Это руководство о безопасности, а не конфиденциальности.
Кроме того, в него не включены те меры безопасности, которые сильно снижают удобство использования.
Это руководство предназначено для создания систем с уровнем безопасности выше среднего, без отказа от функциональных возможностей.
Статья обновлена с выходом macOS Sequoia.
Простой уровень
Это может сделать каждый, никаких технических знаний не требуется.
Переустановите macOS
Зачем? Лучше начать с чистого листа, чтобы избежать неправильной настройки.
Как? Следуйте этому руководству Apple Support (Intel-based, Apple silicon).
Выполните первоначальную настройку системы.
Включите автоматическое обновление программного обеспечения
Зачем? Чтобы в вашей системе были установлены последние исправления ПО.
Как? Перейдите в System Settings (Системные настройки) > General (Основные) > Software Update (Обновление ПО) > Automatic updates (Автоматические обновления), отметьте все.
Включите блокировку экрана после бездействия
Зачем? Чтобы предотвратить несанкционированный доступ.
Как? Перейдите в раздел System Settings (Системные настройки) > Lock Screen (Экран блокировки), установите значение «Выключать дисплей, если он неактивен» в течение 20 минут или меньше, и «Запрашивать пароль после запуска заставки или выключения дисплея» на 5 секунд или меньше.
Запретите неподписанное программное обеспечение
Зачем? Чтобы предотвратить запуск потенциально вредоносных программ.
Как? Перейдите в System Settings (Системные настройки) > Privacy & Security (Конфиденциальность и безопасность) > Security (Безопасность), установите для параметра «Разрешить использование приложение из» только значение App Store & Known Developers (App Store и от подтвержденных разработчиков).
Включите шифрование диска
Зачем? Для предотвращения несанкционированного доступа к вашим данным.
Как? Перейдите в System Settings (Системные настройки) > Privacy & Security (Конфиденциальность и безопасность) > Security (Безопасность)> FileVault. Если последний отключен, нажмите «Включить...» и следуйте инструкциям.
Включите сетевой экран
Зачем? Чтобы снизить риск сетевых атак.
Как? Перейдите в System Settings (Системные настройки) > Network (Сеть) > Firewall (Брандмауэр), включите его и выберите «Блокировать все входящие соединения», но это может ухудшить пользовательский опыт.
Отключите гостевую учетную запись
Зачем? Чтобы предотвратить несанкционированный доступ.
Как? Перейдите в System Settings (Системные настройки) Системные настройки > Users & Groups (Пользователи и группы) > Guest User (Гостевой пользователь), снимите все флажки.
Отключите сетевые службы
Зачем? Чтобы снизить риск сетевых атак.
Как? Перейдите в System Settings (Системные настройки) > General (Основные) > Sharing (Общий доступ), снимите флажки со всех неиспользуемых служб.
Отключите доступ к ненужным приложениям
Зачем? Чтобы ограничить потенциальное воздействие вредоносных программ.
Как? Перейдите в System Settings (Системные настройки) > Privacy & Security (Конфиденциальность и безопасность) > Privacy (Конфиденциальность) > Camera (Камера), снимите флажки со всех программ, которым этот доступ не нужен. Сделайте то же самое для всего списка: микрофон, универсальный доступ и прочее.
Запретите Safari автоматически открывать загрузки
Зачем? Чтобы вы знали, что запускаете.
Как? Перейдите в Safari > Settings (Настройки) > General (Основные), отключите функцию «Открывать „безопасные“ файлы после загрузки».
Включите показ расширения всех файлов
Зачем? Чтобы вы знали, что запускаете.
Как? Перейдите в Finder > Settings (Настройки) > Advanced (Дополнения), установите флажок «Показывать все расширения имен файлов».
Отключите беспроводную сеть, если не пользуетесь
Зачем? Чтобы снизить риски атак по беспроводным сетям.
Как? Отключайте Wi-Fi и/или Bluetooth, если вы их не используете.
Используйте менеджер паролей
Зачем? Чтобы избежать повторного использования паролей и облегчить двухфакторную аутентификацию.
Как? Выберите менеджер паролей, который соответствует вашим потребностям. Мне нравится, 1Password.
Продвинутый уровень
Для тех, кто хочет углубиться в настройки безопасности
Выполняйте повседневные задачи с правами пользователя, не являющегося администратором.
Почему? Пользователь, созданный на этапе установки системы, имеет права администратора. В случае утечки пароля это может значительно усугубить последствия.
Как? Создайте учетную запись пользователя со стандартными правами и используйте ее, когда вам не нужны права администратора. Этот способ считается продвинутым, так как доставляет много неудобств при работе.
Пересмотрите риски, связанные с расширениями для браузеров
Почему? Расширения для браузеров, такие как блокировщики рекламы или программы проверки грамматики, требуют полного доступа для чтения и записи ко всему, что вы делаете в Интернете. Да, это включает и ваши пароли. Само по себе это не является вредоносным, но стоит ли это такого риска?
Как? Просмотрите установленные в вашем браузере расширения и оцените их важность для вас, а также то, стоит ли идти на риск или нет. Мне нравится, когда они установлены, но можно разрешать им доступ только к определенным сайтам или по требованию.
Запустите дополнительный сетевой экран (Firewall)
Зачем? Чтобы просматривать и контролировать исходящие сетевые подключения.
Как? Установите Little Snitch (платный) или LuLu (с открытым исходным кодом).
Блокируйте вредоносные доменные имена
Зачем? Чтобы снизить вероятность отравления DNS.
Как? Установите файл /etc/hosts от StevenBlack (или мой).
Включите безопасный ввод с клавиатуры терминала
Зачем? Чтобы другие приложения не могли подглядывать за тем, что вы набираете в терминале.
Как? Перейдите в программу Terminal > меню Terminal, выберите пункт «Безопасный ввод с клавиатуры».
Включите белый список процессов (приложений)
Зачем? Чтобы полностью предотвратить запуск приложений, которые не разрешены.
Как? Установите и настройте Google Santa.
Серьезный уровень
Специалисты по безопасности наверняка знают о безопасности macOS больше меня, поэтому я не буду давать никаких конкретных рекомендаций.
Вместо этого я обращусь к авторитетным специалистам по этому вопросу:
И это все?
Нет.
Безопасность — это постоянная задача. Вы должны активно следить за вновь обнаруженными уязвимостями и изучать способы защиты от них.
Несколько общих (но полезных) правил:
Всегда своевременно обновляйте программное обеспечение.
Предотвращайте физический доступ к устройствам без присмотра.
Не используйте пароли повторно и включите двухфакторную аутентификацию.
Регулярно создавайте резервные копии данных.
Не теряйте бдительности. Большинство атак в наши дни направлены не на систему, а на пользователя, на вас.
Берегите себя!
Комментарии (4)
ash_lm
06.01.2025 09:49Никому не в обиду, но когда на ресурсе, который позиционирует себя как серьёзно-технический я вижу подобные статьи, то у меня всплывает в голове только один фильм.
lealxe
06.01.2025 09:49Все интересное выгнали нафеншуй. Чтобы не обсуждали тут всякое интересное. И не бунтовали. И не проводили общественным батоном по губам друзьям администрации. Оставили ализарщину, в лучшем случае.
Einherjar
Если уж речь про настолько параноидальный уровень что требуется отключать wifi, то хранить все свои пароли в стороннем онлайн-сервисе это крайне вредный совет перевешивающий пользу от практически всех остальных советов вместе взятых
achekalin
Тем более, что, во-первых, в последней версии макоси есть и свой парольный менеджер, хранящий пароль в облаке apple - не то чтобы это знак качества, но это доверие той же компании, которая и макось делает, без привлечения других облаков и других уровней пофигизма/паранойи.
А во-вторых, если серьезнее подходить, то локально хранящий пароли (с шифрованием) опен-сорсный менеджер как-то поспокойнее для юзера будет.