您可以在您的苹果在启动时确保它。这是使用它们确保Mac和数据安全的方法。
计算机安全是当今数字世界中的重要主题,大多数电子设备在某种程度上都有风险。
苹果已经竭尽全力使其平台安全,但是攻击者仍然可以通过某些方式闯入,窃取数据并损害苹果系统。
始终牢记没有完美的安全性。
您能做的最好的方法是最大程度地减少设备或系统的攻击表面使威胁参与者尽可能难以进入系统。
从一开始,苹果就制作了macos非常安全。它是世界上最安全的操作系统之一。
ios和TVOS设备更加安全,因为它们只能从Apple策划的软件中加载软件应用商店。也就是说,除非设备的安全性使用非法越狱软件。
还请记住,至少在美国,越狱计算设备违反了《数字千年版权法》。这使它成为联邦犯罪。
启动向量
对计算设备进行攻击的最脆弱点之一是该设备首次启动时。
大多数计算机,包括智能手机和平板电脑,都可以在电动运行期间经过一个流程启动式系带。在此过程中,操作系统尚未加载 - 设备上的软件很少。
在这一点上,攻击者可以执行各种攻击来规避操作系统。他们还可以安装恶意软件,例如病毒,特洛伊木马程序和固件,以允许自定义代码运行,甚至损坏设备。
安全飞地是设备中使用硬件和加密保护设备的硬件的保护区域。
出于历史原因,MAC不如iOS设备那么安全,因此威胁参与者可以在早期的Mac上安装软件,从而损害其安全性。
后来包含Intel CPU的Mac包括一个T2安全芯片,以避免这些问题。M2-基于苹果硅Mac和后来内置了一个安全的飞地。
包含T2芯片的Mac的存储设备加密与其硬件绑定的键,以提供额外的安全性。
这意味着在基于T2的MAC上恢复丢失或损坏的文件很困难。任何试图恢复加密存储量的实用程序都必须知道如何使用与Mac硬件绑定的安全密钥。
出于明显的原因,苹果公司没有发布文档。
在Apple Silicon Macs上,所有MacOS启动磁盘量均已加密。苹果称它们为签名的系统量。
Apple Silicon Mac不会在签名的系统量上执行任何系统文件,这些系统量没有Apple的有效加密签名。
这使得更难篡改MacOS系统文件,并且仍然可以在Apple Silicon Mac上运行。
启动磁盘
但是,Macs上最大的攻击向量之一是启动磁盘本身。
当您的Mac启动时,它首先加载一些固件,靴子ROM,为其所有内部系统供电。然后,它运行一些固件来初始化内容,例如显示和网络。
此代码大部分都包含在Mac本身的硬件中。
然后,Mac Boot ROM将固件移交给另外两个固件:LLB Andiboot。
Iboot实际上有两个部分,如果第二部分确认一切都很好,它会寻找内部或附加的存储设备来加载MacOS内核。
这是可能出现安全问题的地方。
启动过程中最大的安全风险也许是通过USB,Thunderbolt或网络端口可以随意连接其他存储设备。
签名的系统量确保只能启动有效版本的MACOS。但是,此时仍然有可能向行为者注入恶意代码的可能性。
但是请始终记住,除非您的Mac的启动序列受到保护,否则任何威胁参与者都可以简单地将外部设备附加到其上,重新启动MAC,然后迫使其启动到该设备。
一般而言,有多种方法可以密码保护您的启动磁盘和Mac,这将在稍后讨论。
一旦启动到外部设备,演员就可以复制和窃取文件,在Mac上种植恶意代码,甚至将其用作远程终端,以通过Internet进行网络战。
包括苹果在内的许多公司仅通过将文件复制到外部设备而被工业间谍偷走了。
甚至苹果的汽车项目秘密被盗这边走。
您可以通过几种方法保护Mac。使用内置的Apple软件,您可以:
- 使用初创公司安全实用程序
- 使用安全的引导和外部启动
- 禁止从外部设备引导
- 密码在启动时保护您的Mac
- 限制用户和登录密码
- 密码保护一个或多个存储设备
- 以安全模式启动
- 使用锁定模式
- 使用MDM远程锁定Mac
这启动安全实用程序是一个Apple Apple添加到MACOS的App,从包括T2安全芯片和更高版本的MAC开始。
在带有T2芯片的Mac上,您可以设置固件密码,如果Mac支持它。
固件密码会停止引导过程,并在加载操作系统之前提示用户输入密码。
使用启动安全实用程序,您可以设置固件密码,启用安全启动或启用/禁用外部启动。最后两个选项需要T2芯片。
要在Intel Mac上运行启动安全实用程序,请在Mac上电源并按住命令()-r在键盘上。这进入MacOS恢复。
MacOS恢复是一个特殊的应用程序,它属于Mac的固件中,并允许访问MACOS的某些部分,例如安装程序,磁盘实用程序,终端和启动安全实用程序。
当您按住键盘上的命令()-r时,Mac的引导程序将引导程序转移到MacOS恢复中,而不是启动磁盘上的MacOS副本。
一旦进入MacOS恢复,您除了运行一个可用程序之一,或退出或重新启动以外,您无法做任何其他事情。
在MacOS恢复中,输入您的用户管理密码,然后选择实用程序 - >启动安全实用程序从菜单栏。
在启动安全实用程序中,您可以设置固件密码,设置在启动时使用的安全级别(安全启动),并设置是否允许从外部媒体启动(外部启动)。
这完全安全启动安全实用程序中的选项会导致Mac的固件通过与Apple的服务器联系,远程验证MACOS的已安装版本。
因此,如果您选择设置该选项,则需要网络连接。
您还可以完全关闭安全启动 - 允许任何安装的MacOS启动版本。
启动安全实用程序。
苹果硅Mac
在Apple Silicon Mac上,该过程仅略有不同。
在Apple Silicon Mac上启动时,按并按住Mac的电源按钮,直到出现“加载启动选项”。
点击选项,然后单击继续。接下来,选择一个启动磁盘然后单击下一个。
输入管理密码,然后单击继续。
在恢复应用中,选择实用程序 - >启动安全实用程序。接下来,选择要使用的系统来设置安全策略。
如果所选的存储卷已打开FileVault,则需要首先输入密码来解锁它。
进入启动安全公用事业的“安全策略”部分后,您只有两个选择:完全安全或者降低了安全性。
完全安全性仅允许您当前版本的MacOS运行。这也需要网络连接。
降低的安全性允许MAC支持的任何受信任的,已签名的MacOS的版本运行。
在降低的安全性下,您还可以设置允许和管理传统内核扩展的选项,您希望允许它们运行。
设置了所有想要的选项后,请单击好的,然后重新启动您的Mac。更改直到重新启动后才生效。
用户登录密码
用户登录密码是另一种安全风险。
默认情况下,MacOS安装程序和设置应用程序要求用户在首次设置Mac时输入用户名和密码。
但是,假设所讨论的用户是管理用户,则可以通过不需要在用户登录时使用密码在系统设置中完全关闭用户登录。
这样做是完全不安全的,因为MAC在无需干预的情况下启动后会启动进入发现器。
因此,你应该总是需要为所有用户设置用户密码。
在下面系统设置 - >用户和组也可以打开“自动登录AS” - 并将其设置为计算机上列出的任何用户。
在用户和组窗格中自动登录为窗格。
在用户和团体下,来宾用户也可以启用 - 不需要密码登录。
如果您处在使用Active Directory(AD)管理用户的环境中,则可以允许用户通过添加存储在AD服务器(或Microsoft的输入ID云服务)上的AD凭据来登录。
您也可以从此窗格(在网络帐户服务器窗格中)打开MacOS的隐藏目录实用应用程序。
密码保护量
在MacOS中,您还可以密码保护单个存储量,以便没有输入密码的用户就无法安装。
如果用户不知道密码,这会使访问卷上的文件更加困难。
但是,请注意,要做到这一点,您必须首先使用Apple的Disk Utility应用程序擦除和加密存储量。
为此,请先备份卷的文件以进行以后的修复,然后在 /applications /Utilities文件夹中运行Apple的磁盘实用应用程序。
在磁盘实用程序中选择要加密的卷,单击擦除在工具栏中,输入卷名称,选择GUID分区图,并从弹出菜单中选择一个加密的文件系统格式。
输入并验证加密卷的密码,然后单击选择。点击擦除, 然后完毕。
磁盘实用程序将删除该卷,对其进行加密并使用您输入的密码固定。
下次您重新启动Mac或将包含该卷的设备插入Mac时,您将提示输入密码以将其安装在Finder的桌面上。
您也可以在侧边栏中的任何查找器窗口中加密卷,而无需擦除它们控制点击它,然后选择加密从弹出菜单中。
启动到安全模式
MacOS允许遗产内核扩展(Kexts)是可以使用自定义代码扩展MacOS内核功能的软件组件。
在MACOS 11及以后,Apple弃用KEXT支持系统扩展,如果代码无法正常执行,则被认为更安全,更容易碰撞MACOS。
在启动时,MacOS将所有kexts合并到一个辅助内核收藏(AUXKC)然后运行上述一些固件。
只有在完成大多数固件启动过程之后,AUXKC然后加载到允许Kexts运行的内核中。
使用安全模式在MacOS中,可以启动到MacOS,但将AUXKC排除在外,以防止Kexts加载。
要将Mac引导到安全模式,请如上所述启动进入恢复模式。当您选择要使用的存储量时,请按住转移键,然后继续上述步骤。
当您的MAC重新启动时,它将从指示的卷中加载MACO,但会告诉IBoot不要加载Auxkc。
锁定模式
根据苹果,锁定模式“有助于保护设备免受极为罕见且高度复杂的网络攻击。”
锁定模式本质上限制了MacOS中可用的功能,以减少攻击表面(攻击者可以闯入的方式)。
锁定模式可在Ventura Macos稍后。
当锁定模式打开时,MACOS并不包括正常操作下它具有的所有功能。锁定模式限制了某些网络活动,例如消息中的附件和FaceTime,一些Web技术,设备连接和配置配置文件。
有关锁定模式限制的完整列表,请参见Apple的Technote。
您可以在MacOS中打开锁定模式系统设置 - >隐私与安全 - >锁定模式。
MDM
苹果的移动设备管理(MDM)技术允许Macintosh系统管理员使用MDM服务器远程锁定Mac。
为了使用MDM远程锁定MAC,必须在MDM服务器上注册MAC,并且管理员必须设置MAC锁定的MDM条件。
一旦注册了MDM,远程锁定将由服务器和服务器管理员控制。
管理员使用MDM来远程禁用Apple设备,这些设备可能会成为组织网络的威胁。
安全是一个复杂的主题,您可以通过多种方法可以提高Mac的安全性。
我们尚未介绍FileVault Security,也没有在本文中介绍Mac的系统完整性保护,这将在以后的文章中获取。
