Apple poskytuje v macOS bezpečnostní funkce, které aplikacím umožňují přístup k souborům na vašem místním úložišti a na vyměnitelných discích. Zde je návod, jak je nakonfigurovat.
Před lety Apple přidal možnost pro macOS omezit, které aplikace mohou přistupovat k vašim souborům a složkám uloženým na místních svazcích připojených k vašemu Macu.
Některé aplikace, jako je Finder, vyžadují tento přístup. Ale v případě aplikací třetích stran můžete nebo nemusíte chtít, aby měly přístup k vašim souborům.
macOS má předvolby v Nastavení systému pro povolení nebo zamítnutí přístupu aplikací k vašim souborům.
Některé aplikace mají také přístup k vyměnitelným svazkům, jako jsou USB flash disky nebo svazky CD/DVD, když jsou vloženy do DVD mechaniky Macu.
Můžete také nastavit, které aplikace mají přístup k vyměnitelným Nastavení systému. Ne všechny aplikace tuto možnost poskytují, a pokud ano, aplikace a jejich nastavení se zobrazí v Nastavení systému-> Zabezpečení a soukromí podokno.
Aplikace musí být sestaveny s přístupem
Když jsou aplikace pro Mac vytvořeny pomocí vývojářského prostředí Xcode společnosti Apple, jsou v balíčku každé aplikace zahrnuta specifická nastavení zabezpečení. Ty jsou založeny na tom, jak vývojář nakonfiguroval tato nastavení v Xcode.
Jedním z těchto nastavení je, zda povolit přístup k souborům a složkám.
Pokud vývojář aplikace toto nastavení zahrnul při vytváření aplikace, zobrazí se v Nastavení systému->Zabezpečení a soukromí->Soubory a složky podokno. Pokud ne, aplikace tam nebude uvedena.
Konkrétně se tato nastavení konfigurují v každém cíli sestavení Podepisování a možnosti->Sandbox aplikací->Přístup k souborům nastavení v Xcode:
Sandbox aplikace
App Sandbox je bezpečnostní systém zabudovaný do macOS, který ve výchozím nastavení blokuje přístup aplikací z citlivých částí systému, jako je souborový systém a síť. Aplikace mají povolený přístup pouze k těm částem systému, ke kterým jim bylo uděleno oprávnění.
Tato nastavení v Xcode zahrnují specifické uživatelské složky, jako jsou Stažené soubory, Obrázky, Hudba atd., ale je zde také nastavení pro Uživatelem vybraný soubor.
Je to toto nastavení, které umožňuje aplikaci třetí strany umožnit uživatelům vybrat soubory, ke kterým mají přistupovat pomocí standardního systému macOS Otevřít list pro výběr souborů. Vývojáři mohou také určit, zda povolit přístup pouze pro čtení nebo přístup pro čtení a zápis.
The Hardware->USB zaškrtávací políčko v Xcode určuje, zda povolit aplikacím přístup k zařízením USB, včetně flash disků.
To, jak jsou tato nastavení nakonfigurována při sestavení aplikace, určuje, zda se zobrazí v Nastavení systému pro přístup k souborům a vyměnitelným.
Vývojáři mohou také úplně vypnout veškerý přístup k souborům a zakázat přístup k souborům na úrovni zabezpečení systému bez ohledu na to, jaká rozhraní API může aplikace volat. K dispozici jsou také nastavení Sandbox pro fotoaparát, zvuk, tisk a Bluetooth.
To je důvod, proč se vám může zobrazit upozornění macOS, například když poprvé spustíte aplikaci VOIP, jako je Skype nebo některé herní aplikace, které chtějí mít přístup k mikrofonu vašeho počítače.
Celkově vzato, nastavení App Sandbox omezuje nebo povoluje, jaký druh přístupu má aplikace k vašemu Macu. Apple přidal tato nastavení do macOS, aby zabránil malwaru v tom, aby mohl provádět akce, jako je odeslání celého obsahu vašeho spouštěcího disku zlomyslnému herci.
Díky App Sandbox a dalším bezpečnostním funkcím se nemusíte tolik starat o stažení aplikace pro Mac a nechat ji získat všechna vaše místní data v okamžiku, kdy ji spustíte.
Všechny aplikace pro macOS distribuované v Mac App Store musí mít v době sestavování povolený Sandbox v Xcode, i když jsou všechna nastavení vypnutá.
Změna nastavení přístupu
Pro přístup k souborům a složkám můžete tato nastavení přepínat na dvou místech v Nastavení systému aplikace:
- Nastavení systému->Zabezpečení a soukromí->Soubory a složky
- Nastavení systému->Zabezpečení a soukromí->Úplný přístup k disku
V případě Plný přístup k diskuv Xcode v App Sandbox není žádné nastavení. Když povolíte Plný přístup k diskudáváte aplikaci přístup ke všem souborům spouštěcího disku na úrovni operačního systému, nejen ke konkrétním složkám nebo souborům vybraným uživatelem.
Plný přístup k disku je obecnější a vážnější úroveň zabezpečení – měli byste to změnit Plný přístup k disku opatrně, protože to dává dané aplikaci volnou vládu nad spouštěcím diskem vašeho Macu.
V případě vyměnitelných jednotek, pokud je aplikace nakonfigurována tak, aby umožňovala přístup k vyměnitelným svazkům, zobrazí se pro tuto aplikaci další přepínač v Soubory a složky podokno. Ne všechny aplikace mohou podporovat vyměnitelné položky.
Můžete také vidět další přepínače pro každou z výše uvedených uživatelských složek a v některých případech také pro plochu. Pokud aplikace vyžaduje nebo má Plný přístup k disku zapnutý tento název se objeví vedle aplikace v Soubory a složky podokno, ale bude zašedlé.
Samozřejmě, pokud aplikaci udělíte Plný přístup k diskunepotřebuje jednotlivé přepínače oprávnění v Soubory a složky podokno.
Nastavení systému->Zabezpečení a soukromí->Úplný přístup k disku umožňuje nastavit, kterým aplikacím by měl být povolen úplný přístup k disku.
Pro aplikace Finder a Dock je možné vypnout úplný přístup k disku. Pravděpodobně je však nejlepší ne, protože oba jsou nedílnou součástí Finderu – a oba pocházejí od společnosti Apple.
Jediný důvod, proč možná budete chtít vypnout přístup k těmto aplikacím, je, pokud chcete, aby váš Mac fungoval jako kiosk, nebo například chcete omezit přístup k souborům dětem.
Zejména síťovým aplikacím by neměl být udělován úplný přístup k disku, protože to představuje zvýšené bezpečnostní riziko. Jedním z příkladů je škodlivý Java applet nebo rozšíření stažené prostřednictvím webového prohlížeče.
macOS také používá Gatekeeper a runtime ochranu k ochraně základních částí operačního systému a jeho souborů před aplikacemi třetích stran. Tím je zajištěno, že se systémem nelze manipulovat.
Gatekeeper také poskytuje určitou úroveň jistoty, že aplikace pochází od jejího skutečného registrovaného vývojáře a není falešná.
Aplikace Gatekeeper musí být digitálně podepsány pomocí Xcode, než mohou být distribuovány v Mac App Store. Pokud jsou s nimi manipulováno, Finder vám dá vědět, když se je pokusíte spustit.
Mac App Store také využívá notářské ověření a šifrované digitální ověření účtenek, aby bylo zajištěno, že stažené aplikace pro Mac nebudou ohroženy.
Celkově tato nastavení zabezpečení pomáhají zlepšit zabezpečení vašeho Macu a znamenají, že malware bude mít mnohem těžší proniknout do obrany vašeho Macu. Pomáhají také chránit vaše soukromé soubory.
Možná se budete chtít podívat na tato nastavení, abyste zajistili, že všechny vaše aplikace jsou nakonfigurovány pro maximální zabezpečení. Nezapomeňte se také podívat na průvodce zabezpečením platformy Apple.
Zdroj: appleinsider.com