編者按 : 查爾斯·艾德茲(Charles Edge)是 JAMF Software 的產(chǎn)品經(jīng)理。
蘋果向來以提供非同尋常的用戶體驗而著稱。但是,許多人也許并不知道,在過去幾年間,蘋果一直在推動信息安全的發(fā)展,讓普通用戶可以用到先進的安全選項。盡管下面盤點的這 16 項功能在 El Capitan 上面并不都是全新的特性,但確實是每一位用戶都可以輕松使用的 OS X 自帶功能。
1. 系統(tǒng)完整性保護
蘋果稱,系統(tǒng)完整性保護可以對 Mac 電腦上能被改動的東西作出限制。這意味著蘋果讓 OS X 具有了類似于 iOS 的功能。通過對二進制的使用方式及用戶可以在文件系統(tǒng)上編寫內(nèi)容的地點作出限制,蘋果正在給 OS X El Capitan 帶來史無前例的安全性。
2.FileVault
FileVault 是蘋果用于描述全盤加密的一個術(shù)語,也是一項免費的服務(wù),可以與密鑰托管(keyescrowing)服務(wù)一起使用,包括移動設(shè)備管理廠商提供的密鑰托管服務(wù)。FileVault 還可以被用于保護可移動媒體,提供額外的安全保護。最令人稱道的是,F(xiàn)ileVault 可以通過 MDM 解決方案或簡單的腳本進行管理。
3. 移動設(shè)備管理
移動設(shè)備管理(縮寫形式為“MDM”)是蘋果開發(fā)的一個 API,讓企業(yè)客戶可以遠程管理 Mac 和 iOS 設(shè)備。在 Mac 電腦上面實施管理意味著,你可以遠程控制 FileVault、Gatekeeper、證書和蘋果其他安全技術(shù)。與此同時,你還可以通過 MDM 來實現(xiàn) Mac 設(shè)置的自動化——即“零接觸配置”,選擇字體,安裝打印機,控制你希望在 Mac 上面擁有的一切設(shè)置。
4.Gatekeeper
Gatekeeper 是一項能讓 Mac 電腦免遭惡意軟件入侵的技術(shù)。有了 Gatekeeper,你可以讓那些被允許在 Mac 電腦上運行的應(yīng)用,只能通過 Mac App Store 獲取并簽名,或成為由合法開發(fā)者簽名的應(yīng)用。如果某個應(yīng)用存在瑕疵,蘋果可以迅速撤銷證書,令該應(yīng)用無法在任意一臺支持 Gatekeeper 的 Mac 電腦上運行。
5. 應(yīng)用沙盒
應(yīng)用沙箱(Application Sandboxing)是一項借鑒于 Trusted BSD 的技術(shù)。通過這一功能,你可以對特定資源進行定義,對應(yīng)用的訪問權(quán)限作出限制,包括網(wǎng)絡(luò)資源、內(nèi)存及部分文件系統(tǒng)等。
6.ASLR
地址空間布局隨機化(ASLR)現(xiàn)已被集成到 Windows 和安卓系統(tǒng)中,但這項功能最初問世時,ASLR 是第一個對軟件在內(nèi)存中運行的位置進行隨意分配的大型工具,這樣一來,攻擊者就難以發(fā)現(xiàn)系統(tǒng)漏洞并展開攻擊。
7. 遠程鎖定
遠程鎖定和遠程清除(remote wipe)是 MDM 協(xié)議的延伸。通過將恢復(fù)分區(qū)整合到每一臺 Mac 電腦上,允許用戶啟動互聯(lián)網(wǎng)容量(Internet volume)進行恢復(fù),蘋果基本上就沒有了分配使用物理媒體的操作系統(tǒng)的成本,同時還能讓用戶遠程啟動恢復(fù)分區(qū),鎖定啟動卷(boot volum)。一旦啟動卷被鎖定,用戶必須獲得 MDM 指令才能解鎖,否則電腦中保存的信息可以被遠程清除。
8.Xprotect
Xprotect 是一項有點像殺毒軟件的功能,已被集成到每一臺 Mac 電腦中。Xprotect 是一種基于簽名的掃描方案,可以尋找并攔截試圖在 OS X 上面運行的已知服務(wù)和應(yīng)用。它并不是一種完整的殺毒解決方案,但如果企業(yè)客戶需要這樣的產(chǎn)品,其實也可以購買第三方殺毒產(chǎn)品,這種產(chǎn)品在市面上不勝枚舉。
9. 防釣魚功能
Safari 已經(jīng)具有防釣魚功能。瀏覽器無疑是任何一款現(xiàn)代操作系統(tǒng)最薄軟的環(huán)節(jié)之一,而用戶無疑是整個安全環(huán)境中另一個更為薄軟的環(huán)節(jié)。為了滲透電腦環(huán)境,攻擊者慣用的一個手段就是用釣魚電子郵件,旨在獲取信用卡信息、密碼和其他私密數(shù)據(jù)。如果你在 Mac 電腦上面訪問被認為是釣魚網(wǎng)站的網(wǎng)絡(luò)地址,系統(tǒng)就會做出警告,同時向網(wǎng)絡(luò)瀏覽體驗提供額外的安全層。
10.Mac App Store
通過 Mac App Store,企業(yè)用戶可以驗證他們想要購買的應(yīng)用的完整性。蘋果會對 MacApp Store 上面出售的每一款應(yīng)用進行審查,所以,企業(yè)用戶也就有了更多的選項,可用于發(fā)現(xiàn)安全漏洞。
11.iCloud 鑰匙串
iCloud 鑰匙串(iCloud Keychain)是一種將用戶所有密碼保存到 AES-256 加密密鑰庫上的工具。通過對數(shù)據(jù)進行加密并保存到中央位置上,iCloud 鑰匙串可以連同證書和相關(guān)說明,被同步到 iOS 和 Mac 電腦上。
12. 激活鎖
激活鎖(Activation Lock)是一項技術(shù),讓用戶可以將蘋果設(shè)備綁定到他們的 Apple ID 上,一旦設(shè)備里面的內(nèi)容被刪除,這項技術(shù)可避免該設(shè)備被再次激活,并在沒有 Apple ID 的情況下繼續(xù)使用。
對于企業(yè)客戶擁有的設(shè)備,可以通過兩種方式繞過激活鎖,一是向蘋果提交購買設(shè)備的證據(jù),而是通過設(shè)備加入的 MDM 解決方案,比如說 Casper Suite。有朝一日,小偷會明白即便偷來蘋果設(shè)備,也毫無用處,所以,這項功能可以保護蘋果用戶,而不僅僅是他們的數(shù)據(jù)。
13. 應(yīng)用防火墻
OS X 自帶的應(yīng)用防火墻(Application Firewall)已經(jīng)突破了傳統(tǒng)防火墻的攔截技術(shù)。如果說 Gatekeeper 會強制每一款啟動的應(yīng)用必須簽名的話,那么應(yīng)用防火墻則可以對網(wǎng)絡(luò)資源做出限制,讓某個應(yīng)用只可以訪問那些有簽名的應(yīng)用——無論要求什么樣的資源,它們都可以訪問這些應(yīng)用。
14. 時間機器
“時間機器”(Time Machine)是 OS X 自帶的文件備份軟件,每一臺 Mac 電腦上都有。就如同眾多操作系統(tǒng)廠商的自帶文件備份功能一樣,目前有大量第三方產(chǎn)品也具有更可靠的文件備份功能,只是“時間機器”易于使用,而且免費。
15. 遺留技術(shù)
企業(yè)客戶對遺留技術(shù)(legacy technology)存在著大量需求,比如 Active Directory、VPN 和 802.1x,因為企業(yè)客戶的現(xiàn)有安全要求都涵蓋了這些技術(shù)。
16.“隱私為先”的思維
最后,蘋果貢獻的最重要的安全功能其實就是實用、以隱私為先的思維。這可能源于蘋果移動設(shè)備的成功,但由于每一臺蘋果設(shè)備上的功能都側(cè)重于用戶信息管理,開發(fā)者在開發(fā)可能影響用戶隱私的新功能時,肯定會三思而后行。蘋果不僅讓安全工具變得易于使用,而且十分穩(wěn)定,不僅適用于企業(yè)客戶,還能保護普通用戶的隱私,借此幫助普及了良好的安全做法。