VSTShopVSTShop

Chính sách Bảo mật Hạt nhân Apple Silicon: Full vs Reduced Security

Mac Apple Silicon lưu cài đặt bảo mật trong file LocalPolicy được ký số bởi phần cứng SEP, không phải NVRAM. Hiểu rõ Full Security, Reduced Security và hai cờ tùy chọn bổ sung giúp bạn đưa ra quyết định đúng đắn về driver bên thứ ba và quản lý từ xa.

29 tháng 6, 2026 10 phút đọc

Tại sao bài này quan trọng

Phần lớn người dùng Mac không bao giờ cần mở Startup Security Utility — cho đến khi buộc phải. Các tình huống thực tế xảy ra khá thường xuyên trong sản xuất âm nhạc và pro audio: bạn cần cài Soundflower hoặc BlackHole để định tuyến âm thanh ảo; một plugin cũ yêu cầu tiện ích mở rộng hạt nhân (kext) kiểu cũ; bộ phận IT công ty quản lý máy của bạn qua MDM; bạn muốn hạ cấp về macOS cũ hơn cho tương thích plugin; hoặc bạn thiết lập dual-boot Asahi Linux.

Khi gặp bất kỳ tình huống nào trong số này, macOS hoặc từ chối âm thầm hoặc hiện hàng loạt hộp thoại bảo mật đề cập các thuật ngữ như Reduced Security, kernel extensions, và One True Recovery. Hiểu rõ mỗi tùy chọn thực sự làm gì — và bạn vĩnh viễn đánh mất gì khi bật nó — giúp tránh các sai lầm tốn kém và hàng giờ debug.

Bài viết này đi qua toàn bộ kiến trúc hệ thống chính sách bảo mật của Apple Silicon, từ tầng phần cứng cho đến các ô checkbox trong giao diện Startup Security Utility.

LocalPolicy là gì

Trên Mac Intel, cài đặt bảo mật hệ thống được lưu trong NVRAM — vùng bộ nhớ ghi được mà phần mềm đặc quyền có thể ghi đè. Mã độc khai thác lỗ hổng kernel có thể âm thầm hạ cấp mức bảo mật mà không cần bất kỳ tương tác vật lý nào.

Apple Silicon thay đổi hoàn toàn điều này, áp dụng kiến trúc giống iPhone và iPad. Cài đặt bảo mật của bạn được biên dịch thành cấu trúc nhị phân gọi là LocalPolicy, mã hóa theo định dạng Image4 (ASN.1 DER). File này sau đó được ký số trực tiếp bởi Secure Enclave Processor (SEP) — chip bảo mật phần cứng độc lập, tách biệt với CPU chính.

Hệ quả thực tế: LocalPolicy không thể bị thay đổi bởi bất kỳ phần mềm nào đang chạy trên máy, dù có đặc quyền cao đến đâu. Thay đổi nó đòi hỏi sự có mặt vật lý tại máy và một thao tác phần cứng có chủ ý.

Trên Intel Mac, thiết lập bảo mật lưu trong NVRAM và có thể bị phần mềm thay đổi. Trên Apple Silicon, LocalPolicy được Secure Enclave (SEP) ký số phần cứng — không phần mềm nào thay đổi được nếu không có tương tác vật lý.

Cách truy cập Startup Security Utility

Startup Security Utility chạy bên trong One True Recovery (1TR) — môi trường đặc biệt khởi động trước macOS và cho phép SEP xác nhận bạn đang có mặt vật lý. Không có cách nào truy cập từ xa hay từ hệ điều hành đang chạy.

  1. Tắt Mac hoàn toàn — không chỉ khởi động lại.
  2. Nhấn giữ nút nguồn cho đến khi thấy "Loading startup options…"
  3. Nhấn Options, rồi nhấn Continue để vào Recovery.
  4. Từ thanh menu, chọn menu → Startup Security Utility (ký tự là logo Apple ở góc trên trái màn hình Mac).
  5. Xác thực bằng mật khẩu quản trị viên khi được yêu cầu.
  6. Chọn volume bạn muốn cấu hình, sau đó điều chỉnh chính sách bảo mật.

Full Security

Full Security là chế độ mặc định và nghiêm ngặt nhất. Khi chọn, hệ thống chỉ khởi động các phiên bản macOS mang Chữ ký Cá nhân hóa (Personalized Signatures) của Apple — bằng chứng mã hóa được máy chủ TSS của Apple tạo ra tại thời điểm cài đặt, gắn liền với định danh phần cứng cụ thể của bạn.

Ở tầng kernel, hệ thống chặn hoàn toàn mọi tiện ích mở rộng kernel bên thứ ba. Bộ nhớ kernel được đảm bảo chỉ chứa mã nguồn gốc của Apple, khiến chế độ này tương đương iOS về tính toàn vẹn hạt nhân.

Đây là chế độ kích hoạt đầy đủ bộ tính năng phần cứng nhạy cảm:

  • Apple Pay — hoạt động hoàn chỉnh, được bảo đảm bởi Secure Enclave
  • Giải mã DRM — độ phân giải tối đa cho Netflix 4K, Apple TV+ HDR, Disney+ 4K và nội dung bảo vệ bản quyền khác
  • System Integrity Protection (SIP) ở mức thực thi cao nhất
  • Xác thực sinh trắc học nâng cao với đảm bảo mã hóa cao nhất
  • Rủi ro Kernel Panic hoặc bypass bảo mật từ mã bên thứ ba thấp nhất có thể

Reduced Security không tick ô vuông

Khi chọn Reduced Security nhưng để trống cả hai ô vuông, hệ thống chuyển sang trạng thái trung gian, tương đương Medium Security trên Mac Intel chip T2.

Thay đổi duy nhất là cơ chế chữ ký OS: thay vì Personalized Signatures, hệ thống chấp nhận Global Signatures — bất kỳ phiên bản macOS nào Apple từng ký hợp lệ, dù máy chủ Apple không còn cấp phép cá nhân hóa cho phần cứng cụ thể của bạn nữa. Điều này cho phép hạ cấp về macOS cũ hơn để tương thích plugin, hoặc thiết lập môi trường multi-boot với hệ điều hành tùy chỉnh có chữ ký hợp lệ (ví dụ: làm nền tảng cho bootloader Asahi Linux).

Điểm quan trọng: kernel vẫn bị khóa hoàn toàn ở trạng thái này. Không có driver hay phần mềm bên thứ ba nào có thể chạm vào ring-0 (tầng lõi sâu nhất của hệ điều hành). Mô hình bảo mật cho mã đang chạy không thay đổi.

Apple Pay và DRM vẫn hoạt động đầy đủ ở Reduced Security nếu không tick bất kỳ ô vuông kext nào. Kernel vẫn bị khóa — chỉ chính sách chấp nhận phiên bản OS được nới lỏng.

Bonus Flag 1: kext bên thứ ba (AuxKC)

Ô vuông đầu tiên — "Allow user management of kernel extensions from identified developers" — chỉ khả dụng sau khi chọn Reduced Security. Tick vào đây mở ra một đặc quyền lớn kèm theo chi phí bảo mật được phần cứng thực thi tương xứng.

Khi bật, macOS có thể kích hoạt cơ chế Auxiliary Kernel Collection (AuxKC). Khi cài phần mềm cũ đi kèm kext — Soundflower, BlackHole (bản cũ), driver ảo hóa cũ, Cisco VPN cổ điển — Kernel Management Daemon (kextd) lấy kext đó, xác minh chứng chỉ nhà phát triển, gộp vào AuxKC, tính mã băm SHA-384 của danh sách kext được phê duyệt, và ghi thẳng hash đó vào LocalPolicy. Máy phải khởi động lại để nạp AuxKC song song với kernel chính.

Khi AuxKC được nạp, Secure Enclave phát hiện cờ trạng thái gọi là kext receipt. Vì SEP không thể xác minh kext bên thứ ba có đang âm thầm chụp màn hình, đọc bộ nhớ, hay đánh cắp khóa mã hóa hay không, nó lập tức thực hiện hành động bảo vệ.

  • Apple Pay: bị vô hiệu hóa phần cứng bởi SEP khi phát hiện kext receipt
  • DRM streaming: độ phân giải phát bị giới hạn — 4K và HDR có thể không khả dụng
  • Rủi ro Kernel Panic: cao hơn — phụ thuộc vào chất lượng mã bên thứ ba
  • Trường hợp dùng điển hình: driver pro-audio cũ như Soundflower, phần mềm ảo hóa cũ, VPN client doanh nghiệp cổ điển
Ngay khi AuxKC được nạp, Secure Enclave phát hiện kext receipt và VÔ HIỆU HÓA Apple Pay + giới hạn độ phân giải DRM. Đây là hành vi phần cứng — không thể tắt bằng bất kỳ cài đặt phần mềm nào.

Bonus Flag 2: Quản lý từ xa qua MDM

Ô vuông thứ hai — "Allow remote management of kernel extensions and automatic software updates" — được thiết kế cho môi trường doanh nghiệp do đội IT quản lý.

Thông thường ở Reduced Security, phê duyệt một kext mới đòi hỏi phải vào 1TR thủ công mỗi lần — hoàn toàn không thực tế khi vận hành ở quy mô lớn. Khi bật cờ này, hệ thống ủy quyền phê duyệt kext cho chứng chỉ MDM (Mobile Device Management) của tổ chức. Quản trị viên IT có thể đẩy lệnh phê duyệt kext từ xa xuống máy nhân viên mà không cần nhân viên thao tác phím cứng.

Cờ này đánh đổi một lớp xác thực vật lý lấy sự tiện lợi vận hành quy mô lớn. Đây là công cụ đúng đắn cho đội máy doanh nghiệp được quản lý tập trung nơi máy chủ MDM là neo tin cậy. Không phù hợp cho máy cá nhân.

So sánh ba trạng thái bảo mật

Mỗi dòng dưới đây so sánh Full Security, Reduced Security không tick ô vuông, và Reduced Security kết hợp bật ô vuông kext.

  • Cơ chế chữ ký OS — Full Security: Cá nhân hóa (TSS thời gian thực) | Reduced (không tick): Global Signatures | Reduced + Kext: Global Signatures
  • Hạ cấp macOS — Full Security: Bị chặn nếu Apple ngừng ký | Reduced (không tick): Được phép | Reduced + Kext: Được phép
  • Kext bên thứ ba — Full Security: Cấm tuyệt đối | Reduced (không tick): Cấm tuyệt đối | Reduced + Kext: Được phép qua AuxKC
  • Kernel nạp — Full Security: Chỉ Base System Kernel | Reduced (không tick): Chỉ Base System Kernel | Reduced + Kext: Base System Kernel + AuxKC
  • Apple Pay — Full Security: ✓ Hoạt động hoàn chỉnh | Reduced (không tick): ✓ Hoạt động hoàn chỉnh | Reduced + Kext: ✗ Bị vô hiệu hóa phần cứng
  • DRM (4K/HDR) — Full Security: ✓ Chất lượng tối đa | Reduced (không tick): ✓ Chất lượng tối đa | Reduced + Kext: ⚠ Bị giới hạn độ phân giải
  • Rủi ro lỗi hệ thống — Full Security: Thấp nhất (chỉ mã Apple) | Reduced (không tick): Thấp nhất (chỉ mã Apple) | Reduced + Kext: Cao hơn (mã bên thứ ba trong kernel)

Khi nào nên dùng mỗi chế độ

Khuyến nghị thực tế theo các tình huống sản xuất âm nhạc và pro audio phổ biến:

  • Phần lớn nhạc sĩ và producer: giữ nguyên Full Security. Driver audio hiện đại dùng System Extensions, không dùng kext — bạn không mất gì.
  • Cần chạy macOS cũ hơn cho plugin hoặc DAW legacy: chuyển Reduced Security (không tick ô vuông). Apple Pay và DRM vẫn nguyên vẹn.
  • Cần Soundflower hoặc driver kext cũ khác: chuyển Reduced Security và tick ô vuông kext — nhưng chấp nhận Apple Pay bị vô hiệu hóa phần cứng khi kext đang nạp.
  • Kiểm tra trước: BlackHole (bản thay thế Soundflower hiện đại) phát hành dưới dạng System Extension và không yêu cầu bật ô vuông kext. Ưu tiên dùng BlackHole thay Soundflower khi có thể.
  • Máy studio do IT quản lý: ô vuông MDM là công cụ đúng đắn — IT admin kiểm soát phê duyệt kext tập trung mà không cần đến từng máy.
  • Dual-boot Asahi Linux: Reduced Security (không tick ô vuông) là đủ để cho phép bootloader Asahi. Ô vuông kext không cần thiết cho bootloader.

Câu hỏi thường gặp

Tôi cài Soundflower hoặc BlackHole và macOS đang yêu cầu tôi cho phép kernel extension. Phải làm gì?

Vào System Settings → Privacy & Security, cuộn xuống phần Security, nhấn Allow bên cạnh thông báo kernel extension. macOS sẽ yêu cầu khởi động lại. Trước đó, bạn phải đã bật Reduced Security và tick ô vuông kext đầu tiên trong Startup Security Utility (nhấn giữ nút nguồn khi tắt máy để vào 1TR). Lưu ý: sau khi kext nạp, Apple Pay sẽ bị vô hiệu hóa phần cứng bởi SEP — đây là hành vi bình thường và không thể thay đổi khi kext còn hoạt động. Nếu cần giữ Apple Pay, hãy xem xét dùng BlackHole thay thế — phân phối dưới dạng System Extension, không cần thay đổi chính sách bảo mật.

Tại sao Apple Pay bị vô hiệu sau khi cài kext?

Secure Enclave (SEP) phát hiện cờ "kext receipt" ngay khi tiện ích mở rộng kernel bên thứ ba được nạp qua AuxKC. Vì SEP không thể xác minh kext không đang chặn bộ nhớ, chụp màn hình hay đánh cắp khóa mã hóa, nó vô hiệu hóa Apple Pay như một biện pháp bảo vệ phần cứng. Hành vi này được thực thi ở tầng chip và không thể tắt bằng bất kỳ cài đặt phần mềm nào — chỉ khôi phục khi kext được gỡ và AuxKC không còn nạp khi khởi động.

Reduced Security có kém an toàn hơn không cài gì không?

Reduced Security không tick ô vuông nào vẫn rất an toàn. Thay đổi duy nhất là chính sách chấp nhận phiên bản OS: hệ thống chuyển từ Personalized Signatures sang Global Signatures, cho phép các phiên bản macOS cũ hơn khởi động. Kernel vẫn bị khóa hoàn toàn với mã bên thứ ba, Apple Pay và DRM không bị ảnh hưởng. Sự giảm sút bảo mật thực sự đến từ ô vuông kext — không phải từ bản thân Reduced Security. Nếu bạn chỉ cần khả năng hạ cấp macOS, Reduced Security không tick ô vuông là lựa chọn đúng và rủi ro tối thiểu.