У вас на столе чудный новенький Мак… Красавчик, что и сказать. Но отвлекитесь на минутку от восторгов и подумайте о том, что эйфория вскоре пройдет и потянутся рядовые будни, а будням присущи проблемы. Давайте попробуем защитить себя от возможных неприятностей разумной настройкой параметров безопасности Mac OS X. Уделите вопросу немножко времени и многие из них обойдут вас стороной.
Не секрет, что безопасность и комфорт частенько располагаются в разных углах ринга. А Мак славится именно мелочами в удобстве пользования и отказываться от них захочется не всем. Давайте поговорим о других мелочах, которые желательно знать любому маководу. А дальше каждый сможет принять решение: безопасно или комфортно? В идеале хорошо бы сделать всё нижеперечисленное сразу после первого включения системы. Понятно, что уже не все из вас смогут это сделать. Ну что ж, в данном случае лучше позже, чем никогда.
Проверяем настройки брандмауэра Mac OS X
Сегодня безопасность вашей машины во многом зависит от того, работает ли она автономно или подключена к какой-нибудь сети. С большой вероятностью в Интернет вы ходите каждый день, поэтому начнем именно с этого. Если вы в Сети, вам нужен брандмауэр. Эта служба – контролер сетевых соединений, с её помощью операционная система фильтрует все подключения к вашему компьютеру из сети – как внешней, так и внутренней. Существуют программные брандмауэры, над настройкой которых сломал голову не один системный администратор – настолько сложной она может быть. Однако в Mac OS X, как обычно, всё уже сделано за вас. Нужно только нажать кнопку “включить”, в остальном обычному пользователю разойтись не дадут.
Чтобы запустить брандмауэр, откройте Системные настройки, раздел “Защита и безопасность”, вкладку “Брандмауэр”. Ткните в кнопку “Включить”. Вы на полпути к успеху. Теперь желательно кликнуть кнопку “Параметры брандмауэра” и проверить то немногое, к чему нам оставили доступ.
Самым важным тут является последний пункт, он даёт возможность включить так называемый “невидимый режим”, в котором ваша машина не отвечает на служебные сетевые запросы, часто используемые неправоверными горожанами, например для выявления возможных дыр в системе безопасности. При этом функциональность обычных приложений никак не страдает. Посему рекомендую держать этот режим включённым.
Если вы не хотите заморачиваться в дальнейшем ответами на вопросы, которые время от времени будут вылезать, поставьте галку напротив пункта “Автоматически разрешать входящие подключения подписанному ПО”. В этом случае система сама разрулит большинство непоняток, за исключением случаев, когда она посчитает, что программа, запрашивающая входящее подключение, не имеет сертификата, выданного надёжным сервисом. Но такое случается довольно редко, и вы не слишком устанете от принятия трудных решений.
И последнее… этот пункт понравится фанатам безопасности. Тут можно заблокировать все входящие подключения, кроме самых базовых, обеспечивающих сетевые взаимодействия. В обычной ситуации от этого прежде всего пострадают ваши соседи по локальной сети, потому как просто не смогут пользоваться расшаренными ресурсами вашей машины. Все сервисы, использующие общий доступ к файлам, принтерам, веб-страницам, экрану, а также служба удалённого доступа к вашему компьютеру станут неработоспособными.
Эта штучка может оказаться полезной, если вы выходите в Интернет в какой-нибудь кафешке, или подключаетесь к корпоративной сети у себя на работе, и не хотите, чтобы чужие лапы шарили по вашим папкам со свадебными фотографиями. Одним кликом можно окоротить любого любопытного сетевого соседа. При этом остаётся возможность полноценно пользоваться браузером, почтовым клиентом, аськой и доступом по FTP. В общем, запомните эту галочку, однажды она вам пригодится.
К сожалению, встроенный брандмауэр Mac OS X не фильтрует исходящие соединения. Если вам не всё равно, что каждое третье установленное вами приложение пытается самовольно выйти в сеть, соединиться с каким-то непонятным сервером и передать ему неизвестно какие данные о вашем компьютере или о вас, подумайте о возможности использования специальных программ, которые призваны предупреждать подобный беспредел.
Общепризнаным любимцем в этой области является “стукачок” Little Snitch . К сожалению, за него просят целых 30 евро… но он того стоит. Если в вашей голове зашевелились крамольные мысли о торрентах, добавьте к ним одну отрезвляющую: эта программа призвана контролировать сетевые соединения. Это означает, что во-первых, она обеспечивает вашу безопасность. А во-вторых – её уже никто не контролирует. Известно предостаточно случаев, когда в комплекте с популярными программами торренты втюхивали жадным юзерам чудные наборы троянов. Кто даст гарантию, что вы не скачаете именно такой комплект? Последствия могут вам не понравиться…
Обеспечиваем безопасность Mac OS X при установке программ
В продолжение темы...
-
Не пожалейте 5 минут на установку апдейтов. Новых прикольных фишек вы не получите, зато избавите себя от возможной головной боли в будущем…... -
Пользователи сервисов Apple получили возможность использовать двухфакторную авторизацию на серверах компании...... -
Голландская компания DigiNotar в июле 2011 года выдала неизвестным лицам SSL сертификат для домена google.com. После недолгих разбирательств стало ясно, что любой человек, пользующийся сервисами...
По статистике, в большинстве случаев потери информации в результате действий злоумышленников (речь сейчас идет не только о вирусах и троянах, количество которых на Маке ничтожно), виноваты не столько злоумышленники, сколько сами пользователи. Кто-то ходит в интернете по сомнительным сайтам и с готовностью кликает по всем предложениям «скачать что-то интересное». Кто-то, работая с конфиденциальными данными, не позаботился о шифровании. Кто-то, уходя в офисе на обед, забывает заблокировать доступ к компьютеру. Список можно продолжать ещё долго, но итог всех этих легкомысленных действий обычно один — злоумышленник легко получает доступ к информации на компьютере пользователя. Между тем, соблюдая ряд нескольких довольно несложных правил, вы можете серьезно обезопасить свой Мак и риск потери данных свести к минимуму.
1. Выключите опцию ОТКРЫВАТЬ «БЕЗОПАСНЫЕ» ФАЙЛЫ ПОСЛЕ ЗАГРУЗКИ в веб-браузере Safari
Если Safari является штатным браузером в вашей системе, то выключение этой опции убережет вас от большинства вредоносных программ для Mac OS X. Сделать это можно в меню настроек программы, на вкладке Основные .
2. Отключите автоматический вход в систему
Несколько секунд, которые вы сэкономите на вводе пароля своей учетной записи, не стоят той информации, которой может завладеть злоумышленник, когда, например, ваш ноутбук будет украден или утерян. Впрочем, владельцам десктопов данным советом тоже не следует пренебрегать.
3. Блокируйте экран, когда отходите от компьютера
Не стоит конечно подозревать всех ваших сослуживцев в шпионаже, но тем не менее, оставляя свободный доступ к компьютеру после вашего, пусть даже кратковременного ухода, вы предоставляется возможность любому желающему поинтересоваться содержимым жесткого диска. Есть несколько способов блокировки экрана и самый простой из них — назначение одного из углов экрана на запуск заставки, для выхода из которой потребуется пароль. Для этого заходим в панель Системные настройки , а затем производим следующие действия.
В разделе Рабочий стол и заставка выбираем скринсейвер, который будет появляться на экране.
Кликнув на кнопку Активные углы , назначаем на один из углов экрана запуск выбранного скринсейвера. Теперь, если переместить курсор мыши в это угол, то запустится скринсейвер.
И последний, самый главных штрих — блокировка паролем отключения скринсейвера. Для этого, находясь все в тех же Системных настройках , открываем раздел Безопасность и активируем пункт Запрашивать пароль при выходе из режима сна или заставки . Теперь, для того, чтобы выключить запущенный скринсейвер, нужно будет ввести пароль от вашей учетной записи.
4. Используйте генератор паролей
Без паролей сейчас никуда, они используются, как правило для авторизации, практически на любом сайте, сервере, в почтовых программах и мессенджерах и т.д. Чем пароль сложнее, тем труднее его не только взломать, но и банально запомнить. Люди по-разному решают эту проблему — одни записывают все пароли в открытом виде (!) в записную книжку, другие используют один пароль (!!) для всех своих учетных записей и т.д. Это в высшей степени небезопасно, потому как для того, чтобы получить доступ ко всем аккаунтам пользователя, злоумышленнику достаточно узнать всего один пароль или выкрасть записную книжку. Использование генераторов и менеджеров паролей, например штатной Связки ключей , позволит создавать вам отдельные сложные пароли для каждого сервиса в интернете без необходимости их все запоминать. Более того, программа может помочь создать пароль любой сложности. Вам нужно будет помнить только один пароль - от вашей учетной записи в Mac OS X, остальное будет работать само.
Как вариант, можно использовать приложения сторонних разработчиков, например популярный менеджер паролей 1Password , о котором мы уже на страницах нашего сайта.
5. Включите файрволл
Даже при практическом отсутствии опасных вирусов для Mac OS X, всегда остается вероятность проникновения в компьютер извне, с помощью открытых портов и найденных уязвимостей в операционной системе. Именно для предотвращения такой вероятности и служит файерволл. Штатный файерволл в Mac OS X, по умолчанию отключен (компания Apple предоставляет пользователю право самому решать, стоит его включать или нет) и для того, чтобы его включить, пользователю потребуется воспользоваться панелью Системных настроек и в разделе Безопасность , на вкладке Брандмауэр , включить соответствующую опцию.
6. Используйте средства мониторинга сетевой активности
Различные средства сетевой активности, такие, как например, Little Snitch позволят отслеживать все исходящие соединения приложений, установленных на вашем компьютере и в случае несанкционированной попытки какого-либо приложения связаться с удаленным сервером, тут же сообщат об этом. Таким образом можно предотвратить деятельность вредоносных программ, каким-либо образом просочившимся на компьютер и сохранить свои данные от утечки.
7. Используйте защищённую виртуальную память
Ещё одна важная настройка из пульта «Безопасность» в настройках системы — шифрование виртуальной памяти, т.е. файла подкачки Mac OS X, в который сбрасывают данные, не помещающиеся в оперативной памяти. На современных Маках эта опция включается автоматически, и отключать её смысла нет, поскольку вы вряд ли ощутите ту нагрузку на процессор, которую создаёт шифрование памяти.
8. Используйте шифрование FileVault
Если вы работаете с особо важными или конфиденциальными данными, то рекомендуется использовать FileVault — встроенную в Mac OS X, систему шифрования домашних каталогов пользователей. Система использует достаточно устойчивые и надежные алгоритмы шифрования и вполне может обезопасить ваши конфиденциальные данные от просмотра посторонними людьми. Для включения FileVault, в панели Системных настроек заходим в уже знакомый нам раздел Безопасность и на вкладке FileVault активируем систему.
9. Безопасно удаляйте файлы из Корзины
Многие пользователи наверняка удивятся, узнав, что файлы, удаленные из Корзины, при необходимости, относительно легко можно восстановить. Да что там файлы, удаленные из корзины — существуют программные средства, позволяющие восстановить данные даже после форматирования жесткого диска! Для того, чтобы быть уверенным, что удаленные данные гарантированно нельзя будет восстановить (понимаем, что это попахивает паранойей, но ведь не все пользователи хранят на своих жестких дисках только музыку и фильмы), следует не просто удалять информацию из Корзины, а производить т.н. «безопасную» очистку Корзины.
Делаем правый клик на Корзине в Доке — появится контекстное меню с пунктами Открыть и Очистить Корзину . Если же при этом зажать клавишу CMD , то пункт Очистить Корзину поменяется на Очистить Корзину необратимо — именно он-то нам и нужен. При такой необратимой очисте информация не просто удаляется — место на диске, на котором находились данные, забивается нулями и восстановить информацию уже невозможно.
10. Помните про возможность полного стирания информации на носителях
Если вы хотите продать свой Мак, то обязательно полностью и безвозвратно сотрите все данные с жесткого диска. Самый простой и доступный способ — использование Дисковой утилиты . После того, как вы выбрали раздел диска (или сам диск, если у него не было разделения на разделы) и перешли во вкладку Стереть , нажмите на кнопку Параметры безопасности и выберите один из способов «безопасного» стирания информации. В большинстве случаев хватит метода Zero Out (заполнение нулями), но в особых случаях можно воспользоваться 7- или даже 35-проходным (!) стиранием, когда целых 35 раз производится запись нулей поверх удаленных данных. Чем больше циклов перезаписи, тем дольше будет проходить процесс безопасного стирания информации, но тем больше будет и уверенность в том, что данные никто уже не восстановит.
Мы не призываем строго следовать нашим рекомендациям и обязательно использовать все 9 советов — применение на практике даже нескольких из них уже уменьшит риск потери ваших паролей, конфиденциальных данных и прочей информации, которую вы не хотели бы показывать кому-либо другому.
Помните, безопасность вашего компьютера целиком и полностью в ваших руках!
Вопрос приватности в современном мире касается не только знаменитостей. C завидной регулярностью в сети появляются очередные «сливы» персональных данных пользователей. Сложно настроить персональный компьютер в соответствии со своими потребностями, а если в этом уравнении появляется составляющая безопасности, становится еще сложнее. Личные фотографии, документы и персональные данные - вряд ли вам хочется всем этим делиться с посторонними. Редакция «МакРадара» подготовила детальную инструкцию, которая избавит вас от лишних переживаний.
Настраиваем OS X
Простота в использовании - одно из самых известных преимуществ компьютеров Mac. Тем не менее существуют и вытекающие из этого факта недостатки. Например, приватные данные находятся практически в открытом доступе, что упрощает действия злоумышленников или вредоносных приложений. Несмотря на это, OS X располагает обширным списком настроек безопасности, следующие семь из которых стоят того, чтобы ими воспользоваться.
Проверьте настройки безопасности
Зайдите в «Системные Настройки» → «Защита и Безопасность» и выберите раздел «Конфиденциальность». Выберите приложения, которым разрешен доступ к информации о местоположении, iCloud и детальным данным о системе (раздел «Универсальный доступ»). Действия выполняются как для всех приложений вместе, так и для нескольких, выбранных из списка.
Включите FileVault
OS X поставляется вместе со встроенной системой шифрования FileVault. Включив ее, вам понадобятся логин и пароль или ключ восстановления для просмотра любых данных на компьютере. Включается эта система все в том же разделе настроек. После этого все внутреннее хранилище зашифруется, а система будет требовать пароль для любого доступа к данным.
Не используйте Keychain
Не стоит полагаться на встроенный сервис хранения паролей, особенно во всем, что касается данных вашего браузера. Вместо этого воспользуйтесь сторонними решениями: LastPass или 1Password будут хорошим выбором. В отличие от Keychain, где доступ ко всем данным регистрации, сетевым хранилищам, зашифрованным файлам гарантируется паролем системы, его альтернативы требуют ввода мастер-пароля. Это сильно усложнит злоумышленникам доступ к персональным данным.
Проверьте настройки iCloud
Синхронизация через это облачное хранилище - одна из главных преимуществ экосистемы Apple. Тем не менее, если у вас общий домашний компьютер, автоматическая синхронизация фотографий, файлов, контактов и других данных системы и приложений может стать источником утечки важной информации. В таком случае стоит полностью отключить iCloud. Для этого зайдите в «Системные Настройки» → iCloud и нажмите кнопку «Выйти». Естественно, о дальнейшей синхронизации речи не идет, но это действие станет дополнительной защитой персональных данных. В случае если платить за это отсутствием преимуществ облачного хранилища вы не желаете, проверьте хотя бы, включена ли двухфакторная аутентификация.
Отключите iMessage и FaceTime
Режим «Непрерывность» - главное нововведение OS X Yosemite и самое ожидаемое улучшение экосистемы продуктов компании. Благодаря ему звонки, сообщения и данные о состоянии других приложений синхронизируются с Mac через iPhone. Теперь представим, что посторонний человек работает на вашем компьютере, а вы получаете личное сообщение. Мало того, что он увидит всплывающее уведомление с текстом - перейдя в «Сообщения», он еще и сможет прочитать всю переписку. Компьютер - гораздо менее персональное устройство, чем смартфон, и если этот недостаток безопасности вас беспокоит - отключите «Непрерывность» в «Сообщениях» и FaceTime. В каждом из приложений перейдите в настройки и отключите учетную запись Apple ID.
Отключите Spotlight Web Search
Для своей работы Spotlight необходимо отсылать данные о ваших поисковых запросах в Google или другой поисковик, которым вы пользуетесь. Вторая и более важная с точки зрения безопасности особенность Spotlight - данные отсылаются и Apple, что не кажется хорошей идеей, даже несмотря на заверения компании о конфиденциальности. Отключается встроенный помощник в «Системные Настройки» → Spotlight → Search Results. Там необходимо убрать галочку возле «Предложения Spotlight» и Bing Web Searches. Если же эта функциональность для вас необходима, воспользуйтесь его аналогом Alfred .
Скройте нежелательные файлы
Выбор мест системы, в которых осуществляется поиск - одна из настроек персонального помощника Spotlight. Защитить себя от показа нежелательных файлов постороннему человеку, который воспользуется Spotlight, можно в «Системные Настройки» → Spotlight. Уберите галочки рядом с теми файлами, которые вы не хотите отображать. Они продолжат индексироваться, но в поисковой выдаче появляться не будут. Также в настройках приватности выбираются папки, которые Spotlight исключит из объектов для поиска.
Защищаем персональные данные
OS X не защищает ваши данные от сторонних приложений, а значит, все это вам необходимо выполнить самостоятельно. Защита приватности онлайн - важный шаг, который приходит на помощь в таких ситуациях, но кроме этого есть еще несколько советов, способных усилить безопасность.
Скачайте браузерные расширения приватности
Если вы уделяете немало времени интернет-браузингу - установите AdBlock Plus и Disconnect . Они защитят ваши персональные данные от утечки и трекинга рекламными агентами, веб-сайтами и поисковыми машинами.
Используйте VPN
Технология виртуальных приватных сетей полезна для защиты конфиденциальных данных при использовании публичных сетей. Если вы работаете на компьютере в кофейнях или других людных местах - обратите на нее внимание.
Устанавливайте только одобренные приложения
По-умолчанию эта опция включена в настройках OS X. Она ограничивает установку приложений с неизвестных источников, тем самым защищая компьютер от вредоносного кода, который если не навредит ему, то станет источником проблем для других гаджетов, взаимодействующих с ним напрямую. Чтобы обезопаситься, перейдите в «Системные Настройки» → «Защита и Безопасность» и в колонке General выберите Mac App Store and identified developers из выпадающего списка Allow apps downloaded from.
Это самые простые шаги, усиливающие безопасность. Для дополнительной защиты используйте браузеры , ориентированные на приватность, и замените поисковый движок Google на DuckDuckGo .
Заблокируйте физический доступ к вашему компьютеру
Обезопасить доступ к данным на самом компьютере - только половина задачи. Так как самые популярные компьютеры Apple - это ноутбуки, важный аспект безопасности состоит в защите физического доступа непосредственно к системе.
Сделайте активным экран блокировки
Для этого перейдите в System Preferences → Security & Privacy и во вкладке General поставьте галочку рядом с полями Require password и Disable automatic login, чтобы убедиться, что ваш Mac будет запрашивать в дальнейшем пароль для входа в систему.
Спрячьте имя вашего пользователя
По умолчанию на экране блокировки отображаются имена пользователей, доступных для входа в систему. Теоретически, это дает возможность злоумышленнику угадать пароль и получить доступ к данным.
sudo dscl . create /Users/hiddenuser IsHidden 1
Эта команда добавляет еще один уровень вашей безопасности, требуя ввод и имени пользователя, и пароля при входе.
Добавьте гостевой аккаунт
На случай, когда компьютер нужно дать в краткосрочное использование другу или знакомому, гостевой аккаунт - лучший способ защитить персональные данные. Перейдите в System Preferences → Users & Groups и выберите опцию Guest User. Далее отметьте галочкой пункт Allow guests to log in to this computer. В случае если на компьютере включен FileVault, пользователь сможет использовать только браузер, чего достаточно для большинства краткосрочных сессий.
Все вышеперечисленные советы сделают ваш Mac защищеннее, персональные данные - приватнее, а браузинг - безопаснее. Естественно, такая защита не идеальна, и ее всегда можно будет обойти, но вы как минимум усложните жизнь злоумышленнику.
Для обеспечения повышенной безопасности в macOS используются передовые технологии, которые непрерывно выполняют проверку, шифрование и обновление вашего Mac. А теперь, когда вы можете бесплатно обновиться до macOS Mojave, защитить Mac стало ещё проще. *
Оборудование и программное обеспечение в ещё большей безопасности.
Процессор Apple T2.
Новое поколение безопасности.
Процессор Apple T2, которым оснащается iMac Pro и MacBook Pro с Touch Bar (модель 2018 года), обеспечивает дополнительную защиту Mac. Модуль Secure Enclave, встроенный в процессор Apple T2, отвечает за Touch ID, безопасную загрузку и хранение зашифрованных данных. С датчиком Touch ID можно использовать свой отпечаток пальца вместо пароля и оплачивать покупки с помощью Apple Pay. Безопасная загрузка позволяет убедиться, что компьютер работает под управлением официальной операционной системы Apple. А процессор Apple T2 автоматически шифрует сведения, хранящиеся на встроенном накопителе.
С каждым обновлением защита вашего Mac ещё надёжнее.
Лучший способ обеспечить защиту Mac - работать с последней версией программного обеспечения. macOS оповестит вас о наличии обновлений. Одним нажатием подтвердите своё согласие на установку обновлений - и они загрузятся автоматически. macOS проверяет наличие обновлений ежедневно, чтобы вы могли вовремя установить новейшую и самую безопасную версию macOS.
FileVault 2 шифрует ваши данные.
Шифрование FileVault 2 обеспечит защиту данных, даже если ваш Mac попадёт в чужие руки. FileVault 2 шифрует весь жёсткий диск Mac, используя стандарт XTS-AES 128 для обеспечения безопасности данных. А на компьютерах Mac с процессором Apple T2 ключи для FileVault 2 создаёт модуль Secure Enclave - и он же отвечает за их безопасность. Хотите начать с чистого листа или передать свой Mac другому пользователю? FileVault 2 позволяет легко удалить с Mac все данные. Функция мгновенного стирания удаляет ключи шифрования, блокируя доступ к вашим данным. После чего полностью удаляет данные с диска.
Безопасность
во время работы.
Огромную роль в обеспечении безопасности вашего Mac играют сложнейшие процессы защиты, встроенные в macOS. Такие технологии, как функция отключения выполнения (XD), Address Space Layout Randomization (ASLR) и Kernel ASLR снижают риск того, что вредоносное ПО будет запущено и повредит компьютер, вмешавшись в работу памяти или приложений. Функция защиты целостности системы (SIP) гарантирует, что вредоносное ПО не сможет изменить ключевые системные файлы и настройки даже при проникновении в систему с правами суперпользователя. В macOS Mojave разработчикам доступна среда выполнения Enhanced Runtime - она позволяет встраивать в сторонние приложения средства защиты, работающие во время выполнения. А безопасная загрузка на Mac с процессором Apple T2 позволяет убедиться, что компьютер работает под управлением официальной операционной системы Apple.
Ваш Mac всегда начеку.
Безобидные на вид файлы, загружаемые из интернета, могут содержать вредоносное ПО. Именно поэтому файлы, которые вы загружаете через Safari, Почту и Сообщения, проверяются на предмет наличия в них приложений. Если приложения есть, macOS предупреждает об этом. И ещё раз предостерегает при первом открытии файла. Вы сами решаете, открывать приложение или нет. Если в файле обнаружено вредоносное ПО, macOS предлагает переместить его в Корзину.
macOS и iCloud помогут найти потерянный Mac.
С macOS и iCloud данные будут в безопасности, даже если вы где-то забудете свой Mac. Зайдите на страницу iCloud.com с другого компьютера или используйте функцию «Найти iPhone» на iPhone, iPad или iPod touch, чтобы увидеть свой Mac на карте. Если Mac отключён от интернета на момент поиска, вы можете запросить iCloud прислать вам электронное письмо, как только он подключится к Wi-Fi. Вы также можете вывести на экран сообщение, чтобы человек, нашедший ваш Mac, знал, как его вернуть. Пока Mac не окажется в надёжных руках, вы можете удалённо задать пароль блокировки, приостановить работу Apple Pay или даже стереть личные данные и вернуть Mac к заводским настройкам.
Более безопасный запуск приложений.
Безопасные приложения - в Mac App Store.
Специалисты Apple тщательно проверяют каждое приложение, прежде чем разместить его в магазине. И сразу же удаляют, если в работе приложения возникают неполадки. Все приложения из App Store работают в «песочнице» - это помогает защитить ваш Mac и данные от действий злоумышленников.
Песочница помогает изолировать вредоносные коды.
Технология «песочницы» в macOS позволяет гарантировать, что приложения выполняют только те операции, для которых они предназначены. Суть технологии в том, что приложения изолируются от ваших данных, критически важных компонентов системы вашего Mac и других приложений. Если приложение повреждено вредоносным ПО, «песочница» автоматически блокирует его, чтобы обеспечить безопасность информации и компьютера. macOS помещает в «песочницу» такие приложения, как Safari, Почта, Сообщения, FaceTime, Календарь, Контакты, Фото, Заметки, Напоминания, Photo Booth, Быстрый просмотр, Game Center, Словарь, Шрифты и Mac App Store.
С Gatekeeper скачивать приложения из интернета безопаснее.
Gatekeeper помогает вам контролировать всё, что устанавливается на ваш Mac. Эта функция разрешает открывать приложения, загруженные из Mac App Store, а также из источников, получивших уникальный идентификатор Developer ID от Apple. Developer ID позволяет Gatekeeper блокировать приложения, созданные разработчиками вредоносного ПО, и проверять, не были ли приложения умышленно изменены. В macOS Mojave разработчики могут отправлять свои приложения в Apple для проверки на предмет безопасности. Теперь, когда вы впервые запускаете сторонние приложения, появляется упрощённое диалоговое окно.
Контролируйте доступ приложений к вашим данным.
В macOS вы сами решаете, какие приложения имеют доступ к вашему календарю, контактам, фотографиям, геопозиции, напоминаниям и конфиденциальным системным сведениям, например к переписке в Сообщениях, базам данных Почты или данным Safari, а также к микрофону и камере.
Safari желает вам безопасного интернета.
Сложные пароли упрощают жизнь.
Длинные и сложные пароли надёжнее всего. Но придумать их не так-то просто. Safari автоматически генерирует сложные пароли, сохраняет их и подставляет на всех ваших устройствах Apple. В настройках Safari вы можете найти и поменять все пароли, использованные неоднократно.
Apple рекомендует использовать двухфакторную аутентификацию для ещё более надёжной защиты вашего Apple ID. Учётная запись, защищённая двухфакторной аутентификацией, доступна только вам и только с разрешённых вами устройств, например с вашего iPhone, iPad или Mac. Поэтому, если вы впервые входите в учётную запись на новом устройстве со своим Apple ID, вам потребуется ввести данные в два этапа: пароль и шестизначный код подтверждения, автоматически появляющийся на устройствах, которым вы доверяете.
Связка ключей iCloud надёжно хранит пароли - от буквы до точки.
Вам не придётся запоминать сложные пароли. Связка ключей iCloud хранит имена пользователя и надёжные уникальные пароли, синхронизируя их на выбранных вами устройствах - Mac, iPhone, iPad и iPod touch. Когда вы заходите на сайт, Связка ключей iCloud вводит ваши логин и пароль для доступа к учётным записям. И даже может внести данные кредитной карты при совершении покупок онлайн. А 256-разрядное шифрование
AES обеспечивает полную безопасность данных.
Технология защиты от фишинга выявляет подменённые веб‑сайты.
Фишинг - форма мошенничества, при которой злоумышленники пытаются получить конфиденциальную информацию (например, имена пользователей, пароли, данные кредитных карт) с помощью поддельных веб-сайтов, имитирующих сайты банков, социальных сетей и т.д. Технология защиты от фишинга в Safari предупреждает подобное мошенничество, выявляя подменённые веб-сайты. При посещении подозрительного сайта Safari выводит на экран предупреждение и не допускает загрузку страницы.
(Mat Honan), а также разных параноидальных статей о безопасности Mac, я решил описать, как лично я берегу свой Maс, iPhone и iPad от внешних рисков. С момента выхода первой версии этого материала прошло уже больше 6 месяцев. Некоторые вещи изменились, поэтому я решил его обновить и переопубликовать.
Начну с того, что на моей технике нет планов государственного переворота или чертежей подводных лодок, поэтому рекомендации Пацая , вроде «пароль на доступ в iPhone должен быть обязательно установлен сложный, не 4-значный цифровой, а произвольный», я считаю сильным перегибанием палки.
Нарушение баланса между безопасностью и удобством не вызывает ничего, кроме раздражения и желания выключить все это к чёртовой бабушке. Поэтому при настройке своей системы я старался соблюдать чувство меры.
Что защищаем
Основная информация, которую мне надо обезопасить, связана с электронными кошельками, правами доступа к серверам и т.п. Грубо говоря, тут все сводится к защите базы данных , где это добро и хранится. Дальше идут пользовательские данные, вроде фотографий, музыки и прочей личной информации. Если вы копили все это не один год, то ценность таких данных, особенно фотографий, постоянно растёт.
Потерять информацию на Mac можно как из-за физического вмешательства (пожар, кража), так и от атаки извне. Поэтому защиту будем ставить с обеих сторон.
Не лишним будет обезопасить себя от потери iPhone или iPad, так они могут стать причиной серьёзной утечки данных. При использовании стандартных настроек любой может получить доступ к вашей почте или папке Dropbox.
Безопасность Mac
Сознательные пользователи большинство этих рекомендаций уже используют, но все же повторюсь на своём примере:
- Установите пароль к вашей Учётной записи, а Гостевую - отключите. Последнее действие даёт очевидную выгоду - никто не сможет воспользоваться вашим Mac ни при каких условиях. Но есть и минусы - при краже его нельзя будет отследить функцией поиска iCloud.
Отключить гостевой вход можно в разделе Системные настройки → Пользователи и группы .
Здесь же можно задать пароль администратора.
- Пароль нужно вводить каждый раз после выхода из режима сна или заставки, а также при каждом включении. После определённого времени даже сложные пароли вы начнёте вводить на автомате, так что никаких неудобств это не приносит.
Периодичность запрашивания пароля настраивается в Системных настройках → Безопасность .
- Включите FileVault для шифрования данных на диске, и без пароля администратора злоумышленники будут расшифровывать ваш диск не один год.
Включить шифрование FileVault можно в соответствующей вкладке раздела Безопасность.
- Включите Брандмауэр и Невидимый режим. Это создаст дополнительный барьер для атак из сети.
Обязательно активируйте Брандмауэр.
Невидимый режим включается в Параметрах брандмауэр Все просто, достаточно эффективно и без заморочек. Единственное, что вам теперь придётся делать - вводить пароль при входе в систему. Если хотите ещё больше надёжности, то можно лишить основной аккаунт прав Администратора, но это уже скажется на удобстве.
Безопасность iPhone и iPad
Основная проблема при потере телефона заключается в том, что нашедший получает доступ к почтовым ящикам и содержимому Dropbox (куда любит бэкапиться 1Password). Поэтому первое что нужно сделать при настройке iPhone - поставить пароль на его разблокировку.
Отключить гостевой вход можно в разделе Системные настройки → Пользователи и группы
Чем темнее точка, тем чаще люди используют этот PIN
Если резюмировать это исследование, мы получим следующие рекомендации:
- Избегайте возрастающих последовательностей;
- Избегайте любых дат вроде ДДММ, ДДММ, ММГГ и т.п. (2311, 1123, 1984, 0683…);
- Избегайте клавиатурных паттернов (1245, 2580, 3698…);
- Избегайте цифровых паттернов (8585, 6969, 4567…);
- И никогда не используйте один из этих кодов:
0000, 0101–0103, 0110, 0111, 0123, 0202, 0303, 0404, 0505, 0606, 0707, 0808, 0909, 1010, 1101–1103, 1110–1112, 1123, 1201–1203, 1210–1212, 1234, 1956–2015, 2222, 2229, 2580, 3333, 4444, 5252, 5683, 6666, 7465, 7667.
Ну а теперь вернёмся к iPhone и тому, что на нем надо настроить:
- установите пароль на телефон;
- выберите автоблокировку через 1–2 минуты;
- включите удаление данных после 10 неправильных попыток ввода пароля;
- настройте iCloud для резервного копирования важных данных (адресная книга).
Все эти действия предотвратят доступ злоумышленника к вашим приложениям.
Резервное копирование
Правильное резервное копирование сведёт к нулю полную потерю данных. Я использую трёхуровневые бэкапы. Разумеется, здесь все крутится вокруг . Это значит, что резервное копирование может автоматически происходить дома на Time Capsule (или любой внешний диск), а также на дополнительный диск на работе.
Вероятность одновременно профукать оба диска и компьютера куда меньше. Но если и это произойдёт, то в хозяйстве пригодится USB-стик с базой 1Password и важными файлами, который можно спрятать в банковской ячейке. Обновлять его содержимое нужно только при плановой смене основных паролей. На практике это происходит не чаще двух раз в год, поэтому неудобств метод не доставляет, а вот пользы от такой палочки-выручалочки может быть масса.
Разумеется, диск с резервными копиями Time Machine и USB-стик должны быть зашифрованы. Сделать это можно при помощи Дисковой утилиты.
Защита от внешних угроз
Самый распространённый сценарий - кто-то получит доступ к вашему почтовому ящику и восстановит на него пароли от других служб. Нет никакого смысла говорить о сложности паролей, лучше поговорить о самой идеологии работы с почтой.
История показывает, почта на @me.com неоднократно компрометировала себя. Поэтому регистрировать на неё домены с хостингом и другой важной информацией будет только сумасшедший. Вот отличный пример, как был взломан MacPages.me именно через эту почту.
Для важных данных нужно завести отдельный имейл известный лишь вам. Кстати, вот тут можно забить на Gmail и обратиться к помощи других сервисов. Например, бесплатного аккаунта в Lavabit для этих целей будет более чем достаточно (на момент написания статьи они временно приостановили регистрации).
На этот же почтовый ящик можно завязать восстановления паролей со всех других почтовых адресов и служб. А вот чего делать не надо, так это подключать такую почту на iPhone или iPad.
После создания такого email’a и перевода ключевых сервисов на него не забудьте поискать пароли в вашем старом почтовом ящике. Вы удивитесь, сколько «утечек» там можно найти.
Таким образом, взлом любого из ваших публичных ящиков не позволит злоумышленнику восстановить пароли к домену, хостингу, Twitter, Facebook, а также другим почтовым аккаунтам и прочему добру.
Ну, а если вы остановили свой выбор на Gmail, то уменьшить вероятность самого взлома поможет двухуровневая авторизация (когда помимо пароля нужно ввести код подтверждения, пришедший на телефон).
Последний штрих - одноразовые пароли в Gmail для авторизации приложений. При включении этой функции для каждого приложения, работающего с сервисами Google, можно сделать одноразовый пароль.
Он особенно полезен для iPhone или iPad. При потере устройства вам только придётся зайти в аккаунт и «отключить» от почты нужные программы (устройства). Интересующиеся могут почитать заметку Как работают одноразовые пароли? на хабре.
Теперь по пунктам:
- Используйте раздельные имейлы: личный, рабочий, для треш-регистраций и суперсекретный;
- Настройте двухуровневую авторизацию везде, где это можно;
- Восстановление важных паролей, в том числе и пароли от публичных почтовых ящиков, завяжите на секретный имейл;
- Все внешние почтовые программы должны работать на одноразовых паролях.
Система достаточно эффективна, так как взлом любого из публичных ящиков не несёт никаких серьёзных последствий, да и сам этот процесс без физического доступа к телефону невозможен. Потеря же самого телефона также не проблема - за пару минут можно отключить его от почты или вообще очистить. Доступ к аккаунтам можно выполнить, используя один из секретных одноразовых паролей.
Единственная заморочка - эти самые одноразовые пароли, которые надо генерировать при подключении каждой новой программы, работающей с почтой. Но делать это нужно лишь один раз (для текущей сессии).
В итоге
Мне кажется, что задача защитить данные при минимальном задалбывании пользователя выполнена. Во всяком случае, это работает для меня. Тылы прикрыты, в голове не надо держать кучу сложных паролей, а пользовательские данные практически невозможно уничтожить. При любом сценарии можно развернуть систему до первоначального состояния, а пароли восстановить.
