跳轉至

macOS 簡介

蘋果公司使用 Unix 作業系統來開發macOS 支援自家的 Mac 電腦。 為提高 macOS 隱私,用戶可關閉遙測功能以強化現有的隱私與安全設置。

舊款的 Intel-based Macs 與 Hackintoshe 則無法完全支援 macOS 所提供的安全功能。 為提昇資料安全,建議使用帶Apple silicon晶片的新款 Mac 。

隱私筆記

用戶應考量 一些 macOS 值得關注的隱私問題。 這些涉及作業系統本身,而不是蘋果其他應用程式和服務的問題。

激活鎖

新款 Apple silicon 設備無需網際網路連接即可設置。 但是,恢復或重置 Mac 將需要連接到 Apple 伺服器,以檢查丟失或被盜設備資料庫的激活鎖。

應用程式撤銷檢查

當開啟應用程式時,macOS 會執行連線檢查,驗證應用程式是否包含已知惡意軟體,以及開發人員的簽名證書是否被撤銷。

Apple's OCSP service uses HTTPS encryption, so only they are able to see which apps you open. They've posted information about their logging policy for this service. They additionally promised to add a mechanism for people to opt-out of this online check, but this has not been added to macOS.

雖然可以相對輕鬆地手動選擇退出此檢查,但除非您會受到 macOS 執行撤銷檢查的嚴重損害,不建議這樣做,它們在確保阻止受感染的應用程式運行上發揮著重要作用。

建議的設定

首次設置 Mac 時,您的帳戶將是管理員帳戶,其具有比標準用戶帳戶更高的權限。 macOS 有許多保護措施可以防止惡意軟體和其他程式濫用您的管理員權限,因此使用此帳戶通常是安全的。

然而,破壞利用 sudo 這類的保護效用程式中的漏洞問題,已 發現過。 如果想避免運行的程式濫用管理員權限,可以考慮創建第二個標準用戶帳戶用於日常操作。 這樣的另一個好處是,當應用程式需要管理員訪問權限時,它會更加明顯,因為它每次都會提示您輸入憑據。

如果您使用第二個帳戶,則不會嚴格要求在 macOS 登入畫面需登錄到原始管理員帳戶。 當以標準用戶身份執行需要管理員權限的操作時,系統會提示進行身份驗證,這時可以作為標準用戶單次性輸入管理員憑據。 如果希望在登錄畫面中只有一個帳戶,Apple 提供了隱藏管理員帳戶的指南

iCloud

當使用 iCloud 等 Apple 服務時,大部分資訊都存儲在他們的伺服器上以密鑰保護,且預設情況下 Apple 可以取用該密鑰。 This is called Standard Data Protection by Apple.

因此,如果使用 iCloud,則應啟用進階資料保護。 它利用存在設備上的密鑰對您的iCloud 數據(端到端)加密,此密鑰並不在Apple 伺服器,因此發生數據洩露時您的 iCloud 數據可得到保護與隱匿。

If you want to be able to install apps from the App Store but don't want to enable iCloud, you can sign in to your Apple Account from the App Store instead of System Settings.

系統設定

您應該確認或更改許多內建設置以強化系統。 開啟設定 應用程式:

藍牙

  • 取消勾選 藍牙 (除非目前正使用中)

網路

取決於您使用的是Wi-Fi 還是以太網(由綠點和“已連接”顯示) ”),點擊相應的圖標。

單擊網路名稱旁邊的“詳細資訊”按鈕:

  • Select Rotating under Private Wi-Fi address

  • Check Limit IP address tracking

防火牆

防火牆會阻止不必要的網路連接。 防火牆設置越嚴格,您的 Mac 就越安全。 然而某些服務可能會被封鎖。 您應該將防火牆配置得盡可能嚴格,但不會影響使用的服務。

  • 勾選 防火牆

點擊 生成(Generate) 按鈕。

  • 勾選 阻止所有傳入連接

如果配置過於嚴格,可以再回來取消勾選此選項。 但如果應用程式請求,macOS 通常會提示用戶允許該應用的傳入連接。

一般設定

您的設備名稱預設為“[您的名字] 的 iMac”。 此名稱會在您的網路上公開廣播,因此需將設備名稱更改為通用名稱,例如“Mac”。

單擊關於,然後在名稱欄位上輸入想取的設備名稱。

軟體更新

您應自動安裝所有可用更新,以確保 Mac 具有最新的安全修復。

點擊 自動更新 旁邊的小圖標:

  • 勾選檢查更新

  • 勾選下載可用的最近更新

  • 勾選 安裝 macOS 更新

  • 勾選 從 App Store 安裝應用程式更新

  • 勾選 安裝安全反應和系統檔案

隱私 & 安全

每當應用程式請求權限時,它就會顯示在這裡。 您可決定是否允許或拒絕哪些應用程式的特定權限。

定位服務。

您可以個別同意每個應用程式的定位服務權限。 如果不要應用程式使用您的位置,那麼完全關閉定位服務是最私密的選擇。

  • 取消勾選 定位服務
資料分析 & 改進

決定是否要與 Apple 和開發者共享分析資料。

  • 取消勾選 分享 Mac 數據分析

  • 取消勾選 改善 Siri & 偵測

  • 取消勾選 分享給應用開發人員

  • 取消勾選 分享 iCloud Analytics (如登入 iCloud 方可看到)

Apple 廣告

決定是否依使用狀況個人化廣告接收。

  • 取消勾選 個人化的廣告
FileVault

在具有安全隔離區(Apple T2 安全晶片、Apple 晶片)的現代設備上,您的數據會保持加密。如果設備未檢測到數據遭篡改,則會通過硬體密鑰自動解密。 啟用 FileVault 還需要輪入密碼來解密資料,大大提高了安全性,尤其是在關機時或開機後首次登錄時。

在較舊的 Intel 的 Mac 電腦,FileVault 是預設唯一可用的磁盤加密形式,應始終啟用。

  • 點擊 開啟
封閉模式

封閉模式 禁用某些功能以提高安全性。 某些應用程式或功能在關閉時將無法正常運作,例如 JITWASM 在啟用鎖定模式的Safari 中被停用。 建議啟用封閉模式看看它是否會顯著影響您的使用,它所做的許多更改都很容易接受。

  • 點擊 開啟

MAC 地址隨機化

macOS uses a randomized MAC address when performing Wi-Fi scans while disconnected from a network.

You can set your MAC address to be randomized per network and rotate occasionally to prevent tracking between networks and on the same network over time.

Go to System SettingsNetworkWi-FiDetails and set Private Wi-Fi address to either Fixed if you want a fixed but unique address for the network you're connected to, or Rotating if you want it to change over time.

Consider changing your hostname as well, which is another device identifier that's broadcast on the network you're connected to. You may wish to set your hostname to something generic like "MacBook Air", "Laptop", "John's MacBook Pro", or "iPhone" in System SettingsGeneralSharing. 某些隱私權腳本可輕鬆產生隨機的主機名稱。

安全保護

macOS 通過不同屬性的多層軟體和硬體保護來進行深度防禦。 這確保了某一層故障不會損害系統的整體安全性。

軟體安全

警告

macOS 可以安裝測試版更新。 但它們是不穩定的,可能帶有額外遙測,因為其用於測試目的。 因此,我們建議避免使用測試版軟件。

簽署系統卷宗

macOS 的系統組件受到唯讀簽署系統卷宗之保護,這意味著您和惡意軟件都無法更改重要的系統檔案。

系統卷宗在運行時會予以驗證,任何未使用 Apple 的有效加密簽名進行簽署的數據都將遭拒絕。

系統完整性保護

macOS 設置了某些無法覆蓋的安全限制。 這些稱為強制取用控制,它們構成 macOS 上的沙盒、家長控制和系統完整性保護的基礎。

系統完整保護使重要的檔案成為唯讀,以防止惡意代碼的修改。 這是基於硬體內核完整保護之上,可防止記憶體中的內核遭修改。

應用程式安全性

App 沙盒

On macOS, whether an app is sandboxed is determined by the developer when they sign it. The App Sandbox protects against vulnerabilities in the apps you run by limiting what a malicious actor can access in the event that the app is exploited. The App Sandbox alone can't protect against Supply Chain Attacks by malicious developers. For that, sandboxing needs to be enforced by someone other than the developer themselves, as it is on the App Store.

警告

從官方 App Store 之外下載的軟體不需要沙盒。 If your threat model prioritizes defending against Passive Attacks, then you may want to check if the software you download outside the App Store is sandboxed, which is up to the developer to opt in.

You can check if an app uses the App Sandbox in a few ways:

You can check if apps that are already running are sandboxed using the Activity Monitor.

警告

Just because one of an app's processes is sandboxed doesn't mean they all are.

Alternatively, you can check apps before you run them by running this command in the terminal:

% codesign -dvvv --entitlements - <path to your app>

If an app is sandboxed, you should see the following output:

    [Key] com.apple.security.app-sandbox
    [Value]
        [Bool] true

If you find that the app you want to run is not sandboxed, then you may employ methods of compartmentalization such as virtual machines or separate devices, use a similar app that is sandboxed, or choose to not use the unsandboxed app altogether.

Hardened Runtime

The Hardened Runtime is an extra form of protection for apps that prevents certain classes of exploits. It improves the security of apps against exploitation by disabling certain features like JIT.

You can check if an app uses the Hardened Runtime using this command:

codesign --display --verbose /path/to/bundle.app

If Hardened Runtime is enabled, you will see flags=0x10000(runtime). The runtime output means Hardened Runtime is enabled. There might be other flags, but the runtime flag is what we're looking for here.

You can enable a column in Activity Monitor called "Restricted" which is a flag that prevents programs from injecting code via macOS's dynamic linker. Ideally, this should say "Yes".

防毒軟體

macOS 提供兩種惡意軟體防禦形式:

  1. 首先,防止啟動惡意軟體是由 App Store 對 App Store 應用程式的審核流程或公證Gatekeeper 的一部份),這是 Apple 允許運行之前掃描第三方應用程式是否存在已知惡意軟體的程序。 Apps are required to be signed by the developers using a key given to them by Apple. This ensures that you are running software from the real developers. Notarization also requires that developers enable the Hardened Runtime for their apps, which limits methods of exploitation.
  2. XProtect 提供針對其他惡意軟體的防護以及修復系統上現有惡意軟體,XProtect 是 macOS 內建較傳統的防病毒軟體。

建議不要安裝第三方防毒軟體,它們通常不具備正常運行所需的系統取用權限,因為Apple 對第三方應用程序的限制,授予它們要求的高級別取用權限常會帶來麻煩。對電腦造成更大的安全和隱私風險。

備份

macOS 自帶時光機 的自動備份軟件,因此您可以在損壞/損壞的情況下將加密備份建立到外接或網路磁碟已刪除的檔案。

硬體安全

macOS 中的許多現代安全功能(例如現代安全啟動、硬體級漏洞利用緩解、作業系統完整性檢查和檔案加密)都依賴於Apple 晶片,Apple 較新硬體一直具有最佳安全性。 我們只鼓勵使用 Apple 晶片,而不推薦較舊的 Intel Mac 電腦或 Hackintoshes。

其中一些現代安全功能可在配備Apple T2 安全晶片的 Intel 老式Mac 電腦上使用,但該晶片容易受到checkm8 漏洞的攻擊,這可能會損害其安全性。

若使用藍牙配件例如鍵盤等,建議最好是 Apple 官方配件,因為 macOS 會自動更新其軔體。 使用第三方配件沒問題,但應該記住定期為其更新安裝軔體。

Apple SoC 專注於通過將安全功能轉移到功能有限的專用硬體以求最大限度地減少攻擊面。

Boot ROM

macOS 通過僅允許官方 Apple 軟件在啟動時運行以防止惡意軟體持久存在; 此稱為安全開機。 Mac 電腦利用 SoaC 上稱為啟動 ROM 唯讀存儲器來驗證這一點,該存儲器是在晶片製造過程中放置​​的。

開機 ROM 構成了硬體信任根。 這確保惡意軟體無法篡改開機過程。 Mac 啟動時,開機 ROM 第一個運行,為信任鏈中的第一個環節。

Mac 電腦有三種安全模式啟動:完全安全降低安全性許可安全,預設的設置為完全安全。 理想情況下,您應該使用完全安全模式,並避免諸如內核擴展而迫使降低安全模式。 請務必檢查使用的是完全安全模式。

安全隔離區

安全隔離區是內置於 Apple silicon 設備的安全晶片,負責存儲和生成靜態資料以及 Face ID 和 Touch ID 資料的加密密鑰。 它包含自己獨立的開機 ROM。

您可以將安全隔離區想成設備的安全中心:它具有 AES 加密引擎和安全存儲加密密鑰機制,它與系統的其餘部分分開,因此即使主處理器受到損害,也仍然保持安全。

Touch ID

Apple Touch ID 功能可使用生物識別技術安全地解鎖設備。

您的生物識別資料永遠不會離開您的設備; 它僅存儲在安全隔離區。

硬體麥克風斷線

所有配備 Apple silicon 或 T2 晶片的筆記型電腦都具備在閉合時內置麥克風硬體即斷線的功能。 這意味著即使作業系統受到破壞,攻擊者無法監聽 Mac 的麥克風。

請注意,攝影機沒有硬體斷接,因為只要上蓋關閉時,其視線即會被遮擋。

外圍處理器安全

電腦除了主 CPU 之外還有內建處理器,用於處理網路、圖形、電源管理等事務。 這些處理器可能沒有足夠的安全性且受到損害,因此蘋果試圖減少其硬體中對這類處理器的需求。

當需要使用其中某一種處理器時,Apple 會與供應商合作,以確保該處理器

  • 啟動時從主 CPU 運行經過驗證的韌體
  • 有自己的安全啟動鏈
  • 遵循最低加密標準
  • 確保正確撤銷已知的不良韌體
  • 已禁用其調試介面
  • 使用 Apple 的加密密鑰簽名

直接記憶體存取保護

Apple silicon 將需要直接訪問記憶體的各組件分開。 例如,Thunderbolt 端口無法訪問為內核指定的記憶體。

來源

您正在查看 Privacy Guides 的 正體中文 版本,由我們在 Crowdin 上出色的團隊翻譯。如果您發現錯誤,或在此頁面上看到任何未翻譯的部分,請考慮提供幫助! 訪問 Crowdin

You're viewing the 正體中文 copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out!