V macOS jsou k dispozici bezpečnostní zásady, které omezují, které aplikace mohou běžet mimo obvyklé ochranné systémové zásady. Zde je návod, jak může macOS Sequoia v některých případech přepsat systémové zásady.
MacOS společnosti Apple je jedním z nejbezpečnějších operačních systémů na světě. Přesto není žádný operační systém spolehlivý a narušení bezpečnosti je stále možné.
V posledním desetiletí Apple přidal do macOS několik dalších bezpečnostních funkcí, které pomáhají zlepšit zabezpečení. Patří mezi ně, ale nejsou omezeny na:
- ID vývojáře
- Vrátný
- Notářské ověření aplikace
- Digitální podpisy aplikací
- Ochrana integrity systému (SIP)
Developer ID a Gatekeeper jsou dvě bezpečnostní funkce související s aplikacemi, které ověřují a autorizují aplikace pro Mac, aby bylo možné povolit nebo zakázat jejich spuštění. Gatekeeper brání aplikacím ve spuštění, pokud není potvrzeno, že pocházejí od registrovaného vývojáře Apple nebo Mac App Store.
Je také možné, aby aplikace pouze s ID vývojáře běžely při stažení mimo Mac App Store, pokud byly ověřeny společností Apple.
Gatekeeper je to, co způsobuje, že se při prvním spuštění nově stažené aplikace ve Finderu zobrazí okno průběhu „Ověřování“. Toto okno se zobrazí, když Gatekeeper při prvním spuštění ověří podepsané digitální účtenky všech součástí aplikace.
V macOS Nastavení systému aplikace, můžete si vybrat, zda povolíte spouštění pouze aplikacím ověřeným Gatekeeperem (App Store). Prostřednictvím Developer ID můžete také povolit Gatekeeper a aplikace od registrovaných vývojářů Apple.
Pokud se pokusíte spustit aplikaci pro macOS bez kterékoli z těchto funkcí zabezpečení, zobrazí se v aplikaci macOS Finder upozornění, že aplikaci nelze otevřít. Chcete-li toto upozornění přepsat, klikněte Hotovopak se vraťte na Nastavení systému->Ochrana osobních údajů a zabezpečení a klikněte na Přesto otevřít tlačítko:
Notarizace aplikací zvyšuje zabezpečení aplikací pro Mac a diskových obrazů tím, že Apple ověřuje, že neobsahují škodlivé komponenty.
Digitální podpis aplikace je zašifrovaný podpis aplikace pro Mac v době, kdy je vytvořena vývojářem, a když je stažena z Mac App Store. Digitální podpisy zajišťují, že aplikace není falešná – a že její obsah nebyl po distribuci zfalšován.
System Integrity Protection (SIP) je celosystémová bezpečnostní funkce, kterou společnost Apple přidala do macOS 10.11 El Capitan v roce 2015. SIP chrání důležité soubory operačního systému před neoprávněnou manipulací a také části macOS, a to dokonce i ze strany uživatele root UNIX, pokud by k tomu došlo. povoleno.
SIP lze deaktivovat a znovu povolit v aplikaci Terminal pro macOS, ale Apple to nedoporučuje, protože to otevírá váš Mac bezpečnostním rizikům.
Společně jsou tyto bezpečnostní komponenty známé jako Ochrana za běhu v macOS.
Terminálové aplikace
Apple poskytuje další runtime ochrany pro samostatné binární aplikace, které spouštějí aplikaci Terminál. Patří mezi ně rozšířené atributy (xattrs) a další ochrany na úrovni systému.
Některým terminálovým aplikacím příkazového řádku nemusí být povoleno spouštění s výchozími zásadami zabezpečení systému. Apple to dělá, aby chránil uživatele před neověřenými škodlivými terminálovými nástroji příkazového řádku třetích stran.
Tato omezení se vztahují pouze na některé aplikace.
V některých případech může být nutné, aby běžné aplikace macOS s možností dvojitého kliknutí spouštěly samostatné nástroje příkazového řádku nebo jiné softwarové komponenty.
Povolení aplikací spouštět jiné aplikace
Pokud chcete mít možnost spouštět aplikaci, která musí běžet mimo zásady zabezpečení systému macOS v macOS Sequoia, vraťte se na Nastavení systému->Ochrana osobních údajů a zabezpečení podokno. Chcete-li jej povolit, musíte na každé podstránce zkontrolovat přepínač.
Například některé vývojářské nástroje příkazového řádku musí běžet mimo zásady zabezpečení systému, aby mohly spouštět jiné příkazy, zpracovávat soubory nebo provádět jiné omezené akce.
V tomto příkladu přejděte na Nastavení systému->Ochrana soukromí a zabezpečení->Nástroje pro vývojáře podokně a uvidíte následující přepínač:
Bohužel v macOS v současné době neexistuje způsob, jak toto povolit v celém počítači a pravděpodobně by ani nemělo být, protože by to vystavilo váš Mac dalším bezpečnostním rizikům.
Ale je možné to povolit pro každou aplikaci – pokud to daná aplikace podporuje. Tato funkce opět nebude dostupná pro všechny aplikace, takže budete muset zkontrolovat každou zvlášť.
Ve většině případů nebudete muset přepsat zásady zabezpečení macOS, ale u některých aplikací v určitých případech možná budete chtít.
Kompletní přehled Gatekeepera, Developer ID a používání Nastavení systému pro otevírání aplikací viz Technote 102445 společnosti Apple, Bezpečné otevírání aplikací na vašem Macu.
Zdroj: appleinsider.com