Политика безопасности mac os

Настройка защиты компьютера Mac

Здесь приведены советы по повышению безопасности Mac.

Используйте надежные пароли

Для сохранения безопасности Вашей информации защищайте Mac паролями, которые невозможно легко угадать. См. разделы Советы по созданию надежных паролей и Сведения об использовании паролей.

Требуйте пароль при входе в систему

Если другие люди имеют физический доступ к Вашему компьютеру, Вам следует настроить отдельную учетную запись для каждого, кто пользуется Вашим Mac, и обязать каждого пользователя входить в систему. Тем самым Вы предотвратите использование Вашего Mac посторонними. Кроме того, это разделит файлы пользователей, и доступ к личным данным и файлам будет только у их владельца. Пользователи не могут просматривать или изменять файлы и настройки других пользователей. См. раздел Настройка обычных, гостевых пользователей и групп.

Обезопасьте свой Mac, когда он находится в режиме простоя

Можно настроить компьютер Mac так, чтобы текущий пользователь выходил из системы после бездействия компьютера в течение определенного периода времени. Настройка автоматического выхода из системы Mac при простое компьютера. Также необходимо запрашивать пароль для вывода компьютера из режима сна или заставки. Использование пароля при выводе компьютера Mac из режима сна. Для удобства можно настроить активный угол, позволяющий мгновенно блокировать экран. См. раздел Использование активных углов.

Ограничьте количество пользователей с правами администратора

Права администратора на компьютере Mac могут иметь один или несколько человек. По умолчанию администратором Mac является человек, выполнивший его первоначальную настройку.

Администраторы могут создавать учетные записи других пользователей; управлять ими и удалять их; а также устанавливать, удалять приложения и изменять настройки. Поэтому администратору следует создавать обычные учетные записи для использования, когда не требуются права администратора. Если нарушена безопасность обычной учетной записи, потенциальный вред компьютеру значительно меньше, чем при нарушении безопасности учетной записи администратора. Если Mac используется несколькими пользователями, ограничьте число пользователей с правами администратора. См. раздел Настройка обычных, гостевых пользователей и групп.

Шифруйте данные на компьютере Mac с использованием FileVault

Если на Mac хранится личная или конфиденциальная информация, можно использовать шифрование FileVault для защиты файлов от просмотра и копирования. Функция FileVault шифрует информацию, хранящуюся на Mac, после чего ее можно прочесть, только введя пароль входа. См. раздел Как работает шифрование FileVault?

Источник

Управление политикой безопасности Загрузочного диска на компьютере Mac с чипом Apple

Обзор

В отличие от политик безопасности на компьютере Mac с процессором Intel политики безопасности на компьютере Mac с чипом Apple относятся к конкретной установленной операционной системе. Это означает, что на одном компьютере Mac может быть установлено несколько экземпляров macOS с разными версиями и политиками безопасности. Поэтому в Утилиту безопасной загрузки добавлен список выбора операционной системы.

Выбор хранилища macOS для изменения политики безопасности.

На компьютере Mac с чипом Apple утилита системной безопасности показывает общее состояние настроенной пользователем безопасности macOS, например загрузку расширения ядра или конфигурацию защиты целостности системы (SIP). Если изменение настроек безопасности приводит к значительному снижению уровня защиты или существенно упрощает вмешательство в систему, для внесения такого изменения пользователю необходимо будет войти в среду recoveryOS с помощью длительного нажатия кнопки питания (чтобы вредоносное программное обеспечение не могло передать сигнал; это сможет сделать только человек с физическим доступом). Поэтому компьютер Mac с чипом Apple также не требует (и не поддерживает) пароль прошивки, так как все критически важные изменения уже регулируются авторизацией пользователя. Подробнее о SIP см. в разделе Защита целостности системы.

Высший уровень безопасности или сниженный уровень безопасности можно задать с помощью Утилиты безопасной загрузки в среде recoveryOS. Режим низкого уровня безопасности может быть вызван только из командной строки для пользователей, которые решили существенно снизить уровень защиты своего Mac и принимают сопряженные с этим риски.

Политика «Высший уровень безопасности»

Высший уровень безопасности выбран по умолчанию и работает так же, как и в iOS и iPadOS. При загрузке и подготовке к установке такого программного обеспечения операционная система macOS вместо использования глобальной подписи, прилагаемой к программному обеспечению, обращается к тому же серверу подписания Apple, который используется для iOS и iPadOS, и запрашивает новую «персонализированную» подпись. Подпись называется персонализированной, если запрос на подписание содержит уникальный идентификатор чипа ECID — в данном случае уникальный идентификатор процессора Apple. В этом случае подпись, возвращаемая сервером подписания, является уникальной и может использоваться только этим конкретным процессором Apple. При использовании высшего уровня безопасности загрузочное ПЗУ и низкоуровневый загрузчик помогают убедиться в том, что подпись не просто предоставлена Apple, а предназначена для этого конкретного Mac, то есть что эта версия macOS привязана к этому Mac.

Выбор политики «Высший уровень безопасности» macOS.

Использование интернет-сервера подписания также обеспечивает лучшую защиту от атак методом отката, чем обычные подходы, в которых используются глобальные подписи. В системе на основе глобальных подписей новая эпоха безопасности может наступить несколько раз, но система, на которой никогда не была установлена последняя версия прошивки, этого не знает. Например, компьютер, который считает, что находится в эпохе безопасности 1, принимает программное обеспечение из эпохи безопасности 2, хотя на самом деле уже наступила эпоха безопасности 5. С системой интернет-подписания чипа Apple сервер подписания может отклонять запросы создания подписей от программного обеспечения, которое не соответствует последней эпохе безопасности.

Кроме того, если злоумышленник обнаружит уязвимость после смены эпохи безопасности, он не сможет просто взять уязвимое программное обеспечение из системы A, принадлежащей предыдущей эпохе, и с его помощью атаковать систему B. Тот факт, что уязвимое программное обеспечение из более ранней эпохи было персонализировано для системы A, помогает предупредить его передачу и, следовательно, его использование для атаки системы B. Совместное применение всех этих механизмов дает более твердую гарантию того, что злоумышленники не смогут преднамеренно поместить уязвимое программное обеспечение на компьютер, чтобы обойти средства защиты, предоставляемые новейшим программным обеспечением. Однако обладатель имени и пароля администратора Mac всегда может выбрать политику безопасности, которая наилучшим образом подходит для его ситуации.

Политика «Сниженный уровень безопасности»

Сниженный уровень безопасности аналогичен среднему уровню безопасности на компьютере Mac с процессором Intel и чипом T2, при этом поставщик (в данном случае Apple) генерирует цифровую подпись для кода, чтобы подтвердить, что этот код получен от поставщика. Эта мера помогает предотвратить добавление неподписанного кода злоумышленниками. Apple называет эту подпись «глобальной», поскольку ее можно использовать на любом компьютере Mac в течение любого периода времени, если в данный момент на компьютере Mac установлена политика «Сниженный уровень безопасности». Сниженный уровень безопасности сам по себе не обеспечивает защиту от атак методом отката, однако несанкционированное изменение операционной системы может привести к тому, что пользовательские данные станут недоступными. Подробнее см. в разделе Расширения ядра на компьютере Mac с чипом Apple.

Выбор политики «Сниженный уровень безопасности» macOS.

Помимо возможности запуска более ранних версий macOS, сниженный уровень безопасности требуется для выполнения других действий, таких как установка сторонних расширений ядра, в результате чего система пользователя подвергается риску. Расширения ядра имеют те же разрешения, что и само ядро, поэтому любые уязвимости в них могут привести к возникновению прямой угрозы для всей операционной системы. Именно поэтому разработчикам настоятельно рекомендуется переходить на расширения системы, прежде чем поддержка расширений ядра будет удалена из macOS для будущих компьютеров Mac с чипом Apple. Даже если возможность добавления сторонних расширений ядра включена, отдельные расширения невозможно загружать в ядро по запросу. Вместо этого расширения ядра объединяются во вспомогательную коллекцию ядра (AuxKC), хэш которой хранится в политике LocalPolicy, и поэтому затем требуется перезагрузка. Подробнее о создании AuxKC см. в разделе Расширения ядра в macOS.

Политика «Низкий уровень безопасности»

Низкий уровень безопасности предназначен для тех, кто принимает риск значительного снижения уровня защиты своего Mac. Данный режим отличается от политики «Функции безопасности отключены» на компьютере Mac с процессором Intel и чипом T2. В режиме низкого уровня безопасности по-прежнему выполняется проверка подписи и выполняется вся безопасная последовательность загрузки, однако переход в режим низкого режима безопасности сигнализирует загрузчику iBoot о том, что ему следует принять объекты загрузки с локальной подписью Secure Enclave, такие как сгенерированная пользователем загрузочная коллекция ядра, созданная на основе настраиваемого ядра XNU. Таким образом в режиме низкой безопасности на уровне архитектуры обеспечивается возможность запуска произвольного ядра «полностью ненадежной операционной системы». После загрузки настраиваемой загрузочной коллекции ядра или ненадежной операционной системы некоторые ключи дешифрования становятся недоступными. Эта мера направлена на то, чтобы исключить возможность доступа ненадежной операционной системы к данным надежных операционных систем.

Важно! Apple не предоставляет настраиваемые ядра XNU и не обеспечивает поддержку их использования.

Политика «Низкий уровень безопасности» также отличается от политики «Функции безопасности отключены» на компьютере Mac с процессором Intel и чипом T2 тем, что она необходима для ослабления ряда функций безопасности, которые в прошлом управлялись независимо. Особенно важно, что для отключения защиты целостности системы (SIP) на компьютере Mac с чипом Apple пользователь должен подтвердить, что намеренно задает для системы политику «Низкий уровень безопасности». Это необходимо, поскольку отключение SIP всегда облегчает взлом ядра системы. В частности, отключение SIP на компьютере Mac с чипом Apple приводит к отключению применения подписи расширения ядра во время создания AuxKC, в результате чего в память ядра можно загрузить произвольное расширение ядра. На компьютере Mac с чипом Apple защита SIP была усилена путем перемещения хранилища политик из энергонезависимой памяти в политику LocalPolicy. Теперь для отключения SIP требуется аутентификация, выполненная пользователем, у которого есть доступ к ключу подписания политики LocalPolicy, из среды recoveryOS, перейти в которую можно путем длительного нажатия кнопки питания. Это значительно усложняет отключение SIP для злоумышленников, использующих только программное обеспечение, а также и при наличии физического доступа к компьютеру.

Невозможно выбрать режим низкого уровня безопасности из Утилиты безопасной загрузки. Для снижения уровня безопасности пользователи должны использовать инструменты командной строки из Терминала в recoveryOS, например csrutil (для отключения SIP). Когда пользователь снижает уровень безопасности, этот факт отражается в Утилите безопасной загрузки, так что пользователь может легко установить более защищенный режим.

Примечание. Компьютер Mac с чипом Apple не требует и не поддерживает определенные политики загрузки с носителя, поскольку с технической точки зрения все загрузки выполняются локально. Если пользователь хочет выполнить загрузку с внешнего носителя, необходимо сначала персонализировать версию операционной системы, используя аутентифицированную перезагрузку из recoveryOS. При перезагрузке на внутреннем диске создается файл LocalPolicy, который используется для выполнения надежной загрузки из операционной системы, хранящейся на внешнем носителе. Это означает, что конфигурация загрузки с внешнего носителя всегда явным образом включается для конкретной операционной системы и уже требует авторизации пользователя, поэтому дополнительная безопасная конфигурация не нужна.

Источник

Безопасность встроена в систему.

Аппаратное и программное обеспечение Mac созданы с использованием продвинутых технологий, которые дополняют друг друга. Это позволяет приложениям работать более безопасно и защищать вашу конфиденциальность и личные данные в интернете. А после бесплатного обновления до macOS Big Sur ваш Mac сможет работать под управлением самой защищённой версии macOS.*

Лучше защита устройств —
лучше защита софта.

Единая архитектура безопасности.

Чип M1 со встроенным сопроцессором Secure Enclave обеспечивает на Mac работу тех же функций безопасности, что и на iPhone: он отвечает за защиту паролей, автоматическое шифрование данных и организацию системы шифрования на уровне файлов. Кроме того, чип Apple M1 защищает macOS во время работы — так же, как и в iOS на iPhone.

С каждым обновлением защита вашего Mac ещё надёжнее.

Лучший способ обеспечить защиту Mac — работать с последней версией программного обеспечения. Когда будут доступны обновления для вашей системы, macOS сообщит об этом. Либо настройте систему так, чтобы обновления устанавливались автоматически, пока вы не работаете на Mac. Система macOS ежедневно проверяет наличие обновлений и начинает их установку в фоновом режиме. У вас всегда будет самая новая и безопасная версия операционной системы — и это не потребует лишних усилий и времени.

Ещё более безопасный запуск приложений.

Защита данных — в основе Mac.

Огромную роль в обеспечении безопасности вашего Mac играют сложнейшие процессы защиты, встроенные в macOS. Прежде всего — передовая встроенная антивирусная защита. Она блокирует и удаляет вредоносное ПО. Такие технологии, как функция отключения выполнения (XD), Address Space Layout Randomization (ASLR) и защита целостности системы (SIP), снижают риск того, что вредоносное ПО причинит ущерб компьютеру, и не позволяют процессам с правами суперпользователя изменять ключевые системные файлы.

Скачивайте приложения безопасно. В Mac App Store и из интернета.

Теперь можно спокойно устанавливать любые приложения — как из Mac App Store, так и просто скачанные в интернете. Каждое приложение, попадающее в Mac App Store, предварительно проверяется. А с Gatekeeper на вашем Mac вы можете быть уверены, что все приложения из интернета были проверены компанией Apple на наличие известных вредоносных кодов, до того как вы их запустите в первый раз. Если с приложением что‑то не так, Apple сразу отменит установку и даже заблокирует приложение, чтобы вы не смогли запустить его снова.

Ваши данные. Ваши правила.

Контролируйте доступ приложений к вашим данным.

Приложения могут получить доступ к папкам «Документы», «Загрузки» и «Рабочий стол», а также к iCloud Drive и внешним томам только с вашего разрешения. И ни одно приложение не получит доступ к вашей камере, микрофону, клавиатуре и не сможет сделать снимок или видеозапись экрана без вашего одобрения.

FileVault 2 шифрует ваши данные.

Шифрование FileVault 2 обеспечит защиту данных, даже если ваш Mac попадёт в чужие руки. FileVault 2 шифрует весь накопитель Mac, используя стандарт XTS‑AES 128 для обеспечения безопасности данных. У компьютеров Mac с чипом Apple M1 ещё больше функций обеспечения конфиденциальности. Как и iPhone, они используют выделенные аппаратные средства для защиты ваших паролей и выполняют шифрование на уровне файлов. Этой возможностью смогут пользоваться разработчики.

Safari желает вам безопасного интернета.

На защите ваших данных.

Конфиденциальность в интернете не просто желательна, а обязательна. Поэтому в браузере Safari используются мощные технологии защиты персональной информации. В частности, он оснащён интеллектуальной защитой от сбора данных, позволяющей обнаруживать и блокировать любые попытки слежения и сбора сведений о вас. А новый еженедельный отчёт о конфиден­циальности, размещённый на стартовой странице, поможет узнать, как именно Safari защищает ваши личные данные на всех сайтах, которые вы посещаете. Нажмите на панели инструментов Safari кнопку для создания отчёта о конфиденциальности и получите информацию обо всех случаях блокировки попыток сбора информации о вас на текущей веб‑странице.

Автоматическая
защита от взлома.

Браузер Safari позволяет сохранить любой пароль в Связке ключей iCloud. Добавленные в неё пароли будут доступны вам на всех ваших устройствах. А если какой‑то из них окажется скомпрометирован, вы сразу узнаете об этом благодаря Проверке паролей. Кроме того, Safari блокирует загрузку подозрительных сайтов и предупреждает вас о возможной угрозе. Браузер создаёт отдельный процесс для каждой веб‑страницы. Поэтому вредоносный код, который может присутствовать на одной из них, не выходит за пределы вкладки – а значит, не сможет нарушить работу браузера или получить доступ к вашим данным.

Источник