Braucht man SecureBoot? Muss / sollte ich meine Config entsprechend umstellen ?

    Hallo zusammen,


    ich habe nun allerlei zu SecureBoot gelesen, scheint nicht ganz trivial zu sein und bringt einige Stolperfallen mit sich. Ich habe den Eindruck, dass es den Bootvorgang (unnötig?) kompliziert macht. In meiner Config ist SecureBoot disabled und alles scheint gut zu laufen, auch Monterey konnte ich testweise auf einer Reserveplatte installieren. Vielleicht habe ich den Sinn von SecureBoot noch nicht verstanden, warum quälen sich so viele damit herum ...?


    Also kurz gefragt: Brauche ich das oder kann das weg ? :think:

    Grüße, MacDream

    Meine Hardware

    Es erhöht die Sicherheit, aber nicht zwingend nötig.

    SecureBoot zu aktivieren ist eigentlich relativ simpel und es gibt eine passende Anleitung dazu: https://dortania.github.io/Ope…rity/applesecureboot.html


    Grob: SecureBootModel setzen, ApECID setzen, in Recovery das Boot Volume personalisieren -> fertig

    • Apple Mac Studio | M1 Ultra | 64GB RAM | 1TB
    • PowerMac G5 | Dual 2GHz | 8GB RAM | GeForce 6800 Ultra DDL
    • AMD Ryzen 9 3950X | ASUS Strix X570-I Gaming | 64GB DDR4-3600 CL16 RAM | Corsair MP600 M.2 NVMe | Radeon RX 6900 XT | Phanteks Enthoo Evolv Shift | Custom Loop | MacOS 12 | OpenCore
      Ryzen MacPro | EFI | RadeonSensor | Aureal

    Ich stelle mir die Frage etwas anders: "Brauch ich das oder kann das weg?"

    Für mich heißt das: es kann weg (bleiben)!

    Die Sicherheit gegen Angriffe wird zwar etwas erhöht, aber ich habe meine Rechner äußerst selten an Café-Hotspots oder in der Bahn dabei, wo ich sie stehen oder auch nur versehentlich unbeaufsichtigt lassen könnte.

    Bei Schlepptops sieht das dann noch etwas anders aus, aber die hab ich nicht als Hackintosh.

    Und gerade meine "echten" Macs haben/hatten weder Secure Boot noch Festplatten-Verschlüsselung, noch SiP aktiviert, ich will ja damit arbeiten.

    Meine Rechner


    :hackintosh:

    Es gibt eigentlich keine Nachteile beim aktivieren von SecureBoot. Das Deaktivieren von Secure Boot und SiP machen Malware das einnisten in System einfacher, einen Nutzen davon sehe ich weniger. SiP habe ich seit Catalina nicht mehr deaktiviert gehabt, seit Big Sur ist es sowieso umständlich an System Files rumzuschrauben.

    • Apple Mac Studio | M1 Ultra | 64GB RAM | 1TB
    • PowerMac G5 | Dual 2GHz | 8GB RAM | GeForce 6800 Ultra DDL
    • AMD Ryzen 9 3950X | ASUS Strix X570-I Gaming | 64GB DDR4-3600 CL16 RAM | Corsair MP600 M.2 NVMe | Radeon RX 6900 XT | Phanteks Enthoo Evolv Shift | Custom Loop | MacOS 12 | OpenCore
      Ryzen MacPro | EFI | RadeonSensor | Aureal

    macdream


    Ich versuche das mal zu entheddern ;-)


    Beim Update zu Beta 6 wurde das Update den SMBIOS Versionen welche den T2 Chip im Original verbaut haben, nicht angezeigt.


    Am Anfang hatte Phoenix85 darauf hingewiesen, das es mit dem T2 zu tun haben kann.


    "on beta 6 according to Slav if you have T2 smbios it wont give you the update prompt

    and wont let you install it either without T2

    so i just swap to imac 19,1 did all my updates then went back to macpro 7,1"


    Da ich mir den Ärger mit Software Aktualisierungen und dem Apple-ID und Email Passwörter den ich beim SMBIOS Wechsel bisher hatte sparen wollte, und es auch spannend war habe ich es halt mal komplett umgesetzt.


    Später hat sich herausgestellt, das es auch noch einfacher geht.


    Das die Einstellung Default ( ab 0.7.2 bedeutet das x86legacy und kann evtl. bei älterem OC als x86legacy funktionieren ) oder nur z.B. j137 für iMacPro unter SecureBootModel ausreicht um das Update für jene Modelle angezeigt zu bekommen.


    Manchmal muss dafür einmal mit Disabled und dann mit Default oder z.B.: j137 ein Neustart durchgeführt werden.


    DMGLoading auf "Signed"


    Hier brauch es auch nicht die ApECID einstellungen, das erhöht nur die Stufe der Sicherheit von %01 auf %02 full Secure. ( das wusste ich oder auch andere zu dem Zeitpunkt noch nicht, und so haben wir es halt umgesetzt. Wenn der Bless Befehl auf der Recovery abgesetzt wurde funktioniert Disabled oder Default trotzdem )


    Nach dem Neustart muss zwingend wieder ohne SecureBootModel gestartet und installiert werden, sonst bricht das Update ab.


    Danach kann es wieder aktiviert werden ( oder muss, da ich aber SecureBootModel vollständig umgesetzt habe, kann ich das nicht mit Sicherheit sagen )


    [Sammelthread] MacOS Monterey 12.x DEV-Beta Erfahrungen


    Ich habe es jedenfalls jetzt aktiviert, und er schnurrt wie ein Kätzchen.


    Das hatte mich auch motiviert mal ein Update meiner OpenCore EFI von 0.6.3 auf 0.7.3 im Nachgang durchzuführen.


    Eine gute Übung allemal.


    Dortania Guide:


    https://dortania.github.io/Ope…boot.html#securebootmodel


    und nochmal Kurz von

    anonymous_writer


    Lokale EFI:

    > SecureBootModel passend für meinen Laptop auf j214k

    > Selbst generierte Nummer bei ApECID eingetragen

    > SIP seit 2 Jahren nicht einmal deaktiviert


    Eine zweite EFI auf einem USB-Stick kopiert und die folgende eine Änderung gemacht:

    > SecureBootModel auf Disabled


    1.Von der lokalen EFI Monterey gestartet und das Update losgetreten.

    2. Nur den ersten Neustart von der EFI auf dem USB-Stick gemacht. SecureBootModel auf Disabled

    3. Nächster Neustart ohne USB-Stick lokale EFI SecureBootModel wieder an auf j214k

    4. Noch einen Neustart von der lokal EFI und danach an der neuen Beta freuen.

    4 Mal editiert, zuletzt von GoodBye ()

    Genau, für diejenigen die ein SMBIOS ohne T2 benutzen ist es nicht mal relevant glaub ich, die haben ja sowieso das update angezeigt bekommen.

    Und die jenigen die ein Secureboot konfiguriert benötigen sollten doch auch das ganze durchspielen, wird vermutlich nicht das letzte update sein oder? :-)

    Gruss Coban

     MSI-Z590Pro Wifi | Intel® Core™ i9-10900k CometLake | 32GB DDR4 RAM | Radeon RX 570 Red Devil | Nvme WD Black SN750 1TB | BCM94360NG | OpenCore aktuell / Catalina / BigSur / Monterey / Ventura Beta / Win 10 Pro / Win 11 Pro / Ubuntu / ChromeOS

     MSI-B150M Mortar | Intel® Core™ i7-6700 Skylake | 64GB DDR4 RAM | Intel® HD Graphics 530 | Samsung NVMe 960 EVO / 1x2 TB HDD | BCM943602BAED DW1830 | OpenCore aktuell / Catalina / BigSur / Monterey / Win 10 Pro / Ubuntu

     Lenovo S340-15IIL | Intel® Core™ i7-1065G7 IceLake | 12GB DDR4 RAM | Intel® Iris Plus Graphics G7 | Nvme Intel SSDPEKNW512G8L/SSD Samsung 256GB | BCM94360NG | OpenCore aktuell / Catalina / BigSur / Monterey / Ventura Beta / Win 10 Pro / Win 11 Pro / Ubuntu / ChromeOS


    " Chasch nöd s Föifi und s Weggli ha."

    Ja klar, ich arbeite natürlich auch mit meinem Hackintosh, aber SIP (und auch FileVault) habe ich schon seit Catalina immer aktiviert, keine Probleme so weit.


    msart hat es oben ja schön zusammengefasst, vielen Dank dafür. Ich werde mich SecureBoot bei Gelegenheit widmen, es gibt ja eine sehr gute Doku. Ich hatte befürchtet, dass Updates oder Neuinstallationen (wie z.B. Monterey) dadurch unnötig kompliziert werden. Aber wie es scheint, ist die einmalige Einrichtung ausreichend für die volle Sicherheit und macht auch sonst keine Probleme. :top:

    Grüße, MacDream

    Meine Hardware

    Ich nutze seit 20 Jahren grundsätzlich Vollverschlüsselung. Wer keinen Wohnungseinbruch zu befürchten hat, der mag darauf verzichten. Aber das hat n. m. K. nichts mit SIP zu tun. Hier gehts so wie ich das verstehe darum, Einbrechern die Sicherheitslücken nutzen, die Übernahme von Rootrechten zu verwehren. Dazu halte ich funktionierendes SIP neben FileVault ebenfalls für essentiell.
    Was mich an dem von msart beschriebenen Workarround stört, ist das ein Update grundsätzlich nicht mit aktiviertem SecureBootModel unbeaufsichtigt läuft. Ich muss bei jedem Reboot vom Stick mit disabled booten und Dualboot weder mit Windows noch mit einem zweiten MacOS möglich ist. Beides geht gar nicht.

    Grüße

    Arkturus

    "Ein Hackintosh ist wie ein Garten - es gibt immer was zu tun"

    Meine Möhren

    Einmal editiert, zuletzt von Arkturus ()

    Beta 6 war nichts neues für mich, musste das bei der Neuinstallation von Beta 4 und beim Update auf Beta 5 schon machen.

    • Apple Mac Studio | M1 Ultra | 64GB RAM | 1TB
    • PowerMac G5 | Dual 2GHz | 8GB RAM | GeForce 6800 Ultra DDL
    • AMD Ryzen 9 3950X | ASUS Strix X570-I Gaming | 64GB DDR4-3600 CL16 RAM | Corsair MP600 M.2 NVMe | Radeon RX 6900 XT | Phanteks Enthoo Evolv Shift | Custom Loop | MacOS 12 | OpenCore
      Ryzen MacPro | EFI | RadeonSensor | Aureal