Политики безопасности предусмотрены в macOS для ограничения того, какие приложения могут запускаться за пределами обычных защитных системных политик. Вот как macOS Sequoia может в некоторых случаях переопределять системные политики.
MacOS от Apple — одна из самых безопасных операционных систем в мире. Несмотря на это, ни одна операционная система не является надежной, и нарушения безопасности все еще возможны.
За последнее десятилетие Apple добавила в macOS несколько дополнительных функций безопасности, которые помогают повысить безопасность. К ним относятся, помимо прочего:
Идентификатор разработчика Gatekeeper Нотариальное заверение приложений Цифровые подписи приложений Защита целостности системы (SIP)
Идентификатор разработчика и Gatekeeper — это две функции безопасности, связанные с приложениями, которые проверяют и авторизуют приложения Mac, чтобы разрешить или запретить их запуск. Gatekeeper предотвращает запуск приложений, пока не будет подтверждено, что они получены от зарегистрированного разработчика Apple или из Mac App Store.
Приложения только для идентификатора разработчика также могут запускаться при загрузке за пределами Mac App Store, если они были проверены Apple.
Gatekeeper — это то, что вызывает появление окна прогресса «Проверка» в Finder при первом запуске только что загруженного приложения. Это окно появляется, когда Gatekeeper проверяет подписанные цифровые квитанции всех компонентов приложения при первом запуске.
В приложении «Системные настройки» macOS вы можете выбрать, разрешать ли запуск только приложений, проверенных Gatekeeper (App Store). Вы также можете разрешить использование Gatekeeper и приложений от зарегистрированных разработчиков Apple через идентификатор разработчика.
Если вы попытаетесь запустить приложение macOS без какой-либо из этих функций безопасности, вы получите предупреждение в macOS Finder о том, что приложение невозможно открыть. Чтобы обойти это предупреждение, нажмите «Готово», затем вернитесь в «Настройки системы» -> «Конфиденциальность и безопасность» и нажмите кнопку «Все равно открыть»:
Загруженное приложение-установщик, не проходящее проверку Gatekeeper.
Нотаризация приложений повышает безопасность приложений Mac и образов дисков, поскольку Apple проверяет, что они не содержат вредоносных компонентов.
Цифровая подпись приложения — это зашифрованная подпись приложения Mac во время его создания разработчиком и при загрузке из Mac App Store. Цифровые подписи гарантируют, что приложение не является подделкой и что его содержимое не было изменено после распространения.
Защита целостности системы (SIP) — это общесистемная функция безопасности, которую Apple добавила в macOS 10.11 El Capitan в 2015 году. SIP защищает критически важные файлы операционной системы от несанкционированного доступа, а также части macOS даже от корневого пользователя UNIX, если это необходимо. включено.
SIP можно отключить и снова включить в приложении «Терминал» macOS, но Apple не рекомендует делать это, поскольку это подвергает ваш Mac угрозам безопасности.
Вместе эти компоненты безопасности известны как Runtime Protection в macOS.
Терминальные приложения
Apple предоставляет другие средства защиты во время выполнения для автономных двоичных приложений, которые запускают приложение «Терминал». К ним относятся расширенные атрибуты (xattrs) и другие средства защиты на уровне системы.
Некоторым приложениям терминала командной строки может быть запрещен запуск с политиками безопасности системы по умолчанию. Apple делает это, чтобы защитить пользователей от непроверенных вредоносных сторонних инструментов терминала командной строки.
Эти ограничения применяются только к некоторым приложениям.
В некоторых случаях обычным приложениям macOS с двойным щелчком может потребоваться запуск отдельных инструментов командной строки или других программных компонентов.
Разрешение приложениям запускать другие приложения
Если вы хотите иметь возможность запускать приложение, которое должно работать вне политик безопасности системы macOS в macOS Sequoia, вернитесь на панель «Настройки системы» -> «Конфиденциальность и безопасность». Вам необходимо проверить каждую подстраницу на наличие переключателя, чтобы включить его.
Например, некоторым инструментам разработчика с командной строкой необходимо запускать внешние политики безопасности системы для запуска других команд, обработки файлов или выполнения других ограниченных действий.
В этом примере перейдите в «Настройки системы» -> «Конфиденциальность и безопасность» -> «Инструменты разработчика», и вы увидите следующий переключатель:
Проверьте Конфиденциальность и безопасность, чтобы найти специальный переключатель политики безопасности.
К сожалению, в macOS в настоящее время нет возможности включить эту функцию для всей машины, и, вероятно, не должно быть, поскольку это подвергнет ваш Mac другим угрозам безопасности.
Но это можно включить для каждого отдельного приложения, если рассматриваемое приложение поддерживает это. Опять же, эта функция будет доступна не для всех приложений, поэтому вам придется проверять каждое из них по отдельности.
В большинстве случаев вам не потребуется переопределять политики безопасности macOS, но для некоторых приложений в определенных случаях это может потребоваться.
Полную информацию о Gatekeeper, идентификаторе разработчика и использовании системных настроек для открытия приложений см. в техническом примечании Apple 102445 «Безопасное открытие приложений на вашем Mac».