Перейти к содержанию

Обзор macOS

macOS — это Unix-операционная система, разработанная Apple для их компьютеров Mac. Для повышения приватности в macOS вы можете отключить функции телеметрии и усилить существующие настройки приватности и безопасности.

Старые Mac на базе Intel и Hackintosh не поддерживают все функции безопасности, которые предлагает macOS. Для повышения безопасности данных мы рекомендуем использовать более новый Mac с Apple Silicon.

Примечания о приватности

Существует несколько заметных проблем с приватностью в macOS, которые вам следует учитывать. Они относятся к самой операционной системе, а не к другим приложениям и службам Apple.

Блокировка активации

Совершенно новые устройства Apple Silicon можно настроить без подключения к интернету. Однако восстановление или сброс Mac потребует подключения к интернету для соединения с серверами Apple, чтобы проверить устройство по базе данных Блокировки активации утерянных или украденных устройств.

Проверка отзыва приложений

macOS выполняет онлайн-проверки при открытии приложения, чтобы убедиться, что приложение не содержит известного вредоносного ПО, и что сертификат разработчика не отозван.

Сервис OCSP от Apple использует шифрование HTTPS, поэтому только они могут видеть, какие приложения вы открываете. Они опубликовали информацию о своей политике ведения журналов для этой службы. Кроме того, они обещали добавить механизм для отказа от этой онлайн-проверки, но это ещё не было добавлено в macOS.

Хотя вы можете вручную отказаться от этой проверки относительно легко, мы рекомендуем не делать этого, если только вы не будете серьезно скомпрометированы проверками отзыва, выполняемыми macOS, поскольку они играют важную роль в обеспечении блокировки скомпрометированных приложений.

Рекомендованные настройки

Первая учётная запись, создаваемая при настройке Mac, получает административные права, превосходящие привилегии стандартного пользователя. macOS имеет ряд защитных механизмов, которые предотвращают злоупотребление вашими привилегиями Администратора вредоносным ПО и другими программами, поэтому обычно безопасно использовать эту учетную запись.

Однако эксплойты в защитных утилитах, таких как sudo, были обнаружены в прошлом. Для повседневной работы рекомендуется создать отдельную Стандартную учетную запись, что поможет избежать злоупотребления административными привилегиями. Это имеет дополнительное преимущество, делая более очевидным, когда приложению требуется доступ администратора, поскольку оно будет запрашивать учётные данные каждый раз.

Если вы используете вторую учётную запись, не обязательно когда-либо входить в свою исходную учетную запись Администратора с экрана входа в macOS. Когда вы выполняете действие как Стандартный пользователь, требующее разрешений Администратора, система должна запросить аутентификацию, где вы можете ввести свои учётные данные Администратора как Стандартный пользователь на разовой основе. Apple предоставляет руководство по скрытию вашей учетной записи Администратора, если вы предпочитаете видеть только одну учетную запись на экране входа.

iCloud

Когда вы используете службы Apple, такие, как iCloud, большая часть вашей информации хранится на их серверах и защищена ключами, к которым Apple имеет доступ по умолчанию. Это называется Стандартной защитой данных по терминологии Apple.

Поэтому, если вы используете iCloud, вам следует включить Расширенную защиту данных. Это шифрует почти все ваши данные iCloud с помощью ключей, хранящихся на ваших устройствах (сквозное шифрование), а не на серверах Apple, так что ваши данные iCloud защищены в случае утечки данных и в целом скрыты от Apple.

Если вы хотите иметь возможность устанавливать приложения из App Store, но не хотите включать iCloud, вы можете войти в свою учетную запись Apple из App Store вместо Системных настроек.

Системные настройки

Существует ряд встроенных настроек, которые вы должны подтвердить или изменить для усиления вашей системы. Откройте приложение "Настройки ":

Bluetooth

  • Отключите Bluetooth (если вы не используете его в данный момент)

Сеть

В зависимости от того, используете ли вы Wi-Fi или Ethernet (обозначается зеленой точкой и словом "подключено"), нажмите на соответствующий значок.

Нажмите кнопку "Подробнее" рядом с именем вашей сети:

  • Выберите Ротация адреса в разделе Частный адрес Wi-Fi

  • Включите Ограничение трекинга по IP-адресу

Брандмауэр

Ваш брандмауэр блокирует нежелательные сетевые подключения. Чем строже настройки вашего брандмауэра, тем безопаснее ваш Mac. Однако некоторые службы будут заблокированы. Вам следует настроить брандмауэр так, чтобы он был максимально строгим, не блокируя при этом службы, которые вы используете.

  • Включите Брандмауэр

Нажмите кнопку Параметры:

  • Включите Блокировать все входящие подключения

Если эта конфигурация слишком строгая, вы можете вернуться и снять этот флажок. Однако macOS обычно предложит вам разрешить входящие подключения для приложения, если приложение запрашивает это.

Основные

По умолчанию имя вашего устройства будет что-то вроде "iMac [вашего имени]". Поскольку это имя публично транслируется в вашей сети, вы захотите изменить имя устройства на что-то общее, например "Mac".

Нажмите на Описание и введите желаемое имя устройства в поле Имя.

Обновление ПО

Вы должны автоматически устанавливать все доступные обновления, чтобы убедиться, что ваш Mac имеет последние исправления безопасности.

Нажмите на небольшой значок рядом с Автообновление:

  • Включите Загружать обновления, если они доступны

  • Включите Устанавливать обновления macOS

  • Включите Устанавливать системные файлы и обновления системы безопасности

Apple Intelligence и Siri

Если вы не используете эти функции в macOS, вам следует отключить их:

  • Отключите Apple Intelligence
  • Отключите Siri

Apple Intelligence доступен только если ваше устройство поддерживает его. Apple Intelligence использует комбинацию обработки на устройстве и их Private Cloud Compute для задач, которые требуют больше вычислительной мощности, чем может предоставить ваше устройство.

Чтобы увидеть отчет обо всех данных, отправленных через Apple Intelligence, вы можете перейти в Конфиденциальность и безопасностьОтчет Apple Intelligence и нажать Экспорт активности, чтобы увидеть активность за последние 15 минут или 7 дней, в зависимости от ваших настроек. Подобно Отчету о конфиденциальности приложений, который показывает вам недавно используемые разрешения приложениями на вашем телефоне, Отчет Apple Intelligence аналогично показывает, что отправляется на серверы Apple при использовании Apple Intelligence.

По умолчанию интеграция с ChatGPT отключена. Если вы больше не хотите использовать интеграцию с ChatGPT, вы можете перейти в ChatGPT:

  • Отключите Использовать ChatGPT

Вы также можете настроить запрос подтверждения каждый раз, если оставляете интеграцию с ChatGPT включенной:

  • Включите Подтверждать запросы

Предупреждение

Любой запрос, сделанный с помощью ChatGPT, будет отправлен на серверы ChatGPT, без обработки на устройстве и без PCC, как в случае с Apple Intelligence.

Приватность и защита

Когда приложение запрашивает разрешение, оно отобразится здесь. Вы можете решить, каким приложениям вы хотите разрешить или запретить определенные разрешения.

Службы геолокации

Вы можете разрешать службы геолокации для каждого приложения отдельно. Если вам не нужно, чтобы приложения использовали ваше местоположение, полное отключение служб геолокации является наиболее приватным вариантом.

  • Отключите Службы геолокации
Аналитика и улучшения

Решите, хотите ли вы делиться аналитическими данными с Apple и разработчиками приложений.

Реклама от Apple

Решите, хотите ли вы получать персонализированную рекламу на основе вашего использования.

  • Отключите Контекстную рекламу
FileVault

На современных устройствах с Secure Enclave (чип безопасности Apple T2, Apple Silicon) ваши данные всегда зашифрованы, но автоматически расшифровываются аппаратным ключом, если ваше устройство не обнаруживает, что оно было взломано. Включение FileVault дополнительно требует вашего пароля для расшифровки ваших данных, значительно повышая безопасность, особенно при выключенном питании или перед первым входом после включения.

На старых компьютерах Mac на базе Intel FileVault — единственная форма шифрования диска, доступная по умолчанию, и она всегда должна быть включена.

  • Нажмите Включить
Режим блокировки

Режим блокировки отключает некоторые функции для повышения безопасности. Некоторые приложения или функции не будут работать так же, как при его отключении. Например, компиляция Javascript Just-In-Time (JIT) и WebAssembly отключены в Safari при включенном режиме блокировки. Мы рекомендуем включить режим блокировки и проверить, влияет ли это существенно на повседневное использование.

  • Нажмите Включить

Рандомизация MAC-адресов

macOS использует случайный MAC-адрес при выполнении сканирования Wi-Fi, когда устройство не подключено к сети.

Вы можете настроить случайный MAC-адрес для каждой сети с периодической ротацией, чтобы предотвратить отслеживание между сетями и в одной и той же сети с течением времени.

Перейдите в Системные настройкиСетьWi-FiПодробнее и установите Частный адрес Wi-Fi на Статический адрес, если вы хотите иметь фиксированный, но уникальный адрес для сети, к которой вы подключены, или Ротация адреса, если вы хотите, чтобы он менялся со временем.

Рассмотрите возможность изменения имени хоста — идентификатора, транслируемого в вашей сети. Вы можете установить имя хоста на что-то общее, например "MacBook Air", "Ноутбук", "MacBook Pro Ивана" или "iPhone" в Системные настройкиОсновныеОбщий доступ.

Защитные механизмы

macOS использует многоуровневую защиту, полагаясь на несколько слоев программных и аппаратных средств защиты с различными свойствами. Это гарантирует, что сбой в одном слое не компрометирует общую безопасность системы.

Программная безопасность

Предупреждение

macOS позволяет устанавливать бета-обновления. Они нестабильны и могут содержать дополнительную телеметрию , поскольку предназначены для тестирования. Из-за этого мы рекомендуем вам в целом избегать бета-программного обеспечения.

Подписанный системный том

Системные компоненты macOS защищены в доступном только для чтения подписанном системном томе, что означает, что ни вы, ни вредоносное ПО не можете изменять важные системные файлы.

Системный том проверяется во время работы, и любые данные, не подписанные действительной криптографической подписью от Apple, будут отклонены.

Защита целостности системы

macOS устанавливает определенные ограничения безопасности, которые нельзя обойти. Они называются Обязательными средствами контроля доступа и формируют основу песочницы, родительского контроля и Защиты целостности системы в macOS.

Защита целостности системы делает критически важные местоположения файлов доступными только для чтения, чтобы защитить их от изменений вредоносным кодом. Это дополняет аппаратную защиту целостности ядра, которая предотвращает модификацию ядра в памяти.

Безопасность приложений

Песочница приложений

В macOS то, находится ли приложение в песочнице, определяется разработчиком при его подписании. Песочница приложений защищает от уязвимостей в запускаемых приложениях, ограничивая то, к чему злоумышленник может получить доступ в случае эксплуатации приложения. Песочница приложений сама по себе не может защитить от Атак цепочки поставок со стороны злонамеренных разработчиков. Для этого песочница должна контролироваться кем-то другим, кроме самого разработчика, как это происходит в App Store.

Предупреждение

Программное обеспечение, загруженное из-за пределов официального App Store, не обязано находиться в песочнице. Если ваша модель угроз приоритезирует защиту от Пассивных атак(../basics/common-threats.md#security-and-privacy){ .pg-orange }, то вам, возможно, стоит проверить, находится ли программное обеспечение, загружаемое вами вне App Store, в песочнице, что зависит от разработчика, который должен включить эту опцию.

Вы можете проверить, использует ли приложение песочницу, несколькими способами:

Вы можете проверить, находятся ли уже запущенные приложения в песочнице, используя Мониторинг активности.

Предупреждение

То, что один из процессов приложения находится в песочнице, не означает, что все они там находятся.

В качестве альтернативы, вы можете проверить приложения перед их запуском, выполнив следующую команду в терминале:

codesign -dvvv --entitlements - <путь к вашему приложению>

Если приложение находится в песочнице, вы должны увидеть следующий вывод:

    [Key] com.apple.security.app-sandbox
    [Value]
        [Bool] true

Если вы обнаружите, что приложение, которое вы хотите запустить, не находится в песочнице, то вы можете использовать методы компартментализации, такие как виртуальные машины или отдельные устройства, использовать аналогичное приложение, которое находится в песочнице, или полностью отказаться от использования приложения, не находящегося в песочнице.

Hardened Runtime

The Hardened Runtime — это дополнительная форма защиты приложений, которая предотвращает определенные классы эксплойтов. Она повышает безопасность приложений от эксплуатации, отключая определенные функции, такие как JIT.

Вы можете проверить, использует ли приложение Hardened Runtime, с помощью этой команды:

codesign -dv <путь к вашему приложению>

Если Hardened Runtime включена, вы увидите flags=0x10000(runtime). Вывод runtime означает, Hardened Runtime включена. Могут быть и другие флаги, но флаг runtime — это то, что мы ищем здесь.

Вы можете включить столбец в Мониторинге системы под названием "Ограничено", который является флагом, предотвращающим внедрение кода программами через динамический компоновщик macOS. В идеале, здесь должно быть указано "Да".

Антивирус

macOS поставляется с двумя формами защиты от вредоносного ПО:

  1. Защита от запуска вредоносного ПО в первую очередь обеспечивается процессом проверки App Store для приложений из App Store или Нотаризацией (часть Gatekeeper), процессом, при котором сторонние приложения сканируются на наличие известного вредоносного ПО компанией Apple, прежде чем им разрешается запуск. Приложения должны быть подписаны разработчиками с использованием ключа, предоставленного им Apple. Это гарантирует, что вы запускаете программное обеспечение от настоящих разработчиков. Нотаризация также требует, чтобы разработчики включали усиленное время выполнения для своих приложений, что ограничивает методы эксплуатации.
  2. Защита от другого вредоносного ПО и удаление существующего вредоносного ПО в вашей системе обеспечивается XProtect — более традиционным антивирусным программным обеспечением, встроенным в macOS.

Мы не рекомендуем устанавливать стороннее антивирусное программное обеспечение, поскольку оно обычно не имеет доступа на системном уровне, необходимого для правильного функционирования, из-за ограничений Apple для сторонних приложений, и потому что предоставление высоких уровней доступа, которые они запрашивают, часто представляет даже больший риск для безопасности и конфиденциальности вашего компьютера.

Резервное копирование

macOS поставляется с автоматическим программным обеспечением для резервного копирования, называемым Time Machine, поэтому вы можете создавать зашифрованные резервные копии на внешний диск или сетевой диск в случае повреждения/удаления файлов.

Аппаратная безопасность

Многие современные функции безопасности в macOS — такие как современная безопасная загрузка, аппаратное смягчение эксплойтов, проверки целостности ОС и шифрование на основе файлов — зависят от Apple Silicon, и новое оборудование Apple всегда имеет лучшую безопасность. Мы поощряем использование только Apple Silicon, а не старых компьютеров Mac на базе Intel или Hackintosh.

Некоторые из этих современных функций безопасности доступны на более старых компьютерах Mac на базе Intel с чипом безопасности Apple T2, но этот чип подвержен эксплойту checkm8, который может скомпрометировать его безопасность.

Если вы используете аксессуары Bluetooth, такие как клавиатура, мы рекомендуем использовать официальные аксессуары Apple, поскольку их прошивка будет автоматически обновляться для вас операционной системой macOS. Использование сторонних аксессуаров допустимо, но вам следует помнить о регулярной установке обновлений прошивки для них.

SoC от Apple фокусируются на минимизации поверхности атаки, передавая функции безопасности специализированному оборудованию с ограниченной функциональностью.

Загрузочное ПЗУ

macOS предотвращает сохранение вредоносного ПО, разрешая запуск только официального программного обеспечения Apple при загрузке; это известно как безопасная загрузка. Компьютеры Mac проверяют это с помощью области памяти только для чтения на SoC, называемой загрузочное ПЗУ, которая закладывается при изготовлении чипа.

Загрузочное ПЗУ формирует аппаратный корень доверия. Это гарантирует, что вредоносное ПО не может вмешаться в процесс загрузки, поскольку загрузочное ПЗУ неизменно. Когда ваш Mac загружается, загрузочное ПЗУ запускается первым, формируя первое звено в цепочке доверия.

Компьютеры Mac могут быть настроены для загрузки в трёх режимах безопасности: Полная безопасность, Пониженная безопасность и Разрешающая безопасность, с настройкой по умолчанию — Полная безопасность. В идеале вы должны использовать режим Полной безопасности и избегать таких вещей, как расширения ядра, которые заставляют вас снижать режим безопасности. Убедитесь, что вы проверили, что используете режим Полной безопасности.

Secure Enclave

Secure Enclave — это защитный чип, встроенный в устройства с Apple Silicon, который отвечает за хранение и генерацию ключей шифрования для данных в состоянии покоя, а также данных Face ID и Touch ID. Он содержит своё собственное отдельное загрузочное ПЗУ.

Вы можете рассматривать Secure Enclave как центр безопасности вашего устройства: он имеет механизм шифрования AES и механизм для безопасного хранения ваших ключей шифрования, и он отделён от остальной системы, так что даже если основной процессор скомпрометирован, он должен оставаться в безопасности.

Touch ID

Функция Touch ID от Apple позволяет безопасно разблокировать ваши устройства с помощью биометрии.

Ваши биометрические данные никогда не покидают ваше устройство; они хранятся только в Secure Enclave.

Аппаратное отключение микрофона

Все ноутбуки с Apple Silicon или чипом T2 имеют аппаратное отключение встроенного микрофона при закрытии крышки. Это означает, что злоумышленник никак не сможет прослушивать микрофон вашего Mac, даже если операционная система скомпрометирована.

Обратите внимание, что камера не имеет аппаратного отключения, поскольку её обзор в любом случае перекрывается при закрытии крышки.

Индикатор безопасной камеры

Встроенная камера в Mac спроектирована так, что камера не может включиться без включения индикатора камеры.

Безопасность периферийного процессора

Компьютеры имеют встроенные процессоры, отличные от основного CPU, которые обрабатывают такие вещи, как сеть, графика, управление питанием и т.д. Эти процессоры могут иметь недостаточную безопасность и быть скомпрометированы, поэтому Apple старается минимизировать необходимость использования этих процессоров в своем оборудовании.

Когда необходимо использовать один из этих процессоров, Apple работает с поставщиком, чтобы гарантировать, что процессор:

  • запускает проверенную прошивку от основного CPU при запуске
  • имеет собственную цепочку безопасной загрузки
  • следует минимальным криптографическим стандартам
  • гарантирует, что известная плохая прошивка должным образом отозвана
  • имеет отключённые интерфейсы отладки
  • подписан криптографическими ключами Apple

Защита прямого доступа к памяти

Apple Silicon разделяет каждый компонент, требующий прямого доступа к памяти. Например, порт Thunderbolt не может получить доступ к памяти, предназначенной для ядра.

Безопасный ввод с клавиатуры в терминале

Включите Безопасный ввод с клавиатуры, чтобы предотвратить обнаружение другими приложениями того, что вы печатаете в терминале.

Функция "цифрового наследия": Термин "цифровое наследие" подразумевает под собой набор функций, который позволяет вам регулировать права доступа других людей к вашей информации после того, как вы умрете

Вы читаете Русский перевод сайта Privacy Guides, выполненный нашей невероятной командой переводчиков на платформе Crowdin. Если вы заметили ошибку или непереведенные части на этой странице, пожалуйста, помогите нам! Перейти на Crowdin

You're viewing the Russian copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out!