Если вы хотите, чтобы расширения ядра работали независимо, вы должны разрешить их, настроив политику безопасности вашего Mac через восстановление macOS. Вот как это сделать.
Начиная с macOS 11, если сторонние расширения ядра (kexts) включены, их нельзя загрузить в ядро по запросу. Вместо этого он интегрирован во вспомогательный набор ядра (AuxKC), который загружается в процессе загрузки. Для компьютеров Mac с Apple Silicon счетчик AuxKC регистрируется в LocalPolicy (на более ранних машинах AuxKC находится на томе данных). Для восстановления AuxKC требуется согласие пользователя, перезапуск macOS для загрузки изменений в ядро и настройка безопасной загрузки на низком уровне безопасности. Проверять Как исправить ошибку высокой загрузки ЦП из kernel_task.
Важный: Запуск Kexts для macOS больше не рекомендуется. Kexts ставит под угрозу целостность и надежность ОС, и Apple советует пользователям выбирать решения, не требующие расширения ядра.
Расширения ядра на компьютерах Mac с Apple Silicon
Кексты должны быть явно включены для компьютеров Mac с Apple Silicon. Для этого нажмите кнопку питания при запуске, чтобы войти в режим One True Recovery (1TR), затем вернитесь к низкой блокировке и установите флажок, чтобы включить расширения ядра. Эта процедура также требует ввода пароля администратора для авторизации перехода на более раннюю версию. Комбинация 1TR и требований к паролю затрудняет для злоумышленников, использующих только программное обеспечение, запускаемое из macOS, ввод кекстов в macOS, которые они затем могут использовать для получения привилегий ядра.
После того, как пользователь разрешает загрузку кекстов, загрузка расширений ядра, одобренная указанным выше пользователем, используется для разрешения установки кекстов. Авторизация, используемая для описанного выше потока, также используется для захвата хэша SHA384 одобренного пользователем списка kext (UAKL) в LocalPolicy. Программа управления ядром (kmd) отвечает за проверку кекстов в UAKL для включения в AuxKC.
Шаг 1. Войдите в режим восстановления macOS.
Вы должны начать с доступа к macOS Recovery на Mac, который поставляется с Apple Silicon.
- Выключите свой Mac.
- Перезапустите его, но удерживайте кнопку питания, пока на экране не появится мигание Загрузка параметров запуска.
- Подождите, пока не дойдете до экрана параметров запуска.
- Найдите Опции -> Продолжить.
- Выберите учетную запись администратора Mac и введите пароль для загрузки macOS Recovery.
Шаг 2. Разрешить расширения ядра
В macOS Recovery используйте Startup Security Tool, чтобы разрешить расширения ядра на вашем Mac.
- Найдите «Утилиты» -> «Инструмент безопасности запуска» из строки меню.
- Выберите загрузочный диск и нажмите кнопку «Политика безопасности».
- Выберите переключатель рядом с Низкий уровень безопасности. Затем установите флажок рядом с Разрешить пользователям управлять расширениями ядра от выбранных разработчиков.
- Найдите Ok.
- При появлении запроса на аутентификацию нажмите «Ввести пароль macOS», затем выберите учетную запись администратора и введите ее пароль. тогда выбирай отслеживание.
- Откройте меню Apple и выберите Перезагрузить , и оставьте Mac работать в обычном режиме.
Шаг 3. Включите расширения ядра
Чтобы активировать файл kext, который устанавливается вместе с программой, используйте приложение Mac System Preferences.
- Откройте приложение «Системные настройки» и выберите Безопасность и конфиденциальность.
- Выберите значок замка и введите пароль администратора Mac.
- Найдите Разрешать.
- Найдите Перезагрузить.
- Подождите, пока ваш Mac завершит перезагрузку.
Кексты альтернативы
macOS 10.15 позволяет разработчикам расширять возможности macOS, устанавливая системные расширения и управляя ими, которые работают в пользовательском пространстве, а не на уровне ядра. Запуская системные расширения в пространстве пользователя, они повышают стабильность и безопасность macOS. Хотя кексты по своей сути имеют полный доступ ко всей операционной системе, расширениям, работающим в пользовательском пространстве, предоставляются только привилегии, необходимые для выполнения их конкретной функции.
Разработчики могут использовать фреймворки, включая DriverKit, EndpointSecurity и NetworkExtension, для написания USB-драйверов, интерфейсов пользователя, инструментов безопасности конечных точек (таких как DLP или другие прокси-серверы конечных точек), VPN и сетевых инструментов, и все это без необходимости писать кексты. Сторонние агенты безопасности следует использовать только в том случае, если они используют эти API или имеют надежную дорожную карту для перехода на расширения ядра и обратно. Проверять Как установить пароль прошивки для защиты вашего Mac.
Просто включите Kexts, которым вы доверяете
Расширения ядра могут поставить под угрозу безопасность вашего Mac, поэтому включайте их только у разработчиков, которым вы доверяете. Если у вас есть сомнения по поводу конкретного кекста, не позволяйте ему работать. Когда вы закончите использовать кексты, рекомендуется отменить внесенные здесь изменения, чтобы вернуть политику безопасности вашего Mac в нормальное состояние. Теперь вы можете просмотреть От каких разрешений безопасности и конфиденциальности в macOS вас защищают?
