Повышаем безопасность и конфиденциальность данных в компьютерах Mac и системе macOS Повышаем безопасность и конфиденциальность данных в компьютерах Mac и системе macOS
Рейтинг мастерской и отзывы клиентов:
Выберите устройство или услугу:
Вернем устройство Apple к жизни
Беремся за самые сложные случаи

3 минуты от метро "Китай-город"

Москва, Б. Спасоглинищевский переулок, д. 9/1 стр. 10, офис №5

+7 (903) 115-03-49


Повышаем безопасность и конфиденциальность данных в компьютерах Mac и системе macOS
Повышаем безопасность и конфиденциальность данных в компьютерах Mac и системе macOS
«MacMachine.ru»

Повышаем безопасность и конфиденциальность данных в компьютерах Mac и системе macOS

[ Материал не закончен и постоянно обновляется ]

Сборник советов по обеспечению безопасности современных компьютеров Mac от Apple на базе операционной системы macOS (ранее OS X) 10.12 "Sierra". А также шаги по повышению конфиденциальности в интернете.

Этот гид предназначен для опытных пользователей, желающих следовать корпоративным стандартам безопасности. Но данное руководство подходит и для начинающих пользователей заинтересованных в улучшении их конфиденциальности и безопасности при работе на Mac.

Система будет безопасна настолько, насколько ее администраторы способны это сделать. И это не какая-то единственная техноголия, программное обеспечение или особенная техника, которая гарантирует превосходную безопасность компьютера. Современный компьютер и операционная система очень сложны и требуют многочисленных последовательных шагов для значительного улучшения безопасности и конфиденциальности.

Автор не несет ответственности если какой-то из пунктов приведет к выходу из строя вашего Mac.

Прим. переводчика: но если у вас возникли проблемы с вашим компьютером, то мы сможем помочь :-)

Если у вас есть замечание или улучшение одного из пунктов руководства, то напишите об этом в комментарии.

Содержание

  • Основные рекомендации
  • Установка пароля прошивки
  • Подготовка и установка macOS
  • Первый запуск
  • Администратор и базовый аккаунты пользователя
  • Полное шифрование диска
  • Брэндмауэр (Firewall)
    • Брэндмауэр на уровне приложений
    • Брендмауэр для тертьего лица
    • Фильтрация пакетов на уровне ядра
  • Службы
  • Советы по Spotlight
  • Homebrew (менеджер недостающих пакетов для macOS)
  • DNS
    • hosts-файл
    • Dnsmasq
      • тест проверки DNSSEC
    • DNSCrypt
  • Captive portal
  • Сертификация ключей
  • OpenSSL
  • Curl
  • Web
    • Privoxy
    • Браузер
      • Google Chrome
      • Firefox
      • Safari
      • Браузеры и конфиденциальность
    • Плагины
  • PGP/GPG
  • OTR
  • Tor
  • VPN
  • Вирусы и вредоносные программы
  • Система защиты целостности
  • Gatekeeper и XProtect
  • Пароли
  • Резервные копии
  • WI-FI
  • SSH
  • Физический доступ
  • Мониторинг системы
    • OpenBSM аудит
    • DTrace
    • Исполнение
    • Сеть
  • Белые бинарные списки
  • Разное
  • Взаимосвязанное програмное обеспечение
  • Дополнительные ресурсы

 

Основные рекомендации

  • Определите источник угроз
    • Что пытаетесь защитить и от кого? Ваш неприятель именуется из трех букв (если так, то можете рассмотреть использование OpenBSD), является сторонним сетевым наблюдателем или представляет постоянную угрозу для вас?
    • Изучайте, распознавайте угрозы, а также уменьшайте количество уязвимых мест для них.
  • Установите новейшие обновления
    • Установите новейшие обновления для операционной системы и программного обеспечения
    • Обновление macOS могут быть установлены через приложение AppStore. Можно установить обновления через командную строку - введите команду softwareupdate. В обоих случаях создавать аккаунт не требуется.
    • Подпишитесь на рассылку новостей от программного обеспечения, которое часто используете. Например, Apple security-announce.
  • Зашифруйте конфиденциальный данные
    • В дополнению к общему шифрованию данных на диске, создайте один или несколько зашифрованных контейнеров для хранения ключей, паролей, документов и других данных. Это позволит снизить ущерб в случае компрометации данных или их утечки.
  • Периодически делайте резервные копии системы
    • Регулярно создавайте резервные копии данных и будьте готовы восстановить систему после компрометации данных.
    • Всегда шифруйте резервные копии перед копированием их на носитель или облачный сервис.
    • Проверяйте работоспособность резервных копий. Например, через доступ к некоторым файлам.
  • Не запускайте сомнительные программы
    • В конце концов, безопасность системы может быть снижена его администратором.
    • Устанавливайте новое и незнакомое программное обеспечение с осторожностью. Это относится также к бесплатным и "open-source" программам.

Прошивка

Установка пароля прошивки (пароль EFI) предотвращает загрузку вашего Mac с любого другого устройства кроме загрузочного диска. Он также может быть необходим при каждом запуске.

Этот пороль будет полезен если ваш компьютер потерян или украден и для защиты против непосредственного доступа к памяти (DIrect Memory Access), который может прочитать ваш пароль FileVault и ввести изменения в ядро модулей, таких как pcileech.  Единственный способ сбросить пароль прошивки через Apple Store или с помощью SPI-программатора, таких как Bus Pirate или другой IC-флэш программатор.

  1. Запустите компьютер удерживая Command + R для входа в режим восстановления (Recovery Mode)
  2. Когда появится окно восстановления, выбираем Firmware Password Utility из меню Utilities.
  3. В окне Firmware Utility выбираем пункт Turn On Firmware Password.
  4. Вводим пароль. Затем вводим пароль повторно, подтверждая его.
  5. Выбираем Set Password.
  6. Выбираем Quit Firmware Utility, чтобы закрыть Firmware Password Utility.
  7. Переходим в меню Apple и выбираем Restart or Shutdown.

Пароль прошивки активируется при следующем запуске. Для подтверждения пароля, удерживайте Alt во время запуска - вам будет предложено ввести пароль.

Управлять паролем прошивки можно через утилиту firmwarepasswd из загруженной операционной системы. Например, для запроса прошивки при попытке загрузиться с другого устройства:

$ sudo firmwarepasswd -setpasswd -setmode command

Введите пароль и перезапустите Mac.

Использование Dediprog SF600 для удаления пароля прошивки. Смотри HT204455LongSoft/UEFITool и chipsec/chipsec для дополнительной информации.

Подготовка и установка macOS

Есть несколько способов установить систему macOS.

Самый простой способ запустить MacBook в режиме восстановления (Recovery Mode). Для этого необходимо после включения компьютера удерживать кнопки Command + R. Образ системы может быть загружен и использован непосредственно от Apple. Однако данный метод открывает доступ к серийному номеру и другой идентификационной информацию передаваемой по сети в виде обычого текста, которую может быть нежелательно открывать по соображениям безопасности.

Перехват пакета данных, передаваемых по HTTP во время установка macOS

Альтернативный вариант установки macOS это предвариетльное скачивание системы из App Store или другого источника и создание образа инсталируемой системы.

Проверка целостности установки

Приложение для установки macOS имеет кодовую подпись, которая должна быть подтверждена, чтобы убедиться в подлинности копии. Для этого можно использовать команды pkgutil --check-signature или codesign -dvv.

Ниже представлены два примера проверки кодовой подписи и целостности установочного пакета macOS :

$ pkgutil --check-signature /Applications/Install\ macOS\ Sierra.app
Package "Install macOS Sierra.app":
   Status: signed by a certificate trusted by Mac OS X
   Certificate Chain:
    1. Apple Mac OS Application Signing
       SHA1 fingerprint: B9 3B DA AA F1 A8 84 6B 34 BA 32 33 26 35 CB 2B 84 85 3D A8
       -----------------------------------------------------------------------------
    2. Apple Worldwide Developer Relations Certification Authority
       SHA1 fingerprint: FF 67 97 79 3A 3C D7 98 DC 5B 2A BE F5 6F 73 ED C9 F8 3A 64
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Также можно использовать команду codesign для проверки кодовой подписи приложения:

$ codesign -dvv /Applications/Install\ macOS\ Sierra.app
Executable=/Applications/Install macOS Sierra.app/Contents/MacOS/InstallAssistant
Identifier=com.apple.InstallAssistant.Sierra
Format=app bundle with Mach-O thin (x86_64)
CodeDirectory v=20200 size=297 flags=0x200(kill) hashes=5+5 location=embedded
Signature size=4167
Authority=Apple Mac OS Application Signing
Authority=Apple Worldwide Developer Relations Certification Authority
Authority=Apple Root CA
Info.plist entries=30
TeamIdentifier=K36BKF7T3D
Sealed Resources version=2 rules=7 files=137
Internal requirements count=1 size=124

 


Источник macOS-Security-and-Privacy-Guide переведен сотрудниками macMachine


Сохранить или поделиться статьей -

Другие популярные статьи


Подходит ли MacBook Air на процессоре M1 для игр: тест более 30 игр

Помню как писал пост про игры на мак "Какие игры идут на MacBook и iMac?". Это было скорее для себя, хотя играми не особо интересуюсь. В сети пишут, что Mac для игр не подходит, поэтому решил поискать информацию по данному вопросу. Так получилось, что этот пост оказался самым популярным за последний год. Но есть момент в том, что он не затрагивает новую линейку Маков на процессоре М1.

Выключается iPhone при достаточном заряде батареи ~50-60%

Чего только не случается со смартфонами: падают, тонут, иногда просто теряются. И все это может стать причиной возникновений неисправностей в смартфоне. Но хороший дефект всегда себя покажет. А что если причина возникновения неисправности неизвестна?

Какие игры идут на MacBook и iMac?

Возможно вы готовитесь купить свой первый Mac или уже имеете яблочный девайс, но новичок в компьютерных играх. В любом случае это может удивить вас: Большинство лучших игр доступны на Mac

Ремонт ноутбуков Apple, Apple MacBook, Apple MacBook Pro, Apple MacBook Air, Apple iMac, Ремонт Apple в Москве, Срочный ремонт Macbook, Срочный ремонт Apple, негарантийный ремонт  Apple, постгарантийный сервис Apple

Сроки, качество и стоимость ремонта в мастерской MacMachine

Быстро, качественно, недорого. Да, такое возможно и Вам не надо выбирать два условия:)

Про качество

Качество кроется в деталях! Но "деталь" в обоих смыслах. Деталь - комплектующая часть для ремонта и деталь - педантичный, скурпулезный подход к процессу, когда важна каждая мелочь. 

"Качество - это делать правильно, даже когда никто не смотрит."

У нас профессиональное, дорогое оборудование для ремонта, опыт с 2004 года и педантичный характер мастера:)

Для ремонта используем только проверенные комплектующие. Там где возможно и рентабельно посоветуем оригинал запчасти Apple. Там где это будет слишком дорого или мак уже снят с поддержки - предложим аналог. Вы сами выбираете что установим в макбук.

Гарантия на работы - до 6 месяцев. Это больше, чем гарантия авторизованного сервисного центра Apple.

Про стоимость

У нас доступные цены на ремонт MacBook, ниже средних. А мы хорошо знаем цены, потому что много сервисных центров Москвы приносят к нам маки на сложный ремонт материнских плат.

Наша специализация - компонентный ремонт материнской платы. Это когда вместо целиковой замены материнской платы, ремонтируется ваша неисправная плата. Перепаиваются сгоревшие детали, восстанавливаются отгнившие дорожки и тд.

Мы успешно ремонтируем 80% материнских плат. Компонентный ремонт платы Macbook - в разы дешевле целиковой замены!

Другая значимая составлящая стоимости ремонта - расходы на сервис и реклама. Основные расходы на сервис это аренда и зарплата сотрудников. Большой сервис или сеть сервисных центров, по определению не сможет ремонтировать дешево. MacMachine - небольшая "семейная" мастерская. Поэтому наши расходы на сервис минимальны.

Расходы на рекламу входят в наценку стоимости услуг, так же как и "бесплатная доставка". У нас почти нет рекламы. Мы не вкладываем сотни тысяч ежемесячно в рекламу. Наша реклама - отзывы клиентов, сарафанное радио и контент в нашем блоге и соцсетях.

Про сроки

Мы быстрый сервис при наличии деталей на ваш ремонт. Средние сроки ремонта: 1-3 дня. Диагностика: 1-2 дня. Первичная диагностика бесплатная. Многие проблемы решаются день - в день. 


Instagram
Что делать если Mac не включается? (видео) Новое в блоге
Как проверить внутреннюю температуру вашего Mac и держать его в "прохладе"? Какие компьютеры Mac поддерживают macOS 14? В основном только модели на базе процессоров Apple Silicon. Вот список ... После обновления до MacOS Ventura не работает/не отображается TouchBar Подходит ли MacBook Air на процессоре M1 для игр: тест более 30 игр 5 ожидаемых функций, которые не доступны в новой линейке MacBook Pro

Проверить статус заказа

Введите номер заказа в формате MM12345 (в английской раскладке):


Отзывы о мастерской

Больше отзывов - Яндекс | Google | YouDo | Disqus


Почему обращаются к нам?
До 6 месяцев гарантии
Бесплатная диагностика
Компонентный ремонт

Без дорогостоящей замены платы.

Опыт более 15 лет

Занимаемся ремонтом с 2004 года

Постоянные клиенты

Каждый 4-ый клиент обращается по рекомендации прошлых клиентов

Качество работ

менее 3% повторных обращений во время гарантии