启动安全性策略能够帮助限制可启动 Mac 的用户和可用于启动 Mac 的设备。

与基于 Intel 的 Mac 电脑的安全性策略不同，搭载 Apple 芯片的 Mac 上的安全性策略支持安装的每个操作系统。这意味着安装的不同版本和安全性策略的多个 macOS 实例可以存在于同一设备上。为此，“系统安全性实用工具”中添加了操作系统选择器。

在搭载 Apple 芯片的 Mac 上，“系统安全性实用工具”会指明用户配置的 macOS 整体安全性状态，如 Kext 的启动或系统完整性保护 (SIP) 配置。如果更改安全性设置会显著降低安全性或使系统更易遭到入侵，则用户必须通过按住电源按钮重新启动进入 recoveryOS（使恶意软件无法触发信号，只有用户通过实际接触才能触发）才能进行更改。因此搭载 Apple 芯片的 Mac 也不要求提供（亦不支持）固件密码，所有关键更改已经由用户授权保护。有关 SIP 的更多信息，请参阅《Apple 平台安全保护》中的系统完整性保护。

但组织可以通过使用 recoveryOS 密码（macOS 11.5 或更高版本中可用）防止对 recoveryOS 环境的访问，包括启动选项屏幕。有关更多信息，请参阅下方的 recoveryOS 密码部分。

搭载 Apple 芯片的 Mac 上有三种安全性策略：

完整安全性：系统运行方式与 iOS 和 iPadOS 相似，且仅允许启动在安装时已知为最新可用版本的软件。

降低安全性：此策略等级允许系统运行较旧版本的 macOS。较旧版本的 macOS 不可避免地具有未修补的漏洞，所以此安全性模式称为“降低”安全性。这也是在不使用移动设备管理 (MDM) 解决方案以及“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”中自动设备注册的情况下需要手动配置以支持启动内核扩展 (Kext) 的策略等级。

宽松安全性：此策略等级支持用户构建、签名和启动自己的自定 XNU 内核。启用“宽松安全性”模式前必须停用系统完整性保护 (SIP)。有关更多信息，请参阅《Apple 平台安全保护》中的系统完整性保护。

有关安全性策略的更多信息，请参阅《Apple 平台安全保护》中的搭载 Apple 芯片的 Mac 的启动磁盘安全性策略控制。

搭载 Apple 芯片且使用 macOS 11.5 或更高版本的 Mac 支持使用 MDM 通过 SetRecoveryLock 命令设定 recoveryOS 密码。除非输入 recoveryOS 密码，否则用户无法访问恢复环境，包括启动选项屏幕。只有使用 MDM 才能设置 recoveryOS 密码，若 MDM 要更新或移除现有密码，也必须提供当前密码。由于 recoveryOS 密码只能通过 MDM 设置、更新或移除，从 MDM 取消注册设置了 recoveryOS 密码的 Mac 电脑将同时移除该密码。MDM 管理员还可以使用 VerifyRecoveryLock 命令来验证 recoveryOS 密码的正确性。

【注】设定 recoveryOS 密码不会阻止搭载 Apple 芯片的 Mac 电脑使用 Apple Configurator 通过 DFU 模式进行恢复，该方式也通过加密阻止访问 Mac 上以前的数据。

在基于 Intel 且搭载 Apple T2 安全芯片的 Mac 电脑上，“启动安全性实用工具”负责处理许多安全性策略设置。若要访问此实用工具，请启动进入 recoveryOS，然后从“实用工具”菜单中选择“启动安全性实用工具”；它可防止支持的安全性设置被攻击者轻易操纵。

你可以将安全启动策略配置为以下三种设置中的其中一种：完整安全性、中等安全性和无安全性。“无安全性”完全停用 Intel 处理器上的安全启动评估，允许用户启动任何系统。

有关安全性策略的更多信息，请参阅《Apple 平台安全保护》中的搭载 Apple T2 安全芯片的 Mac 上的启动安全性实用工具。

不搭载 Apple 芯片的 Mac 电脑支持使用固件密码来防止意外修改特定 Mac 上的固件设置。固件密码用于阻止用户选择备选启动模式，如启动进入 recoveryOS、“单用户模式”、从未经授权的宗卷启动或启动进入“目标磁盘模式”。固件密码可以通过 firmwarepasswd 命令行工具、固件密码实用工具或 MDM 来设置、更新或移除。如有必要，MDM 必须先知道现有密码才能更新或清除固件密码。

【注】设置固件密码不会阻止 Apple T2 安全芯片固件使用 Apple Configurator 通过 DFU 模式进行恢复。Mac 恢复后，设备上设置的任何固件密码都会移除，并且内部储存中的数据会安全地抹掉。