M1-Macs ohne EFI-Passwort: Problem für Einsatz in Unternehmen
Auf Macs mit Apple-Chips lässt sich kein Firmware-Passwort mehr setzen. Von Unternehmen oder Schulen verwaltete Geräte können ungewollt neu möbliert werden.
Mac & i Von
- Leo Becker
Macs mit M1-Chips stellen Administratoren vor neue Herausforderungen: Im Unterschied zu Intel-Macs können die Macs mit Apple-Chips nicht mehr per EFI-Passwort gesichert werden. Ein von der Firma oder Schule ausgegebenes, per Mobile Device Management (MDM) verwaltetes Gerät lässt sich deshalb bei physischem Zugriff einfach neu aufsetzen – und zwar mit Admin-Rechten sowie entkoppelt von der MDM-Verwaltung, wie ein IT-Manager warnt.
Mac löschen ohne Authentifizierung
Ein gesetztes Firmware-Passwort blockiert die Verwendung der meisten Boot-Optionen und verhindert so auch, dass ein Nutzer ohne Kenntnis des Firmware-Passwortes den Computer einfach löschen und neu aufsetzen kann. Auf Macs mit Apple-Chips ist es nun aber möglich, vor der Authentifizierung im Wiederherstellungsmodus das Gerät erst zu löschen und dann frisch einzurichten, wie der Admin Nathaniel Strauss erklärt, der die Macs eines US-Schulbezirks verwaltet. Trennt man die Netzwerkverbindung, werde zudem das MDM-Setup für die Fernverwaltung einfach übersprungen – entsprechend verliert die Organisation die Kontrolle über das Gerät.
Um das "entsprechende Sicherheitsniveau" eines Firmware-Passwortschutzes bei ARM-Macs zu erreichen, empfiehlt Apple die Aktivierung der Festplattenverschlüsselung FileVault. Diese schützt zwar die Daten des Nutzers vor Zugriff respektive Einblick durch Dritte, kann aber nicht deren Löschung blockieren, merkt Strauss an. Im Schuleinsatz könne es so auch leicht zu Datenverlust kommen, wenn nicht für ständige Backups gesorgt wird.
Lesen Sie auch
Aktivierungssperre könnte als Ausweg dienen
Ein Ausweg könnte Apples Aktivierungssperre sein, da sie vor einem Neuaufsetzen des Gerätes stets erst eine Authentifizierung erfordert. Während sich die Aktivierungssperre auf iOS-Geräten per MDM-Verwaltung aktivieren lässt, unterstützt Apple diese Option bislang nicht jedoch nicht für macOS, wie der MDM-Anbieter Jamf Now dokumentiert hat. Strauss hat mehrere Bug-Reports bei Apple eingereicht und glaubt, dass der Hersteller sich des Problems inzwischen bewusst ist. Es bleibt aber unklar, wann und in welcher Form Apple darauf reagieren will.
(lbe)
Quelle: www.heise.de