如何保護默認安裝MacOS

新聞 10-09

截至2016年年中，MacOS佔全球台式PC市場的近10%。雖然蘋果電腦比Windows的操作系統更安全，但最近幾年安全研究人員也開始研究Mac OS安全性，發現了不少安全問題。雖然MacOS內置了許多強大的安全功能，但MacOS的用戶可以通過多種配置更改以及安全軟體的使用來採取措施來提高設備的安全性。

在本文中，我們將介紹MacOS內置的一些安全功能，如何正確配置它們，以及提供有關可以提高系統安全狀態的其他軟體的信息。

1.介紹

工作站的安全性至關重要。威脅可能包括通過運行的服務進行遠程攻擊，或通過電子郵件傳播惡意軟體進行感染。通過確保工作站的安全，我們可以減少未經授權的第三方獲得敏感數據的可能性，並節省時間，無需根除惡意軟體，從系統備份還原或重新安裝操作系統和應用程序（NIST，2016）。

對運行MacOS的系統存在各種各樣的威脅。第一個是本地的威脅。本地威脅需要物理訪問系統。除物理控制之外，基於軟體的控制項可用於減輕這些攻擊。使用固件密碼以及硬碟驅動器的加密可以防止對數據的訪問，即使硬碟從系統中刪除。物理攻擊者也可以利用工作站，如果它無人值守和解鎖。密碼應該用於對工作站進行身份驗證，密碼應該很強（NIST，2016）。

遠程威脅攻擊在系統上運行的服務。不需要身份驗證或無法使用加密的服務是攻擊者的理想目標。這可以通過刪除未使用或易受攻擊的服務並在安全補丁上保持最新來緩解。使用防火牆還可以減少攻擊面，使易受攻擊的遠程攻擊者無法訪問（NIST，2016）。

惡意的有效載荷可以通過多個不同的向量找到系統，包括網頁瀏覽，電子郵件和可移動媒體。但是，利用低許可權賬戶進行日常使用，我們可以減少惡意軟體感染的惡夢。防病毒可以在有機會執行之前檢疫已知的惡意有效載荷（NIST，2016）。

本文提供了有關保護MacOS安裝的信息。通過實施這些建議，用戶將能夠更好地保護其各自組織內的系統和系統。雖然每個環境都有獨特的要求，但這應該是一個準則。其中一些建議可能會刪除可能需要或需要的功能。安全性和功能性之間的可接受的折衷由讀者確定。

2.內置安全控制

2.1 軟體更新

隨著MacOS的發布，Sierra Apple帶來了一些新的安全更新。Apple可以幫助用戶隨時了解最新的軟體，只要有新的更新可以發送通知，並且可以點擊一下按鈕進行下載。這可以幫助用戶快速將軟體升級到最新版本。

要配置App sore以自動檢查更新，請轉到系統首選項，單擊App Store，並確保選中「自動檢查更新」。

2.2 Gatekeeper

Gatekeeper首先在OS X Lion中引入，用於強制執行代碼簽名，從而降低了包含惡意軟體的應用程序的可能性。默認情況下，MacOS只會運行從Mac App Store下載的應用程序和使用有效的開發人員ID簽名的應用程序。也可以將其配置為僅允許來自App Store的應用程序，或者允許未簽名的應用程序（NIST，2016）。

2.3 XProtect

蘋果公司的反惡意軟體防護稱為X-Protect。在OS X Lion中可用。當應用程序從隔離感知應用程序（如Web瀏覽器或即時通訊器）下載時。它通過比較應用程序與任何已知的惡意軟體簽名來工作。默認情況下，這些定義被默認更新並啟用。當您下載應用程序時，它將設置隔離區，並將隔離區與System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist中的惡意軟體定義列表進行比較。如果有匹配，您將收到一條警告消息。XProtect不包含任何高級啟發式，但應該保留，因為它可以防止常見的惡意軟體（Hoffman，2015）。

2.4 FileVault

MacOS還附帶一個名為FileVault的加密實用程序。由於OS X Lion，該實用程序允許完全磁碟加密。它也可用於加密可移動驅動器以及Time Machine備份。

FileVault對性能沒有明顯的影響。如果設備遭到破壞，它會使系統上的數據無法訪問。Apple在其FileVault最佳實踐白皮書中解釋說：「所有計算機都具有某些類型EFI（BIOS）的固件，以幫助發現硬體組件，並最終使用所需的OS實例正確引導計算機。在Apple硬體和使用EFI的情況下，Apple將EFI中的相關信息存儲在OS X的功能中。例如，FileVault密鑰存儲在EFI中以透明地退出待機模式。「（Apple，2012 ）

如果系統處於待機模式，則可能恢復解密密鑰。在待機期間，密鑰位於內存中，如果RAM被轉儲，則可以提取密鑰。關鍵在待機期間可以被破壞以減輕這個攻擊向量。一個選項是強制執行休眠，這將從內存中驅逐出FileVault的密鑰。您也可以使用pmset實用程序通過以下命令在待機模式下刪除它們：

pmset destroyfvkeyonstandby 1

2.5 Firewall

MacOS還配有內置防火牆。默認情況下，未啟用。MacOS沒有配置許多聆聽服務。啟用防火牆後，用戶可以阻止所有傳入連接，或者以每個應用為基礎配置傳入連接。默認情況下，簽名的應用程序將能夠接收傳入的連接。還有「隱身模式」的選項，忽略ICMP數據包，不會提供響應（Hoffman，2014）。建議阻止傳入的連接，除非在需要的系統上運行服務。

2.6 Keychain

MacOS還內置了密碼管理功能。MacOS管理密碼的主要方式是通過鑰匙串。鑰匙串是一個可以存儲密碼以及帳戶信息的應用程序。鑰匙扣也可用於管理用於驗證網站，數字文檔和其他基於網路的材料（Apple，2016）的證書。鑰匙串通常設置為與登錄密碼相同，但也可以設置為不同的密碼。為了減少鑰匙串密碼泄密的可能性，應將其設置為除登錄密碼之外的其他內容。默認情況下，當您的電腦進入睡眠狀態時鑰匙串不會鎖定。您可以使用鑰匙串訪問實用程序在睡眠時啟用鑰匙串鎖定並在一定時間後鎖定（NIST，2016）。

2.7 Sandboxing

蘋果已經對來自Mac應用商店的應用程序實施了沙盒。這有助於減輕應用程序中可能危及主機系統的軟體缺陷的影響。雖然這減少了某些應用程序的功能（Martin，2011），但它提供了巨大的安全性收益。也可以使用sandbox-exec工具強制任何應用程序在沙箱中運行。（Prandzioch，2016）要在App Store以外的應用程序上使用沙盒，我建議您使用https://github.com/pansen/macos-sandbox-profiles。雖然沙盒並不總是100和有效的（Core Security，2011），但它可以減少受利用的應用程序的傷害。

2.8 System Integrity Protection

首先使用OS X El Capitan來到Mac的另一個安全功能是SIP（系統完整性保護）。SIP有時被稱為「無根」，可以防止潛在的惡意軟體修改受保護的文件。它基本上是限制root用戶帳戶的許可權。有了這一點，只有Apple簽署的進程可以修改這些保護區域。禁用SIP沒有很多好的理由，強烈建議您將其停留（Apple，2016）。

3.配置

3.1 用戶帳戶管理

MacOS允許用戶在啟動過程中自動登錄。這不應該被使用。如果啟用自動登錄，密碼將存儲在/etc/kcpassword中，使用已知密鑰進行XOR d，允許訪問機器的任何人恢復密碼明文（StackExchange，2012）。

當收到新的MacOS安裝時，創建的第一個用戶帳戶是一個管理用戶帳戶。管理用戶是管理組的成員，並具有sudo許可權，使他們能夠控制其他用戶帳戶以包含root用戶帳戶。創建用戶帳戶時，Apple建議以下操作：「減少對有害應用程序或文件的影響，限制您創建的管理員用戶數量。考慮為您的日常工作創建標準用戶，只有在需要安裝軟體或管理用戶時才使用管理員用戶。「（Apple，2016）

蘋果還允許用戶創建訪客用戶。邀請訪客的用戶是這樣的，朋友和家人可以使用沒有密碼的系統，而無需訪問所有者的文件。這對許多人來說可能是有幫助的，但是它會產生一定程度的風險。如果存在針對MacOS的本地特權升級攻擊尚未修補，則可能會通過訪客用戶帳戶利用此漏洞。除非明確需要，否則客戶帳號應該被禁用。（NIST，2016）

3.2 固件密碼

啟用固件密碼可以提高MacOS系統的安全級別。固件密碼在實際的邏輯板固件上設置。它是一個EFI密碼，可以保持Mac從外部引導卷或單用戶模式引導。在過去，通常可以通過刪除內存來繞過固件密碼，但是事實並非如此（Tanasi，2017年）。該固件還可以阻止通過FireWire等介面進行直接內存訪問。固件密碼與主機系統保持一致，因此卸下驅動器並將其帶到另一個系統將不會刪除密碼（Apple，2012）。雖然這是一個強有力的控制，但並不能完全免除所有的攻擊。在2016年，安全研究人員通過重新閃爍晶元（osxreverser，2016）發現了繞過某些實現的方法。這不會恢復密碼，但仍然會授予訪問許可權。通過將系統卸載到Apple零售商店或Apple授權的服務提供商（Apple，2016），唯一的方法是刪除固件密碼。

3.3 Bonjour

Bonjour是蘋果執行零配置網路的名稱。它用於服務發現，地址分配和主機名解析。因為bonjour廣告所有系統的功能，它向攻擊者提供關於系統上運行什麼類型的軟體的信息（Tanasi，2016）。在2016年IEEE安全和隱私研討會期間提交的白皮書，一組研究人員確定了一些使用零配置框架的蘋果服務，這些框架在執行過程中缺乏安全性，例如Apple Handoff和Airdrop。因為零配置協議沒有辦法驗證身份，依賴於它的服務容易受到MITM（中間人）攻擊。這將允許同一網段的攻擊者攔截正在傳輸的文件（Bai，2016）。

3.4 禁用共享

在新的MacOS系統上，默認情況下禁用所有共享。這是最安全的狀態。如果需要分享，應考慮到一些預防措施。

3.4.1 屏幕共享和遠程管理

這兩個服務允許遠程控制系統，類似於基於VNC的流行屏幕共享應用程序。通常需要的唯一時間就是遠程支持。如果需要，請確保使用強密碼進行身份驗證。不使用時禁用（NIST，2016）。

3.4.2 遠程登錄

遠程登錄控制對SSH和SFTP的訪問。協議本身是相對安全的，但除非需要，否則它們應該保持禁用。為了額外的安全性，SSH可以配置為僅通過編輯/etc/ssh_config允許基於密鑰的身份驗證，並設置以下值:(stackexchange,2017)

PermitRootLogin noPasswordAuthentication noPermitEmptyPasswords noChallengeResponseAuthentication no

4.總結

如果您熟悉了以上所有配置，可以讓您的mac os安全等級提升一個層次。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！