Как разрешить и активировать kernel extensions (kext) на Mac с Apple silicon

К чему сводится цель

• Цель: разрешить и активировать kext, который устанавливается вместе с приложением.
• Предпосылки: у вас есть учётная запись администратора и резервная копия важных данных.

Шаг 1 — войдите в macOS Recovery

1. Выключите Mac.
2. Нажмите и удерживайте Power (кнопку питания), затем включите Mac и продолжайте держать кнопку, пока не появится сообщение «Loading startup options».
3. Дождитесь экрана Startup Options.
4. Выберите Options > Continue.
5. Выберите учётную запись администратора и введите пароль, чтобы загрузить macOS Recovery.

Важно: если вы используете корпоративный или учебный Mac с управлением (MDM), некоторые параметры могут быть заблокированы. Свяжитесь с IT прежде чем менять политику безопасности.

Шаг 2 — разрешите kernel extensions (в Recovery)

1. В macOS Recovery в верхнем меню выберите Utilities > Startup Security Utility.
2. В окне выберите ваш загрузочный диск.
3. Нажмите кнопку Security Policy.
4. Выберите радиокнопку рядом с Reduced Security.
5. Установите галочку Allow user management of kernel extensions from identified developers.
6. Нажмите OK, введите пароль администратора и нажмите Continue.
7. Откройте меню Apple и выберите Restart, чтобы перезагрузить Mac.

Примечание: «Reduced Security» снижает некоторые проверки, чтобы позволить загрузку kext от сертифицированных разработчиков. Это не означает полную отмену всех мер безопасности.

Шаг 3 — активируйте kext через Системные настройки

1. После загрузки macOS откройте приложение System Preferences.
2. Перейдите в Security & Privacy.
3. Нажмите на значок Lock и введите пароль администратора, чтобы внести изменения.
4. В разделе, где появляется сообщение о заблокированном расширении ядра, нажмите Allow.
5. После разрешения перезагрузите Mac и дождитесь полной загрузки.

Важно: пункт Allow доступен только короткое время после попытки установки kext. Если вы его пропустили, повторите процесс установки/попробуйте переустановить расширение.

Откат — как вернуть исходную политику безопасности

1. Снова войдите в macOS Recovery (см. Шаг 1).
2. Откройте Utilities > Startup Security Utility.
3. Выберите загрузочный диск и нажмите Security Policy.
4. Выберите Full Security (или стандартную политику, рекомендуемую Apple).
5. Нажмите OK и перезагрузите Mac.

Рекомендация: возвращайте политику безопасности сразу после завершения работы с kext, чтобы восстановить максимальную защиту.

Критерии приёмки

• kext установился без ошибок и система загрузилась нормально.
• Не наблюдается падений ядра, утечек памяти или нестабильности драйверов.
• Приложение, полагающееся на kext, выполняет свои функции.

Если хотя бы один пункт не выполнен — удалите kext и восстановите политику безопасности.

Риски и меры снижения

• Риск: вредоносный или нестабильный kext может нарушить целостность системы.
  • Митигирующие меры: устанавливайте только от проверенных разработчиков; проверяйте цифровые подписи; держите резервную копию.
• Риск: уязвимости уровня ядра могут обойти защиту песочницы.
  • Митигирование: после завершения работы откатите политику в Full Security.
• Риск: несовместимость с будущими обновлениями macOS.
  • Митигирование: ограничьте использование и проверяйте совместимость перед обновлением.

Короткий план действий для разных ролей

• Администратор (IT): подтвердите доверие поставщика, выполните процедуру в одно окно обслуживания и верните политику обратно. Документируйте изменения.
• Разработчик драйверов: тестируйте kext в виртуальной среде и на тестовом оборудовании. Используйте подписи разработчика.
• Обычный пользователь: не выполняйте шаги без необходимости. Попросите помощи специалиста.

Runbook — быстрый порядок действий при проблемах

1. Если система не загружается после установки kext — перезагрузитесь в Recovery и восстановите политику Full Security.
2. Загрузитесь в безопасном режиме (Safe Mode) и удалите проблемный kext.
3. Восстановите из резервной копии при необходимости.
4. Сообщите разработчику kext лог ошибки и системный профиль.

1‑строчный глоссарий

• kext — kernel extension, модуль ядра macOS, который расширяет функциональность системы на низком уровне.
• macOS Recovery — встроенная среда восстановления для обслуживания и восстановления macOS.
• Reduced Security / Full Security — режимы политики запуска и проверки целостности, управляемые Startup Security Utility.

Когда этого НЕ следует делать (контрпримеры)

• На корпоративном устройстве под управлением MDM без одобрения IT.
• Если источник kext неизвестен или вызывает сомнения в безопасности.
• Если важные данные не защищены резервной копией.

Шаблон проверки (checklist) перед началом

• Резервная копия Time Machine или другая резервная копия создана.
• Понимаю происхождение kext и доверяю разработчику.
• Есть доступ администратора.
• План отката подготовлен.

Короткое объявление (для внутренних каналов, 100–200 слов)

Если ваше приложение требует загрузки kernel extension на Mac с Apple silicon, мы временно понизим политику безопасности через macOS Recovery, разрешим управление kext разработчиками и активируем расширение в Системных настройках. Это позволит приложению работать корректно. После завершения работы мы восстановим политику безопасности до уровня Full Security. Важно: выполняйте шаги только на доверенных машинах и только для проверенных kext. Перед началом создайте резервную копию и согласуйте действия с IT при корпоративных устройствах.

Итог

Разрешение и активация kext на Mac с Apple silicon требует аккуратности: используйте macOS Recovery для изменения политики безопасности, затем подтвердите расширение в Системных настройках и обязательно откатите изменения после использования. Если сомневаетесь — проконсультируйтесь с IT или разработчиком драйвера.

Важно: kernel extensions выполняются с привилегиями ядра — включайте их только для проверенных и подписанных модулей.