macOS安全之网络安全网络安全除了内置的保护Mac电脑上存储的数据的安全措施外，组织机构还可以采取许多网络安全措施，

网络安全

除了内置的保护Mac电脑上存储的数据的安全措施外，组织机构还可以采取许多网络安全措施，确保信息在Mac电脑之间传输时的安全。

移动用户必须能够从任何地方访问公司网络世界，因此，确保他们的授权和他们的数据在传输过程中得到保护是非常重要的。macOS使用—并为开发人员提供对标准网络协议的访问，以进行身份验证、授权和加密的通信。为了实现这些安全目标，macOS集成了可靠的技术和最新的Wi-Fi数据网络连接标准。

TLS

macOS支持Transport Layer Security (TLS1.0、TLS1.1、TLS1.2)和DTLS协议。它同时支持AES-128和AES-256。Safari、日历、邮件和其他互联网应用自动使用此协议，在设备和网络服务之间启用加密通信通道。

高级 API（如 CFNetwork）使开发人员很容易在他们的应用程序中采用TLS，而低级 API（例如 SecureTransport）提供了细粒度的控制。CFNetwork不允许 SSLv3，使用WebKit的应用程序(如Safari)被禁止建立SSLv3连接。

从 macOS High Sierra 和iOS 11 开始，SHA-1证书不再被允许用于TLS连接，除非用户信任。RSA密钥长度小于2048位的证书也不允许使用。RC4 对称密码套件在 macOS Sierra 和 iOS 10 中已弃用。默认情况下，TLS 使用 SecureTransport API 实现的客户端或服务器不启用 RC4 密码套件，并且当RC4是唯一可用的加密套件时，为了更安全，需要RC4的服务或应用程序应该升级到使用现代的安全密码套件。

应用传输安全

ATS(App Transport Security)提供了默认的连接要求，以当使用NSURLConnection、CFURL或NSURLSession API时，应用程序遵循安全连接的最佳实践。默认情况下，ATS限制密码选择只提供前向保密的套件，特别是在GCM或CBC模式下的ECDHE_ECDSA_AES和ECDHE_RSA_AES。应用程序能够在每个域的基础上禁用前向保密要求，在这种情况下，RSA_AES将被添加到可用的密码集合中。

服务器必须支持TLS 1.2和正向保密，证书必须是有效的，使用SHA-256或更好的签名，至少2048位的RSA密钥或256位的椭圆曲线密钥。

不满足这些要求的网络连接将会失败，除非应用程序覆盖ATS。无效的证书总是导致硬故障，无法连接。ATS会自动应用于macOS 10.11或更高版本的应用程序。

虚拟专用网

像虚拟专用网络(VPN)这样的安全网络服务通常只需要极少的设置和配置就可以与macOS一起工作。Mac计算机可与支持以下协议和认证方式的VPN服务器协同工作

• IKEv2/IPSec，通过共享密钥、RSA 证书、ECDSA 证书、EAP-MSCHAPv2 或 EAP-TLS 进行身份验证

• SSL VPN 使用 App Store 中的适当客户端应用程序

• Cisco IPSec 通过密码、RSA SecurID 或 CRYPTOCard 进行用户身份验证，以及通过共享密钥和证书进行机器身份验证

• L2TP/IPSec 通过 MS-CHAPV2 密码、RSA SecurID 或 CRYPTOCard 进行用户身份验证，并通过共享密钥进行机器身份验证

macOS除支持第三方VPN解决方案外，还支持以下功能:

• VPN On Demand 适用于使用基于证书认证的网络。IT策略通过VPN配置文件指定哪些域需要VPN连接。

• Per-App VPN 在更细粒度的基础上促进VPN连接。MDM 可以为每个托管应用程序和 Safari 中的特定域指定一个连接。这有助于确保安全数据始终往返于公司网络——而用户的个人数据则不然。

WIFI

macOS支持行业标准的Wi-Fi 协议，包含WPA2 Enterprise以提供对无线企业网络的认证访问。WPA2 Enterprise 使用128位AES 加密，为用户在使用wifi发送和接受信息时，提供最高级别的保证，确保他们的数据受到保护。支持 802.1X，Mac计算机支持802.1X，可以集成到广泛的RADIUS认证环境中。802.1X无线认证方式包括:EAP-TLS、EAP-TTLS、EAP-FAST、EAP-AKA、PEAPv0、PEAPv1和LEAP。

macOS 安装助手支持802.1X认证，使用TTLS或PEAP的用户名和密码凭据。

防火墙

macOS包含一个内置防火墙，以保护Mac免受网络访问和拒绝服务攻击。它支持以下配置：

• 阻止所有传入连接，无论应用程序如何

• 自动允许内置软件接收传入连接

• 自动允许下载和签名的软件接收传入的连接

• 根据用户指定的应用添加或拒绝访问

• 阻止Mac响应ICMP探测和端口扫描请求

单点登录

macOS支持使用Kerberos对企业网络进行身份验证。应用程序可以使用Kerberos来验证用户是否有权限访问服务。Kerberos还可以用于各种网络活动，从安全的Safari会话和网络文件系统身份验证到第三方应用程序。支持基于证书的认证(PKINIT)。

GSS-API SPNEGO令牌和HTTP Negotiate协议与基于Kerberos的认证网关和支持Kerberos票据的Windows集成认证系统一起工作。Kerberos支持是基于开源的Heimdal项目

支持以下加密类型：

• AES128-CTS-HMAC-SHA1-96

• AES256-CTS-HMAC-SHA1-96

• DES3-CBC-SHA1•ARCFOUR-HMAC-MD5

要配置Kerberos，请使用Ticket Viewer获取票据，登录到Windows Active Directory域，或使用命令行kinit工具。

AirDrop安全

支持AirDrop的Mac电脑使用BLE和苹果创建的点对点Wi-Fi技术向附近的设备发送文件和信息，包括运行iOS 7或更高版本、支持AirDrop的iOS设备。Wi-Fi无线电台用于设备之间直接通信，无需任何互联网连接或Wi-Fi接入点。该连接使用TLS加密。有关AirDrop、AirDrop安全以及其他Apple服务的更多信息，请参阅“iOS安全指南”中的“网络安全”部分，