Разрешение загрузки расширений ядра kext на Mac с Apple Silicon

Кратко

Зачем это нужно

Kernel extensions (kext) — это модульные расширения ядра macOS, которые дают программам низкоуровневый доступ к системе (например, драйверы сетевых адаптеров, VPN, файловые фильтры). По умолчанию современные версии macOS блокируют сторонние kext на Apple Silicon ради безопасности. Если у приложения есть законная необходимость в kext и разработчик доверенный, можно временно разрешить их загрузку, изменив политику безопасности.

Важно: kext работают на самом высоком уровне привилегий. Непроверенные расширения могут скомпрометировать систему.

Шаг 1. Вход в macOS Recovery

Начните с загрузки в macOS Recovery на Mac с Apple Silicon.

1. Выключите Mac.
2. Включите Mac и удерживайте Power, пока на экране не появится сообщение Loading startup options.
3. Дождитесь экрана Startup Options.
4. Выберите Options > Continue.
5. Выберите учётную запись администратора Mac и введите пароль, чтобы загрузить macOS Recovery.

Шаг 2. Разрешить расширения ядра в Startup Security Utility

В macOS Recovery откройте утилиту управления безопасностью загрузки и измените политику на более свободную.

1. В строке меню выберите Utilities > Startup Security Utility.
2. Выберите диск загрузки и нажмите кнопку Security Policy.
3. Установите переключатель на Reduced Security. Затем отметьте флажок Allow user management of kernel extensions from identified developers.
4. Нажмите OK, введите пароль администратора и нажмите Continue.
5. Откройте меню Apple menu, выберите Restart и позвольте Mac загрузиться обычно.

Шаг 3. Активировать установленные kext

После перезагрузки запустите приложение, которое поставило kext, и завершите включение из системных настроек.

1. Откройте приложение System Preferences.
2. Перейдите в раздел Security & Privacy.
3. Нажмите на значок Lock и введите пароль администратора, чтобы внести изменения.
4. Нажмите Allow рядом с уведомлением о расширении от разработчика.
5. Перезагрузите Mac — система загрузит и активирует kext.

Разрешайте только доверенные расширения ядра

Kernel extensions имеют доступ к ядру системы. Разрешайте только те kext, которым вы доверяете и которые приходят от проверенных разработчиков. Если вы сомневаетесь, не давайте разрешение.

Важно

• Отключайте Reduced Security после завершения работы с kext, чтобы вернуть более жёсткую защиту.
• Некоторые kext могут требовать подписи или дополнительных шагов со стороны разработчика.

Как откатить изменения и вернуть стандартную политику

1. Загрузитесь в macOS Recovery, как в Шаге 1.
2. Откройте Utilities > Startup Security Utility.
3. Выберите диск и нажмите Security Policy.
4. Поставьте переключатель обратно на более строгую политику (Full Security) или предыдущую настройку.
5. Нажмите OK и перезагрузите Mac.

Чек-лист перед изменением политики безопасности

• Убедитесь, что у вас есть резервная копия Time Machine или другой бэкап.
• Проверьте, что разработчик kext — официальный поставщик и имеет хорошую репутацию.
• Убедитесь, что kext требуется именно для вашей задачи (драйверы, VPN и т.д.).
• Задокументируйте, какие расширения вы разрешили и на какой срок.

Чек-лист для ролей

Администратор:

• Проверить цифровую подпись kext и сайт разработчика.
• Установить и проверить совместимость с macOS текущей версии.
• Документировать изменения политики.

Пользователь:

• Сообщить администратору о необходимости kext.
• Не нажимать Allow без подтверждения от IT.

Критерии приёмки

• kext загружены и функционируют после перезагрузки.
• Нет предупреждений о повреждении системы или конфликтов в журнале консоли.
• Политика безопасности возвращена в исходное строгое состояние после использования.

Матрица рисков и меры смягчения

• Риск: вредоносный kext. Мера: разрешать только проверенным разработчикам и иметь резервную копию.
• Риск: несовместимость с новой версией macOS. Мера: тестировать на отдельной машине или в контролируемой среде.
• Риск: нарушение корпоративной политики безопасности. Мера: согласовать изменения с отделом безопасности.

Когда это не сработает

• Если kext устарел и несовместим с текущей версией macOS.
• Если разработчик не подписал расширение должным образом.
• Если аппаратно заблокированы дополнительные уровни защиты (например, MDM-политики).

Минимальная методология безопасности при работе с kext

1. Проверка разработчика и подписи.
2. Резервное копирование данных.
3. Временная активация Reduced Security только на время установки.
4. Мониторинг системы и журналов после установки.
5. Откат политики безопасности и удаление ненужных kext.

Частые вопросы

Что такое kext и зачем они нужны?

Kext — это расширения ядра macOS. Они предоставляют низкоуровневый доступ к оборудованию и системным функциям для драйверов и некоторых системных утилит.

Безопасно ли разрешать kext?

Разрешение само по себе безопасно, если kext поставлен надёжным разработчиком и вы понимаете, зачем он нужен. Всегда имейте резервную копию и возвращайте политику безопасности после использования.

Как удалить kext, если он вызывает проблемы?

Удаляйте kext по инструкциям разработчика (обычно в установщике есть опция удаления) или вручную удалите соответствующие файлы и перезагрузите систему. При сложностях обратитесь в службу поддержки разработчика.

Краткое резюме

• Загрузитесь в macOS Recovery и откройте Startup Security Utility.
• Включите Reduced Security с разрешением управления kext от идентифицированных разработчиков.
• После установки активируйте расширения в System Preferences > Security & Privacy и перезагрузите Mac.
• Возвращайте политику безопасности в исходное состояние и разрешайте только доверенные kext.

Соблюдайте осторожность: kext работают на уровне ядра и могут повлиять на безопасность и стабильность системы.