macOS — это операционная система Unix, разработанная Apple для компьютеров Mac. Чтобы улучшить конфиденциальность в macOS, вы можете отключить функции телеметрии и ужесточить существующие настройки конфиденциальности и безопасности.
Старые компьютеры Mac и Hackintosh на базе Intel не поддерживают все функции безопасности, которые предлагает macOS. Для повышения безопасности данных мы рекомендуется использовать более новый Mac с Apple Silicon
Примечания о конфиденциальности
Есть несколько заметных проблем с конфиденциальностью в macOS, которые вам следует учитывать. Они относятся к самой операционной системе, а не к другим приложениям и службам Apple.Блокировка активации
Совершенно новые устройства Apple Silicon можно настроить без подключения к Интернету. Однако для восстановления или сброса настроек Mac потребуется подключение к Интернету на серверах Apple для проверки по базе данных Activation Lock потерянных или украденных устройств.Проверки отзыва приложений
При открытии приложения macOS выполняет онлайн-проверки, чтобы убедиться, что приложение не содержит известных вредоносных программ и не отозван ли сертификат подписи разработчика.Служба OCSP от Apple использует HTTPS- шифрование, поэтому только они могут видеть, какие приложения вы открываете. Они опубликовали информацию о своей политике ведения журнала для этой службы. Они также обещали добавить механизм, позволяющий людям отказаться от этой онлайн-проверки, но он не был добавлен в macOS.
Хотя вы можете относительно легко вручную отказаться от этой проверки, мы не рекомендуем этого делать, если только вы не хотите быть серьезно скомпрометированы проверками отзыва, выполняемыми macOS, поскольку они играют важную роль в блокировке запуска скомпрометированных приложений.
Рекомендуемая конфигурация
При первой настройке Mac ваша учетная запись будет учетной записью администратора, которая имеет более высокие привилегии, чем учетная запись обычного пользователя. В macOS предусмотрен ряд мер защиты, которые не позволяют вредоносным программам и другим программам злоупотреблять вашими привилегиями администратора, поэтому, как правило, использовать эту учетную запись безопасно.Однако в прошлом sudo были обнаружены эксплойты в защитных утилитах, таких как . Если вы хотите избежать возможности того, что программы, которые вы запускаете, злоупотребляют вашими привилегиями администратора, вы можете рассмотреть возможность создания второй учетной записи стандартного пользователя, которую вы используете для повседневных операций. Это имеет дополнительное преимущество, поскольку делает более очевидным, когда приложению требуется доступ администратора, поскольку оно будет запрашивать у вас учетные данные каждый раз.
Если вы используете вторую учетную запись, вам не обязательно когда-либо входить в свою исходную учетную запись администратора с экрана входа в macOS. Когда вы делаете что-то как стандартный пользователь, требующее прав администратора, система должна запросить у вас аутентификацию, где вы можете ввести свои учетные данные администратора как стандартный пользователь на однократной основе. Apple предоставляет руководство по скрытию учетной записи администратора, если вы предпочитаете видеть только одну учетную запись на экране входа.
iCloud
Когда вы пользуетесь сервисами Apple, такими как iCloud, большая часть вашей информации хранится на их серверах и защищена ключами, к которым Apple имеет доступ по умолчанию. Это называется Стандартной защитой данных Apple.Поэтому, если вы используете iCloud, вам следует включить Advanced Data Protection . Это шифрует почти все ваши данные iCloud с помощью ключей, хранящихся на ваших устройствах (сквозное шифрование), а не на серверах Apple, так что ваши данные iCloud защищены в случае утечки данных и в противном случае скрыты от Apple.
Если вы хотите иметь возможность устанавливать приложения из App Store, но не хотите включать iCloud, вы можете войти в свою учетную запись Apple из App Store, а не из Системных настроек .
Системные настройки
Есть ряд встроенных настроек, которые следует подтвердить или изменить, чтобы укрепить систему. Откройте приложение «Настройки» :Bluetooth
- Снимите флажок Bluetooth (если вы в данный момент им не пользуетесь)
Сеть
В зависимости от того, используете ли вы Wi-Fi или Ethernet (обозначается зеленой точкой и словом «подключено»), нажмите на соответствующий значок.Нажмите кнопку «Подробнее» рядом с именем вашей сети:
- Выберите «Ротация» в разделе «Частный адрес Wi-Fi».
- Проверьте ограничение отслеживания IP- адресов
Брандмауэр
Ваш брандмауэр блокирует нежелательные сетевые соединения. Чем строже настройки брандмауэра, тем более защищен ваш Mac. Однако некоторые службы будут заблокированы. Вам следует настроить брандмауэр так, чтобы он был максимально строгим, не блокируя используемые вами службы.- Проверить брандмауэр
- Установите флажок Блокировать все входящие соединения.
Общий
По умолчанию имя вашего устройства будет выглядеть примерно так: "[your name]'s iMac". Поскольку это имя публично транслируется в вашей сети, вам нужно будет изменить имя вашего устройства на что-то общее, например "Mac".Нажмите «О программе» и введите желаемое имя устройства в поле «Имя» .
Обновления программного обеспечения
Вам следует автоматически установить все доступные обновления, чтобы убедиться, что на вашем Mac установлены последние исправления безопасности.Нажмите на маленькую кнопкузначок рядом с автоматическими обновлениями :
- Проверить Проверить наличие обновлений
- Проверьте загрузку новых обновлений, когда они появятся
- Проверьте установку обновлений macOS
- Проверьте установку обновлений приложений из App Store.
- Проверьте установку ответов безопасности и системные файлы
Конфиденциальность и безопасность
Всякий раз, когда приложение запрашивает разрешение, оно будет отображаться здесь. Вы можете решить, каким приложениям вы хотите разрешить или запретить определенные разрешения.Услуги определения местоположения
Вы можете индивидуально разрешить службы определения местоположения для каждого приложения. Если вам не нужно, чтобы приложения использовали ваше местоположение, полное отключение служб определения местоположения является наиболее приватным вариантом.- Снимите флажок «Службы определения местоположения».
Аналитика и улучшения
Решите, хотите ли вы делиться аналитическими данными с Apple и разработчиками.- Снимите флажок «Поделиться аналитикой Mac»
- Снимите флажок «Улучшить Siri и Диктовку».
- Снимите флажок «Поделиться с разработчиками приложения».
- Снимите флажок «Поделиться аналитикой iCloud» (отображается, если вы вошли в iCloud)
Реклама Apple
Решите, хотите ли вы получать персонализированную рекламу на основе ваших действий.- Снимите флажок «Персонализированная реклама».
FileVault
На современных устройствах с Secure Enclave (Apple T2 Security Chip, Apple Silicon) ваши данные всегда зашифрованы, но автоматически расшифровываются аппаратным ключом, если устройство не обнаруживает, что оно было взломано. Включение FileVault дополнительно требует ввода пароля для расшифровки данных, что значительно повышает безопасность, особенно при выключенном питании или перед первым входом в систему после включения питания.На старых компьютерах Mac на базе процессоров Intel FileVault — единственная форма шифрования диска, доступная по умолчанию, и ее всегда следует включать.
- Нажмите « Включить».
Режим блокировки
Режим блокировки отключает некоторые функции для повышения безопасности. Некоторые приложения или функции не будут работать так же, как при выключенном режиме, например, JIT и WASM отключаются в Safari при включенном режиме блокировки. Мы рекомендуем включить режим блокировки и посмотреть, окажет ли он существенное влияние на использование, со многими изменениями, которые он вносит, легко жить.- Нажмите « Включить».
Рандомизация MAC- адресов
При сканировании Wi-Fi в отключенном от сети режиме macOS использует случайный MAC- адрес.Вы можете настроить свой MAC- адрес так, чтобы он выбирался случайным образом для каждой сети и периодически менялся, чтобы предотвратить отслеживание между сетями и в одной и той же сети с течением времени.
Перейдите в Системные настройки → Сеть → Wi-Fi → Подробности и установите для частного адреса Wi-Fi значение Фиксированный , если вам нужен фиксированный, но уникальный адрес для сети, к которой вы подключены, или Чередующийся, если вы хотите, чтобы он менялся со временем.
Подумайте также об изменении имени хоста, которое является другим идентификатором устройства, транслируемым в сети, к которой вы подключены. Вы можете задать имя хоста на что-то общее, например «MacBook Air», «Laptop», «John's MacBook Pro» или «iPhone» в Системных настройках → Общие → Общий доступ . Некоторые скрипты конфиденциальности позволяют вам легко генерировать имена хостов со случайными именами.
Меры безопасности
macOS использует глубокую защиту, полагаясь на несколько уровней программной и аппаратной защиты с различными свойствами. Это гарантирует, что сбой на одном уровне не поставит под угрозу общую безопасность системы.Безопасность программного обеспечения
Подписанный системный том
Системные компоненты macOS защищены в подписанном системном томе, доступном только для чтения, что означает, что ни вы, ни вредоносное ПО не сможете изменить важные системные файлы.Системный том проверяется во время работы, и любые данные, не подписанные действительной криптографической подписью Apple, будут отклонены.
Защита целостности системы
macOS устанавливает определенные ограничения безопасности, которые нельзя обойти. Они называются обязательными элементами управления доступом и составляют основу песочницы, родительского контроля и защиты целостности системы в macOS.System Integrity Protection делает критические расположения файлов доступными только для чтения, чтобы защитить от модификации вредоносным кодом. Это поверх аппаратной Kernel Integrity Protection, которая не допускает изменения ядра в памяти.
Безопасность приложений
Песочница приложений
В macOS разработчик определяет, находится ли приложение в песочнице, когда подписывает его. Песочница приложений защищает от уязвимостей в приложениях, которые вы запускаете, ограничивая то, к чему злоумышленник может получить доступ в случае, если приложение будет использовано. Песочница приложений сама по себе не может защитить от атаки на цепочки поставок со стороны вредоносных разработчиков. Для этого песочница должна быть реализована кем-то другим, а не самим разработчиком, как это происходит в App Store.
Кроме того, вы можете проверить приложения перед их запуском, выполнив следующую команду в терминале:
% codesign -dvvv --entitlements - <path to your app>
Если приложение находится в песочнице, вы должны увидеть следующий вывод:
[Key] com.apple.security.app-sandbox
[Value]
[Bool] true
Если вы обнаружите, что приложение, которое вы хотите запустить, не изолировано, вы можете использовать методы разделения , такие как виртуальные машины или отдельные устройства, использовать похожее приложение, которое изолировано, или вообще не использовать неизолированное приложение.
Усиленная среда выполнения
Hardened Runtime — это дополнительная форма защиты приложений, которая предотвращает определенные классы эксплойтов. Она повышает безопасность приложений от эксплуатации, отключая определенные функции, такие как JIT.Проверить, использует ли приложение защищенную среду выполнения, можно с помощью этой команды:
codesign --display --verbose /path/to/bundle.app
Если Hardened Runtime включен, вы увидите flags=0x10000(runtime). runtimeВывод означает, что Hardened Runtime включен. Могут быть и другие флаги, но флаг runtime — это то, что мы здесь ищем.
Вы можете включить столбец в Activity Monitor под названием «Restricted» — это флаг, который запрещает программам внедрять код через динамический компоновщик macOS . В идеале здесь должно быть указано «Yes».
Антивирус
В macOS реализованы две формы защиты от вредоносных программ:- Защита от запуска вредоносного ПО в первую очередь обеспечивается процессом проверки App Store для приложений App Store или нотаризацией (часть Gatekeeper ), процессом, в котором сторонние приложения сканируются Apple на наличие известного вредоносного ПО, прежде чем им будет разрешено работать. Разработчики должны подписывать приложения с помощью ключа, предоставленного им Apple. Это гарантирует, что вы запускаете программное обеспечение от настоящих разработчиков. Нотаризация также требует, чтобы разработчики включили Hardened Runtime для своих приложений, что ограничивает методы эксплуатации.
- Защиту от других вредоносных программ и устранение существующих вредоносных программ в вашей системе обеспечивает XProtect — более традиционное антивирусное программное обеспечение, встроенное в macOS.
Резервные копии
В macOS установлено программное обеспечение для автоматического резервного копирования Time Machine , поэтому вы можете создавать зашифрованные резервные копии на внешнем диске или сетевом диске в случае повреждения/удаления файлов.Безопасность оборудования
Многие современные функции безопасности в macOS, такие как современная безопасная загрузка, устранение эксплойтов на уровне оборудования, проверки целостности ОС и шифрование на основе файлов, основаны на Apple Silicon, а новое оборудование Apple всегда имеет лучшую безопасность . Мы рекомендуем использовать только Apple Silicon, а не старые компьютеры Mac на базе Intel или Hackintoshes.Некоторые из этих современных функций безопасности доступны на старых компьютерах Mac на базе процессоров Intel с чипом безопасности Apple T2, но этот чип уязвим для эксплойта checkm8 , который может поставить под угрозу его безопасность.
Если вы используете аксессуары Bluetooth, такие как клавиатура, мы рекомендуем вам использовать официальные Apple, поскольку их прошивка будет автоматически обновляться для вас macOS. Использование сторонних аксессуаров допустимо, но вы должны помнить о необходимости регулярно устанавливать обновления прошивки для них.
SoC от Apple нацелены на минимизацию поверхности атаки за счет делегирования функций безопасности выделенному оборудованию с ограниченной функциональностью.
Загрузочное ПЗУ
macOS предотвращает сохранение вредоносного ПО, позволяя запускать только официальное программное обеспечение Apple во время загрузки; это известно как безопасная загрузка. Компьютеры Mac проверяют это с помощью небольшого количества памяти только для чтения на SoC , называемой загрузочным ПЗУ, которая закладывается во время производства чипа.Загрузочное ПЗУ формирует аппаратный корень доверия. Это гарантирует, что вредоносное ПО не сможет вмешаться в процесс загрузки. Когда ваш Mac загружается, загрузочное ПЗУ — это первое, что запускается, формируя первое звено в цепочке доверия.
Компьютеры Mac можно настроить для загрузки в трех режимах безопасности: Full Security , Reduced Security и Permissive Security , при этом по умолчанию используется Full Security. В идеале следует использовать режим Full Security и избегать таких вещей, как расширения ядра , которые заставляют вас понижать режим безопасности. Обязательно проверьте , что вы используете режим Full Security.
Безопасный Анклав
Secure Enclave — это чип безопасности, встроенный в устройства с Apple Silicon, который отвечает за хранение и генерацию ключей шифрования для данных в состоянии покоя, а также данных Face ID и Touch ID. Он содержит собственную отдельную загрузочную ПЗУ.Secure Enclave можно рассматривать как центр безопасности вашего устройства: он оснащен механизмом шифрования AES и механизмом для безопасного хранения ключей шифрования, а также отделен от остальной системы, поэтому даже если основной процессор будет скомпрометирован, он все равно останется в безопасности.
Сенсорный идентификатор
Функция Touch ID от Apple позволяет безопасно разблокировать ваши устройства с помощью биометрии.Ваши биометрические данные никогда не покидают вашего устройства; они хранятся только в Secure Enclave.
Отключение аппаратного микрофона
Все ноутбуки с чипом Apple Silicon или T2 оснащены аппаратным отключением встроенного микрофона при закрытии крышки. Это означает, что злоумышленник не сможет прослушать микрофон вашего Mac, даже если операционная система скомпрометирована.Обратите внимание, что камера не имеет аппаратного отключения, поскольку при закрытой крышке обзор в любом случае затруднен.
Безопасность периферийного процессора
Помимо основного ЦП, в компьютерах имеются встроенные процессоры, которые отвечают за работу в сети, графику, управление питанием и т. д. Эти процессоры могут иметь недостаточную безопасность и подвергаться риску, поэтому Apple старается свести к минимуму необходимость использования этих процессоров в своем оборудовании.Когда необходимо использовать один из этих процессоров, Apple работает с поставщиком, чтобы гарантировать, что процессор
- запускает проверенную прошивку с основного ЦП при запуске
- имеет собственную цепочку Secure Boot
- соответствует минимальным криптографическим стандартам
- обеспечивает надлежащий отзыв заведомо неисправной прошивки
- отладочные интерфейсы отключены
- подписано криптографическими ключами Apple
