• Voor elk Mac probleem is een oplossing
  • Reparatie van alle Mac's
  • Snelle Service
  • Professioneel Advies
  • Garantie 1/2 jaar
Mac Support Witjas
Reparatie aanmelden
Reparaties

Silicon Macs externe opstartbare schijven

  • Geen categorie
Silicon Macs externe opstartbare schijven

Hoe Silicon Macs externe opstartbare schijven werken

In tegenstelling tot Intel Macs (inclusief die met T2-chips), starten alle Apple Silicon Macs hun opstartproces altijd vanaf hun interne SSD, zelfs wanneer ze zijn ingesteld om op te starten vanaf een externe schijf.  Dit zorgt voor de veiligheid en integriteit van het proces en voorkomt dat iemand die niet bevoegd is die Mac opstart zonder de inloggegevens.  In dit artikel leg ik uit hoe dit het gebruik van de Apple Silicon Macs beïnvloedt.

De opstartbare externe schijven

Naast de normale vereisten voor een macOS-installatie op een externe schijf om een ​​Mac te kunnen opstarten, is uw toegang van het opstartvolumegroep op die schijf vereist. Dit wordt uitgevoerd bij het installeren van het macOS op die schijf, zoals hier uitgelegd, en resulteert in toegang van die opstartvolumegroep door een geautoriseerde gebruiker van die Mac. Dit wordt verwerkt in een LocalPolicy die wordt opgeslagen op de interne SSD van die Mac. Als die toegang en LocalPolicy niet zijn aangemaakt op het moment van de installatie, zou macOS moeten vragen om deze aan te maken wanneer u die externe schijf als opstartschijf selecteert in Systeeminstellingen of Herstelmodus. Hierdoor kan een bestaande externe schijf opstartbaar worden gemaakt voor een andere Mac. Als dat niet lukt, weigert macOS op te starten vanaf die externe schijf.

 

De Schijfstructuur

Om tegemoet te komen aan de geavanceerde Secure Boot van Apple Silicon Macs, zijn hun interne SSD’s verdeeld in drie partities, met extra zes volumes buiten die opstartvolumegroep.

Silicon Macs externe opstartbare schijven

 

 

Het opstartvolumegroep zelf bestaat uit:

  • Het systeemvolume, welke wordt gebruikt om de SSV op te bouwen en die na het opstarten wordt losgekoppeld.
  • Het ondertekende systeemvolume, SSV, een ondertekende en verzegelde momentopname van het systeemvolume, met het onveranderlijke systeem.
  • De gegevensvolume, standaard genaamd Data, is gekoppeld in de systeemmap structuur en kan door de gebruiker worden beschreven.
  • Het kleine Preboot-volume, gebruikt om cryptexes op te slaan.
  • Het gekoppelde herstelvolume, dat een schijfkopie van het herstelsysteem bevat.
  • Het VM-volume dat ade backup voor het virtueel geheugen bevat.
  • Mogelijk een Update-volume dat wordt gebruikt bij het upgraden naar versies van Big Sur.  Dit zal niet meer aanwezig zijn op de meest recente Macs.

 

Wat is een SSV (signed systeemvolume)? Met het macOS wordt de bescherming van uw Mac uitgebreid met een cryptografische technologie (macOS 11 of nieuwer) die voorkomt dat bestanden zonder geldige cryptografische handtekening van Apple worden geopend of uitgevoerd.  Alle systeembestanden worden beveiligd op het signed (ondertekende)  systeemvolume SSV.  Deze geavanceerde systeemvolume technologie biedt veel bescherming tegen schadelijke software en geknoei met het besturingssysteem. Daarnaast kunnen software-updates hiermee op de achtergrond worden uitgevoerd terwijl jij kunt doorwerken, waardoor het minder lang duurt om de Mac opnieuw op te starten en updates af te ronden. De SSV wordt gemaakt op het systeemvolume tijdens de installatie en updates van het macOS en bevat een boom met cryptografische hashes die de integriteit garandeert en die de handtekening controleert of de inhoud overeenkomt met de verwachte versie van het macOS.

Het opstartproces

Op Apple Silicon Macs begint dit met de Boot ROM om de Low Level Bootloader (LLB) te valideren, fase 1 van het opstartproces.  De LLB valideert op zijn beurt andere firmware die moet worden gebruikt in fase 2, de LocalPolicy die moet worden toegepast op de opstartschijf en iBoot (Fase 2) zelf, in overeenstemming met de vereisten van het toepasselijke LocalPolicy.  Bij het opstarten vanaf een opstartvolume op een externe schijf, wordt de controle vervolgens overgedragen aan dat opstartbare systeem, dat wordt opgeslagen in een enkele APFS-container met dezelfde lay-out als die voor een Intel Mac. Bij het opstarten vanaf een externe schijf hebben M-series Macs dus LLB en iBoot nodig, samen met LocalPolicy, en die zijn opgeslagen op de interne SSD.  Aangezien LLB en iBoot deel uitmaken van de macOS-installatie, is de beste manier om deze te leveren een volledige installatie van de huidige release van macOS.

 

Het lokaal beleid

De gebruiker beheert LocalPolicy via Startup Security Utility, diw alleen toegankelijk is in de herstelmodus en een gebruikers authenticatie vereist.  Er is echter geen LocalPolicy die van toepassing is op alle gebruikers en alle schijven: elk LocalPolicy is specifiek voor een opstart volumegroep en geautoriseerde gebruiker. Deze kunnen bijvoorbeeld toestaan:

  • Een enkele opstartbare externe schijf die moet worden gebruikt om twee of meer Macs op te starten;
  • Één Mac die moet worden opgestart vanuit verschillende opstartvolumegroepen, die mogelijk oudere versies van macOS uitvoeren of kernelextensies van derden kunnen laden.

Standaard LocalPolicy die is gemaakt voor elke opstartbare externe schijf biedt volledige beveiliging, die onder andere het laden van kernelextensies van derden blokkeert en vereist dat SIP volledig is ingeschakeld. iBoot (fase 2) valideert kernel verzamelingen, ondertekende systeemvolumes en andere componenten om hun integriteit te garanderen en dat de kernel, extensies en macOS die moeten worden geladen een acceptabel versienummer hebben. LocalPolicy kan worden gewijzigd, met name door de Secure Boot-instellingen te wijzigen met behulp van het opstart beveiligingshulpprogramma, eerst op te starten vanaf die opstart volumegroep, af te sluiten en op te starten in de herstelmodus.  Die volgorde zorgt ervoor dat de Mac opstart in het herstelvolume dat is gekoppeld aan het systeemvolume waarvan de beveiligingsinstellingen moeten worden gewijzigd.

De terugval

De huidige opstart schijfinstelling wordt opgeslagen in het NVRAM, die op Apple Silicon Macs niet gemakkelijk door de gebruiker kan worden gereset.  In het geval dat de schijf niet kan worden gebruikt om die Mac op te starten, zal deze normaal gesproken terugvallen op het opstarten vanaf de interne SSD.  Dit is een ingewikkelder proces in het geval dat de verwachte opstartschijf helemaal niet kan worden gevonden: in dat geval kan er een lange vertraging zijn bij het opstarten, gedurende welke het aan/uit-lampje blijft branden maar het scherm zwart blijft.  Uiteindelijk, wanneer het vinden van de ontbrekende opstartschijf is opgegeven, kan de Mac opstarten vanuit de verborgen herstelcontainer op de interne SSD, normaal gesproken gebruikt als Fallback Recovery, waardoor de gebruiker een andere opstartschijf kan kiezen en vanaf die kan herstarten.

 

De externe opstartvolumegroepen

De opstartvolumegroep op de externe opslag heeft dezelfde structuur en functies als die in de Apple_APFS-container van de interne SSD, en is na het opstarten een zelfstandig macOS en is opgenomen in de SSV, waarbij cryptexes zijn opgeslagen op het Preboot-volume. 

Beschrijfbare systeemgegevens en alle gebruikersgegevens worden opgeslagen op het gegevensvolume, en het heeft zijn eigen gekoppelde herstelvolume, dat wordt gebruikt wanneer het externe systeem wordt opgestart in de herstelmodus.

Het macOS wordt onafhankelijk bijgewerkt met de versie die op de interne SSD is geïnstalleerd, hoewel eventuele firmware-updates die als onderdeel van een macOS-update moeten worden geïnstalleerd, de firmware op de interne SSD wijzigen, omdat er geen firmware op de externe SSD staat. 

In het geval dat interne en externe macOS-versies verschillen, zal het installatieprogramma of de updater de firmware alleen bijwerken naar de recentere versie.

 

De DFU-modus

Apple Silicon Macs zijn de eerste Apple-computers waarvan de firmware zowel kan worden geüpgraded als gedowngraded door de installatie van een IPSW-imagebestand wanneer de Mac zich in de DFU-modus bevindt.  Hierdoor kunt u oor elke ondersteunde versie van het macOS, de gehele interne SSD wissen en alle drie de containers installeren, met firmware, de SSV- en datavolumes in de fabrieksinstellingen.  Dit is van onschatbare waarde als er een probleem is met de firmware, corruptie van de interne SSD zonder fysieke schade, of gewoon om terug te keren naar een oudere macOS. Omdat bij herstel in de DFU-modus de hele interne SSD wordt gewist, wordt ook al het opgeslagen LocalPolicy voor die Mac verwijderd.  Na het herstelproces moet het eigendom van elke opstartbare externe schijf die met die Mac wordt gebruikt, opnieuw worden vastgesteld, zodat er een nieuwe LocalPolicy voor kan worden gemaakt.

 

De Kernpunten

  • Om op te kunnen starten vanaf een Apple Silicon Mac, heeft een externe schijf het de rechten  nodig van de opstartvolumegroep en LocalPolicy.
  • Normaal gesproken worden de rechten de LocalPolicy toegewezen tijdens de installatie van het macOS.
  • Rechten en LocalPolicy kunnen ook worden gezet wanneer u een externe schijf als opstartschijf selecteert. Hierdoor kan een externe schijf opstartbaar zijn op meer dan één Apple Silicon Mac.
  • Er is een volledige macOS-opstartvolumegroep vereist op de interne SSD om te kunnen opstarten vanaf een externe schijf, aangezien de vroege stadia van het opstartproces, inclusief validatie van de LocalPolicy, alleen kunnen worden uitgevoerd vanaf de interne SSD.
  • De LocalPolicy kan worden gewijzigd met behulp van de Startup Security Utility in het gekoppelde herstelvolume.
  • Het Fallback-beleid zorgt ervoor dat een Mac kan opstarten als de externe opstartschijf niet opstart of ontbreekt.
  • Externe opstartvolumegroepen zijn zelfvoorzienend wanneer ze succesvol zijn opgestart.
  • Alle opgeslagen LocalPolicy worden vernietigd wanneer een Mac wordt hersteld in de DFU-modus. De rechten en LocalPolicy moeten vervolgens opnieuw worden opgebouwd voor de externe opstartbare schijven.

Veel bezoekers bekeken ook

Dit artikel is overgenomen van Eclecticlight.co

 

Neem vandaag nog contact op

Heeft uw Mac snel een reparatie nodig of wilt u deskundig advies over uw macOS-besturingssysteem?
Neem dan vandaag nog contact op met Mac Support Witjas.
Contactformulier
06 - 2266 5753
Mac Support Witjas
Mac Support Witjas
4.8
Gebaseerd op 165 beoordelingen
powered by Google
js_loader

Kies voor kwaliteit

  • Reparatie van alle Mac's
  • Remote support
  • Snelle service
  • Garantie 1/2 jaar
  • Uurtarief €55,- p/u
  • Professioneel advies
  • Concurrerende prijzen
  • Vakbekwaam en vriendelijk

Openingstijden

  • Ma - Za: 10:00 - 18:00
  • Zo: gesloten

Contactgegevens

Bedrijfsgegevens

  • KvK: 58989749 te Almere
  • BTW nr: NL001302357B49

Bankgegevens

  • BIC: RABONL2U
  • IBAN: NL10 RABO 0179 9913 29
  • T.n.v. F. Witjas te Blaricum