Cómo habilitar Kernel Extensions en tu Mac con Apple Silicon

Si desea que las extensiones del Kernel funcionen independientemente, debe permitirlas ajustando la política de seguridad de su Mac a través de MacOS Recovery. Aquí está cómo hacerlo.

A partir de macOS 11, si las extensiones de kernel de terceros (kexts) están habilitadas, no se pueden cargar en el kernel a pedido. En su lugar, está integrado en la suite auxiliar del kernel (AuxKC), que se carga durante el proceso de arranque. Para computadoras Mac con Apple Silicon, el medidor AuxKC se registra en LocalPolicy (en máquinas anteriores, AuxKC se encuentra en el volumen de datos). La reconstrucción de AuxKC requiere el consentimiento del usuario, reiniciar macOS para cargar los cambios en el kernel y requiere configurar el Arranque seguro en un nivel de seguridad bajo. Verificar Cómo corregir el error de alto uso de la CPU de kernel_task.

Importante: Ya no se recomienda ejecutar Kexts para macOS. Kexts pone en riesgo la integridad y la confiabilidad del sistema operativo, y Apple aconseja a los usuarios que seleccionen soluciones que no requieran la expansión del kernel.

Extensiones de kernel en Mac con Apple Silicon

Kexts debe habilitarse explícitamente para las computadoras Mac equipadas con Apple Silicon presionando el botón de encendido al inicio para ingresar al modo One True Recovery (1TR), luego regrese al bloqueo bajo y marque la casilla para habilitar las extensiones del kernel. Este procedimiento también requiere que ingrese la contraseña de administrador para autorizar la degradación. La combinación de 1TR y los requisitos de contraseña dificultan que los atacantes usen solo software desde macOS para ingresar kexts en macOS, que luego pueden explotar para obtener privilegios de kernel.

Después de que el usuario autorice la carga de kexts, la carga de Kernel Extensions aprobada por el usuario anterior se usa para permitir la instalación de kexts. La autorización utilizada para el flujo anterior también se utiliza para capturar el hash SHA384 de una lista kext aprobada por el usuario (UAKL) en LocalPolicy. El programa de administración del kernel (kmd) es responsable de validar los kexts en UAKL para su inclusión en AuxKC.

Paso 1. Ingrese a la recuperación de macOS

Debe comenzar accediendo a MacOS Recovery en su Mac con Apple Silicon.

  • Apaga tu Mac.
  • Reinícielo, pero mantenga presionado el botón de Encendido hasta que vea Cargando opciones de inicio parpadeando en la pantalla.
  • Espere hasta llegar a la pantalla de opciones de inicio.
  • Localizar Opciones -> Continuar.
  • Seleccione la cuenta de administrador de Mac e ingrese la contraseña para descargar macOS Recovery.

Paso 2. Permitir extensiones de kernel

En Recuperación de macOS, use la Herramienta de seguridad de inicio para permitir extensiones de kernel en su Mac.

  • Localizar "Utilidades" -> "Herramienta de seguridad de inicio" desde la barra de menú.
  • Seleccione su disco de inicio y seleccione el botón Política de seguridad.
  • Seleccione el botón de opción junto a Baja seguridad. A continuación, marque la casilla junto a Permitir la administración de usuarios de extensiones de kernel de desarrolladores seleccionados.
  • Localizar Ok.
  • Cuando se le solicite que se autentique, haga clic en Ingresar contraseña de macOS, luego elija una cuenta de administrador e ingrese su contraseña. entonces escoge seguimiento.
  • Abra el menú Apple y seleccione Reiniciar y deja la Mac funcionando normalmente.

Paso 3. Habilite las extensiones del kernel

Para activar un archivo kext que se instala junto con un programa, use la aplicación Preferencias del sistema de Mac.

  • Abra la aplicación Preferencias del sistema y seleccione Seguridad y privacidad.
  • Seleccione el ícono de candado e ingrese la contraseña de administrador de Mac.
  • Localizar Permitir.
  • Localizar Reiniciar.
  • Espera a que tu Mac termine de reiniciarse.

Alternativas a Kext

macOS 10.15 permite a los desarrolladores ampliar las capacidades de macOS instalando y administrando extensiones del sistema que se ejecutan en el espacio del usuario en lugar de en el nivel del kernel. Al ejecutarse en el espacio del usuario, las extensiones del sistema aumentan la estabilidad y la seguridad de macOS. Aunque los kexts tienen inherentemente acceso completo a todo el sistema operativo, las extensiones que se ejecutan en el espacio del usuario solo obtienen los privilegios necesarios para realizar su función específica.

Los desarrolladores pueden usar marcos que incluyen DriverKit, EndpointSecurity y NetworkExtension para escribir controladores USB, interfaces humanas, herramientas de seguridad de punto final (como DLP u otros proxies de punto final), VPN y herramientas de red, todo sin tener que escribir kexts. Los agentes de seguridad de terceros solo deben usarse si usan estas API o si tienen una hoja de ruta sólida para migrar hacia y fuera de las extensiones del kernel. Verificar Cómo configurar una contraseña de firmware para proteger su Mac.

 

Simplemente habilite los Kexts en los que confía

Las extensiones de kernel pueden poner en riesgo la seguridad de su Mac, así que habilítelas solo de desarrolladores en los que confíe. Si tienes dudas sobre un kext en particular, no debes dejarlo correr. Cuando haya terminado de usar kexts, es una buena idea revertir los cambios que hizo aquí para que la política de seguridad de su Mac vuelva a la normalidad. Ahora puedes ver ¿De qué permisos de seguridad y privacidad en macOS te protegen?

Imagen de DzTech

DzTech

Soy ingeniero estatal con amplia experiencia en los campos de programación, creación de sitios web, SEO y redacción técnica. Me apasiona la tecnología y me dedico a brindar información de calidad al público. Puedo convertirme en un recurso más valioso para los usuarios que buscan información precisa y confiable sobre reseñas de productos y aplicaciones especializadas en diversos campos. Mi compromiso inquebrantable con la calidad y la precisión garantiza que la información proporcionada sea confiable y útil para la audiencia. La búsqueda constante de conocimiento me impulsa a estar al día con los últimos avances tecnológicos, asegurando que las ideas compartidas se transmitan de forma clara y accesible.
Ir al botón superior