen de diseño propio de Apple, hace posible que la cámara FaceTime HD disponga de funciones de imágenes aceleradas por hardware similares a las de los dispositivos iOS:

• Control de exposición mejorado
• Mejoras en la asignación de tonos
• Exposición automática basada en la detección de rostros
• Balance de blancos automático basado en la detección de caras

Por último, el silicio T2 incluye una sección protegida especial como el coprocesador criptográfico Secure Enclave integrado en los chips móviles de la serie A de Apple que alimentan los iPhones y iPads.

El enclave seguro de T2 contiene las claves de cifrado de su almacenamiento y el almacén de certificados de confianza en su propia memoria protegida que está aislada del resto del sistema. También alberga motores de hardware AES dedicados que cifran/descifran los datos sobre la marcha sin afectar al rendimiento de las SSD, al tiempo que mantienen el procesador Xeon libre para sus tareas informáticas.

Por último, proporciona funciones criptográficas al resto del sistema.

¿Necesita ayuda? Pregúntale a Tecnologismo!

Si te gusta este «cómo hacerlo», pásalo a tu gente de apoyo y deja un comentario a continuación.

¿Se atascó? ¿No estás seguro de cómo hacer ciertas cosas en tu dispositivo Apple? Háganoslo saber a través de ayuda@tecnologismo.com y un futuro tutorial podría proporcionarle una solución.

Envíe sus sugerencias sobre cómo hacerlo a través de info@tecnologismo.com .