2023-07-15 04:04:29 +00:00
---
2023-07-18 04:04:45 +00:00
title: macOS 簡介
2023-07-15 04:04:29 +00:00
icon: material/apple-finder
2023-07-18 17:08:21 +00:00
description: macOS 是蘋果電腦的桌面作業系統,搭配其自家硬體提供了堅固的安全。
2023-07-15 04:04:29 +00:00
---
2023-07-18 17:08:21 +00:00
蘋果公司使用 Unix 作業系統來開發**macOS** 支援自家的 Mac 電腦。 為提高 macOS 隱私,用戶可關閉遙測功能以強化現有的隱私與安全設置。
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
舊款的 Intel-based Macs 與 Hackintoshe 則無法完全支援 macOS 所提供的安全功能。 為提昇資料安全,建議使用帶[Apple silicon ](https://support.apple.com/en-us/HT211814 )晶片的.較新款 Mac 。
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
## 隱私筆記
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
用戶應考量 一些 macOS 值得關注的隱私問題。 這些涉及作業系統本身,而不是蘋果其他應用程式和服務的問題。
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
### 激活鎖
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
新款 Apple silicon 設備無需網際網路連接即可設置。 但是,恢復或重置 Mac 將**需要**連接到 Apple 伺服器,以檢查丟失或被盜設備資料庫的激活鎖。
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
### 應用程式撤銷檢查
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
當開啟應用程式時,
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
過去這些檢查是通過未加密的 OCSP 協議執行,因此可能會將您運行的應用程式資料洩露到網路上。 Apple 在 2021 年將其 OCSP 服務升級為 HTTPS 加密,並[發布了該服務的日誌記錄政策資訊 ](https://support.apple.com/HT202491 )。 他們還承諾添加一種機制,讓用戶可選擇退出此連線檢查,但截至 2023 年 7 月,該機制尚未添加到 macOS 。
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
雖然您[可以 ](https://electiclight.co/2021/02/23/how-to-run-apps-in-private/ )相對輕鬆地手動選擇退出此檢查,但除非您會受到 macOS 執行撤銷檢查的嚴重損害,我們不建議這樣做,因為它們在確保阻止受感染的應用程式運行上發揮著重要作用。
2023-07-15 04:04:29 +00:00
## 建議配置
2023-07-18 17:08:21 +00:00
首次設置 Mac 時,您的帳戶將是管理員帳戶,其具有比標準用戶帳戶更高的權限。 macOS 有許多保護措施可以防止惡意軟體和其他程式濫用您的管理員權限,因此使用此帳戶通常是安全的。
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
然而,破壞利用 `sudo` 這類的保護效用程式中的漏洞問題,已曾[ 發現過 ](https://bogner.sh/2014/03/another-mac-os-x-sudo-password-bypass/ )。 如果想避免運行的程式濫用管理員權限,可以考慮創建第二個標準用戶帳戶用於日常操作。 這樣的另一個好處是,當應用程式需要管理員訪問權限時,它會更加明顯,因為它每次都會提示您輸入憑據。
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
如果您使用第二個帳戶,則不會嚴格要求在 macOS 登入畫面需登錄到原始管理員帳戶。 當以標準用戶身份執行需要管理員權限的操作時,系統會提示進行身份驗證,這時可以作為標準用戶單次性輸入管理員憑據。 如果希望在登錄畫面中只有一個帳戶, 隱藏管理員帳戶的指南 ](https://support.apple.com/HT203998 )。
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
或者,您可以使用 [macOS Enterprise Privileges ](https://github.com/SAP/macOS-enterprise-privileges ) 之類的實用程式按需升級到管理員權限,但這可能容易受到一些未被發現弪點的利用,一如所有基於軟體的保護。
2023-07-15 04:04:29 +00:00
### iCloud
2023-07-18 17:08:21 +00:00
Apple 產品的大多數隱私和安全問題與其*雲服務*有關,而不是其硬體或軟體。 當使用 iCloud 等 Apple 服務時,大部分資訊都存儲在他們的伺服器上以密鑰保護,且預設情況下 Apple 可以取用該密鑰。 這種訪問級別偶爾會被執法部門濫用, ,
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
因此,如果使用 iCloud, 啟用**進階資料保護** ](https://support.apple.com/HT212520 )。 它利用存在設備上的密鑰對您的iCloud 數據( ) ,
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
### 系統設定
2023-07-15 04:04:29 +00:00
2023-07-20 04:03:38 +00:00
您應該確認或更改許多內建設置以強化系統。 開啟**設定** 應用程式:
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
#### 藍牙
2023-07-15 04:04:29 +00:00
2023-07-20 04:03:38 +00:00
- [ ] 取消勾選 **藍牙 ** (除非目前正使用中)
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
#### 網路
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
取決於您使用的是**Wi-Fi** 還是**以太網**(由綠點和“已連接”顯示) ”),點擊相應的圖標。
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
單擊網路名稱旁邊的“詳細資訊”按鈕:
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
- [x] 勾選**限制 IP 地址跟踪**
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
##### 防火牆
2023-07-15 04:04:29 +00:00
2023-07-20 04:03:38 +00:00
防火牆會阻止不必要的網路連接。 防火牆設置越嚴格,您的 Mac 就越安全。 然而某些服務可能會被封鎖。 您應該將防火牆配置得盡可能嚴格,但不會影響使用的服務。
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
- [x] 勾選 **防火牆l **
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
點擊 **生成( ) ** 按鈕。
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
- [x] 勾選 **阻止所有傳入連接 **
2023-07-15 04:04:29 +00:00
2023-07-20 04:03:38 +00:00
如果配置過於嚴格,可以再回來取消勾選此選項。 但如果應用程式請求,
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
#### 一般設定
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
您的設備名稱預設為“[您的名字] 的 iMac”。 此名稱會在您的網路上公開廣播, ,
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
單擊**關於**,然後在**名稱**欄位上輸入想取的設備名稱。
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
##### 軟體更新
2023-07-15 04:04:29 +00:00
2023-07-20 04:03:38 +00:00
您應自動安裝所有可用更新,以確保 Mac 具有最新的安全修復。
2023-07-15 04:04:29 +00:00
2023-07-20 04:03:38 +00:00
點擊 :material-information-outline: **自動更新 ** 旁邊的小圖標:
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
- [x] 勾選**檢查更新**
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
- [x] 勾選**下載可用的最近更新**
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
- [x] 勾選 **安裝 macOS 更新 **
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
- [x] 勾選 **從 App Store 安裝應用程式更新 **
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
- [x] 勾選 **安裝安全反應和系統檔案 **
2023-07-15 04:04:29 +00:00
#### 隱私 & 安全
2023-07-20 04:03:38 +00:00
每當應用程式請求權限時,它就會顯示在這裡。 您可決定是否允許或拒絕哪些應用程式的特定權限。
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
##### 定位服務。
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
您可以個別同意每個應用程式的定位服務權限。 如果不要應用程式使用您的位置,那麼完全關閉定位服務是最私密的選擇。
2023-07-15 04:04:29 +00:00
2023-07-31 00:35:26 +00:00
- [ ] 取消勾選 **定位服務 **
2023-07-15 04:04:29 +00:00
2023-07-31 00:35:26 +00:00
##### 資料分析 & 改進
2023-07-15 04:04:29 +00:00
2023-07-20 04:03:38 +00:00
決定是否要與 Apple 和開發者共享分析資料。
2023-07-15 04:04:29 +00:00
2023-07-31 00:35:26 +00:00
- [ ] 取消勾選 **分享 Mac 數據分析 **
2023-07-15 04:04:29 +00:00
2023-07-31 00:35:26 +00:00
- [ ] 取消勾選 **改善 Siri & 偵測 **
2023-07-15 04:04:29 +00:00
2023-07-31 00:35:26 +00:00
- [ ] 取消勾選 **分享給應用開發人員 **
2023-07-15 04:04:29 +00:00
2023-07-31 00:35:26 +00:00
- [ ] 取消勾選 **分享 iCloud Analytics ** (如登入 iCloud 方可看到)
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
##### Apple 廣告
2023-07-15 04:04:29 +00:00
2023-07-31 00:35:26 +00:00
決定是否依使用狀況個人化廣告接收。
2023-07-15 04:04:29 +00:00
2023-07-31 00:35:26 +00:00
- [ ] 取消勾選 **個人化的廣告 **
2023-07-15 04:04:29 +00:00
##### 安全
2023-07-31 00:35:26 +00:00
App Store 中的應用程式須遵守更嚴格的安全準則,例如更嚴格的沙盒。 如果需要的應用程式只能從 App Store 獲取,請將**允許從以下位置下載應用程式**設置更改為**App Store** 防止不小心執行其他應用程式。 這是一個不錯的選擇,特別是當您為其他技術能力較低的用戶(例如兒童)設定電腦時。
2023-07-15 04:04:29 +00:00
2023-07-31 00:35:26 +00:00
如果選擇允許某些認定開發者的應用程序,請注意所運行的應用程式以及從何處取得這些應用。
2023-07-15 04:04:29 +00:00
##### FileVault
2023-07-31 00:35:26 +00:00
在具有 Secure Enclave(
2023-07-15 04:04:29 +00:00
2023-07-31 00:35:26 +00:00
在較舊的 Intel 的 Mac 電腦,
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
- [x] 點擊 **開啟 **
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
##### 封閉模式
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
[封閉模式 ](https://blog.privacyguides.org/2022/10/27/macos-ventura-privacy-security-updates/#lockdown-mode ) 禁用某些功能以提高安全性。 某些應用程式或功能在封閉時將無法正常工作,例如 [JIT ](https://hacks.mozilla.org/2017/02/a-crash-course-in-just-in -time-jit- compilers/ ) 和[WASM ](https://developer.mozilla.org/en-US/docs/WebAssembly ) 在封閉模式下會被Safari 關閉。 建議啟用封閉模式看看它是否會顯著影響您的使用,它所做的許多更改都很容易接受。
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
- [x] 點擊 **開啟 **
2023-07-15 04:04:29 +00:00
### MAC 地址隨機化
2023-08-22 00:46:01 +00:00
與 iOS 不同,
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
打開終端並輸入以下命令來隨機化 MAC 地址:
2023-07-15 04:04:29 +00:00
``` zsh
openssl rand -hex 6 | sed 's/\(..\)/\1:/g; s/.$//' | xargs sudo ifconfig en1 ether
```
2023-08-22 00:46:01 +00:00
en1 將要更改其 MAC 地址的接口名稱。 這可能並不適合每台 Mac, ,
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
這將在重新開機時重置。
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
## 安全保護
2023-07-15 04:04:29 +00:00
2023-08-07 04:32:11 +00:00
macOS 通過不同屬性的多層軟體和硬體保護來進行深度防禦。 這確保了某一層故障不會損害系統的整體安全性。
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
### 軟體安全
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
!!! warning "警告"
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
macOS 可以安裝測試版更新。 但它們是不穩定的,可能帶有額外遙測,因為其用於測試目的。 因此,我們建議避免使用測試版軟件。
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
#### 簽署系統卷宗
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
macOS 的系統組件受到唯讀簽署系統卷宗之保護,這意味著您和惡意軟件都無法更改重要的系統檔案。
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
系統卷宗在運行時會予以驗證,任何未使用 Apple 的有效加密簽名進行簽署的數據都將遭拒絕。
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
#### 系統完整性保護
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
macOS 設置了某些無法覆蓋的安全限制。 這些稱為強制取用控制,它們構成 macOS 上的沙盒、家長控制和系統完整性保護的基礎。
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
系統完整保護使重要的檔案成為唯讀,以防止惡意代碼的修改。 這是基於硬體內核完整保護之上,可防止記憶體中的內核遭修改。
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
#### 應用程式安全性
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
##### App 沙盒
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
從 App Store 下載的 macOS 應用需要使用[應用沙箱 ](https://developer.apple.com/documentation/security/app_sandbox )進行沙箱處理。
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
!!! warning "警告"
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
從官方 App Store 之外下載的軟體不需要沙盒。 應盡可能避免使用非 App Store 軟體。
2023-07-15 04:04:29 +00:00
2023-07-18 04:04:45 +00:00
##### 防毒軟體
2023-07-15 04:04:29 +00:00
2023-08-22 00:46:01 +00:00
macOS 提供兩種惡意軟體防禦形式:
2023-07-15 04:04:29 +00:00
1. Protection against launching malware in the first place is provided by the App Store's review process for App Store applications, or * Notarization * (part of * Gatekeeper * ), a process where third-party apps are scanned for known malware by Apple before they are allowed to run.
2. Protection against other malware and remediation from existing malware on your system is provided by * XProtect * , a more traditional antivirus software built-in to macOS.
We recommend against installing third-party antivirus software as they typically do not have the system-level access required to properly function anyways, because of Apple's limitations on third-party apps, and because granting the high levels of access they do ask for often poses an even greater security and privacy risk to your computer.
##### 備份
macOS comes with automatic backup software called [Time Machine ](https://support.apple.com/HT201250 ), so you can create encrypted backups to an external or network drive in the event of corrupted/deleted files.
2023-07-18 04:04:45 +00:00
### 硬體安全
2023-07-15 04:04:29 +00:00
Many modern security features in macOS—such as modern Secure Boot, hardware-level exploit mitigation, OS integrity checks, and file-based encryption—rely on Apple silicon, and Apple's newer hardware always has the [best security ](https://support.apple.com/guide/security/apple-soc-security-sec87716a080/1/web/1 ). We only encourage the use of Apple silicon, and not older Intel-based Mac computers or Hackintoshes.
2023-07-20 04:03:38 +00:00
Some of these modern security features are available on older Intel-based Mac computers with the Apple T2 Security Chip, but that chip is susceptible to the * checkm8 * exploit which could compromise its security.
2023-07-15 04:04:29 +00:00
If you use Bluetooth accessories such as a keyboard, we recommend that you use official Apple ones as their firmware will automatically be updated for you by macOS. Using third party accessories is fine, but you should remember to install firmware updates for them regularly.
Apple's SoCs focus on minimizing attack surface by relegating security functions to dedicated hardware with limited functionality.
#### Boot ROM
2023-08-07 04:32:11 +00:00
macOS 通過僅允許官方 Apple 軟件在啟動時運行以防止惡意軟體持久存在; 此稱為安全開機。 Mac computers verify this with a bit of read-only memory on the SoC called the boot ROM, which is laid down during the manufacturing of the chip.
2023-07-15 04:04:29 +00:00
2023-08-07 04:32:11 +00:00
The boot ROM forms the hardware root of trust. 這確保惡意軟體無法篡改開機過程。 Mac 啟動時,開機 ROM 第一個運行,為信任鏈中的第一個環節。
2023-07-15 04:04:29 +00:00
2023-08-07 04:32:11 +00:00
Mac 電腦有三種安全模式啟動:*完全安全*、*降低安全性*和*許可安全*,預設的設置為完全安全。 理想情況下,您應該使用完全安全模式,並避免諸如**內核擴展**而迫使降低安全模式。 請務必[檢查 ](https://support.apple.com/guide/mac-help/change-security-settings-startup-disk-a-mac-mchl768f7291/mac )使用的是完全安全模式。
2023-07-15 04:04:29 +00:00
#### Secure Enclave
2023-08-07 04:32:11 +00:00
安全隔離區是內置於 Apple silicon 設備的安全晶片,負責存儲和生成靜態資料以及 Face ID 和 Touch ID 資料的加密密鑰。 它包含自己獨立的開機 ROM。
2023-07-15 04:04:29 +00:00
2023-08-07 04:32:11 +00:00
您可以將安全隔離區想成設備的安全中心:它具有 AES 加密引擎和安全存儲加密密鑰機制,它與系統的其餘部分分開,因此即使主處理器受到損害,也仍然保持安全。
2023-07-15 04:04:29 +00:00
#### Touch ID
2023-08-07 04:32:11 +00:00
Apple Touch ID 功能可使用生物識別技術安全地解鎖設備。
2023-07-15 04:04:29 +00:00
Your biometric data never leaves your device; it's stored only in the Secure Enclave.
2023-07-18 17:08:21 +00:00
#### 硬體麥克風斷線
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
所有配備 Apple silicon 或 T2 晶片的筆記型電腦都具備在閉合時內置麥克風硬體即斷線的功能。 這意味著即使作業系統受到破壞,攻擊者無法監聽 Mac 的麥克風。
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
請注意,攝影機沒有硬體斷接,因為只要上蓋關閉時,其視線即會被遮擋。
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
#### 外圍處理器安全
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
電腦除了主 CPU 之外還有內建處理器,用於處理網路、圖形、電源管理等事務。 這些處理器可能沒有足夠的安全性且受到損害,因此蘋果試圖減少其硬體中對這類處理器的需求。
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
當需要使用其中某一種處理器時,
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
- 啟動時從主 CPU 運行經過驗證的韌體
- 有自己的安全啟動鏈
- 遵循最低加密標準
- 確保正確撤銷已知的不良韌體
- 已禁用其調試介面
- 使用 Apple 的加密密鑰簽名
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
#### 直接記憶體存取保護
2023-07-15 04:04:29 +00:00
2023-07-18 17:08:21 +00:00
Apple silicon 將需要直接訪問記憶體的各組件分開。 例如,
2023-07-15 04:04:29 +00:00
## 來源
2023-07-18 04:04:45 +00:00
- [Apple 平台安全 ](https://support.apple.com/guide/security/welcome/web )
