系统安全
macOS 系统安全性旨在确保每台 Mac 的所有核心组件的软件和硬件都是安全的。这个架构是macOS安全的核心,它不会影响设备的可用性。
UNIX
macOS 内核——操作系统的核心——基于伯克利 软件分发 (BSD) 和 Mach 微内核。
BSD 提供了基本文件系统和网络服务、用户和组识别方案,以及 许多其他基础能力。BSD还强制执行基于用户和组ID的文件和系统资源的访问限制。
Mach 提供内存管理、线程控制、硬件抽象和进程间通信。mach端口代表了任务和其他资源。Mach通过控制哪些任务可以发送一个端口来强制访问端口给他们留言。BSD 安全策略和 Mach 访问权限构成macOS 中安全的基本基础,它们对于强制执行至关重要。
内核的安全对整个操作系统的安全至关重要。代码签名保护内核和第三方内核扩展以及Apple开发的其他系统库和可执行文件。
用户权限模型
安全性的一个重要方面是授予或拒绝访问权限(有时称为访问权限)。权限是一种能力执行特定操作,例如访问数据或执行代码。在文件夹、子文件夹、文件和应用程序级别授予权限,以及至于文件、应用程序功能和管理功能中的特定数据。数字的签名标识应用程序和系统组件的访问权限。macOS 在多个级别控制权限,包括 Mach 和 BSD内核的组成部分。要控制联网应用程序的权限,macOS使用网络协议。
强制访问控制(MAC)
macOS 还使用强制访问控制(Mandatroy Access Control)--设置安全性的策略。 开发人员创建的限制,不能被覆盖,这种方法与自由访问控制不同,后者允许用户覆盖,用户可以根据自己的喜好选择安全策略。强制访问控制对于用户不可见,但是它们是有助于实现几个重要的功能,包括沙盒、家长控制、托管首选项、扩展和系统完整性保护。
系统完整性保护(SIP)
OS X 10.11或者更高版本包括系统级别保护,称为系统完整性保护,特定关键文件系统中的组件限制为只读防止恶意代码执行或修改它们的位置。 系统 完整性保护是一种特定于计算机的设置,当您升级到 OS X 10.11;禁用它会删除对所有分区的保护物理存储设备。macOS 将此安全策略应用于每个进程在系统上运行,无论它是在沙盒中运行还是使用管理权限。 有关文件系统的这些只读区域的详细信息,请参见 苹果支持文章“关于系统完整性保护” HT204899。
内核扩展
macOS提供了一个内核扩展机制,允许动态加载 在不需要重新编译或重新链接的情况下将代码写入内核。因为这些 内核扩展(kext)提供模块化和动态加载,它们对于任何需要访问的相对独立的服务来说,这是一个自然的选择 内部内核接口,如硬件设备驱动程序或VPN应用程序。 为了提高Mac上的安全性,在安装macOS High Sierra时或者之后安装的扩展,加载内核需要用户的同意。这被称为用户批准的内核扩展加载。任何用户都可以批准使用内核扩展,即使他们没有管理员权限。
内核扩展在以下情况下不需要授权: • 在升级到 macOS High Sierra 之前已安装在 Mac 上。
• 正在替换以前批准的扩展。
• 允许使用spctl命令在未经用户同意的情况下加载从macOS恢复分区启动时可用。
• 允许通过移动设备管理(MDM)配置加载。从 macOS High Sierra 10.13.2 开始,您可以使用 MDM 指定一个 无需用户同意即可加载的内核扩展列表。这个选项需要运行 macOS High Sierra 10.13.2 且已注册 MDM 的 Mac通过设备注册计划(DEP)或通过用户批准的 MDM注册。
有关内核扩展的更多信息,请参阅 Apple 支持文章“准备更改 macOS High Sierra 中的内核扩展
固件密码
macOS支持使用密码来防止对特定系统固件设置的意外修改。该固件密码用于防止以下情况: • 从未经授权的系统卷启动
• 启动过程的改变,例如启动到单用户模式
• 未经授权访问 macOS 恢复
• 通过 Thunderbolt等接口的直接内存访问 (DMA)
• 目标磁盘模式,需要 DMA
注意: iMac Pro 中的 Apple T2 芯片阻止用户重置固件密码,即使他们获得了对 Mac 的物理访问权限。在 Mac 上没有T2芯片,必须采取额外的预防措施来防止用户获得对Mac内部的物理访问权限。
联网恢复系统
Mac 电脑会自动尝试从 macOS 恢复功能通过当他们无法从内置恢复系统启动时上网。什么时候发生这种情况时,启动期间会出现一个旋转的地球而不是 Apple 标志。Internet 恢复使用户能够重新安装最新版本的 macOS 或他们的 Mac 附带的版本。macOS 更新通过 App Store 分发并由macOS 安装程序,它利用代码签名来确保完整性和安装前安装程序及其软件包的真实性。同样,Internet Recovery 服务是操作系统的权威来源随特定 Mac 一起提供。有关 macOS 恢复的更多信息,请参阅 Apple 支持文章support.apple.com/HT201314 上的“关于 macOS 恢复”.
