Trusted mac os что это
Обновлено: 05.07.2024
Конечно, ни одна система не является безупречной, когда речь заходит о безопасности. На macOS можно распространять вредоносное ПО, как и на любой другой компьютер. И хотя привычки пользователей определенно играют свою роль, вы будете рады узнать, что ваш macOS естественно защищен от большинства угроз. Давайте посмотрим, как macOS защищен от вирусов и других вредоносных программ.
Что такое вредоносное ПО?
Мы часто используем термины «вредоносное ПО» и «вирус» взаимозаменяемо, но они относятся к различным типам атак.
Правильный компьютерный вирус повреждает ваше программное обеспечение, замедляя его, заполняя жесткий диск или удаляя важные файлы. От вирусов трудно избавиться, потому что они воспроизводятся внутри вашей операционной системы.
В наши дни большинство компьютеров довольно хорошо защищают от традиционных вирусов, но в тени скрывается множество других программных угроз. Термин вредоносное ПО относится к любому вредоносному программному обеспечению, включая:
- Рекламное ПО: вредоносные программы, которые порождают рекламу
- Шпионское ПО: отслеживает использование компьютера и сообщает об этом какой-либо организации
- Черви: вредоносное ПО, распространяющееся на другие компьютеры по сети.
- Троянские кони: опасные программы, которые маскируются под полезные
- Компьютерные вирусы
Что защищает Mac от вредоносных программ?
Возможно, вы слышали утверждение, что вирусы не влияют на macOS. Это не так, поскольку компьютеры Mac могут заражаться вирусами. Но мы все сталкивались с кем-то, кто годами использовал Mac без антивирусного программного обеспечения и никогда не сталкивался с проблемой. Вам будет трудно найти ту же историю от пользователя Windows.
Здесь много факторов. За последние годы Windows добилась огромного прогресса в плане безопасности, но macOS по-прежнему пользуется уникальными преимуществами, которые в первую очередь снижают вероятность заражения вредоносным ПО.
1. Apple построила macOS, используя платформу Unix
Когда Microsoft разработала Windows, она создала ОС на собственной уникальной программной платформе MS-DOS. Напротив, Apple разработала macOS (или Mac OS X в то время), используя Unix , платформу с открытым исходным кодом, которая использовалась в течение многих лет.
Unix славится своими функциями стабильности и безопасности, многие из которых отсутствуют в MS-DOS . Windows не использовала MS-DOS в качестве своей основы со времен Windows XP, но многие части ее безопасности и архитектуры сегодня остались с тех давних времен.
В то же время Unix имеет открытый исходный код и используется различными компаниями при разработке macOS, Linux, PlayStation 4 и даже прошивки для гаджетов, таких как ваш маршрутизатор.
2. Gatekeeper сканирует новые приложения, чтобы убедиться в их безопасности
Когда вы загружаете новые приложения, Gatekeeper помещает их в карантин и использует XProtect для сканирования кода на наличие вредоносных программ. Если он обнаружит, Gatekeeper предупредит вас о риске и не позволит вам открыть приложение. Вы можете обойти Gatekeeper, удерживая Control и щелкая приложение, но при этом вы рискуете заразить свой Mac .
Даже если сканирование XProtect возвращается чистым, Gatekeeper может отклонить ваше приложение, если он не доверяет разработчику. По умолчанию ваш Mac позволяет устанавливать приложения только из Mac App Store или «определенных разработчиков». Это позволяет таким приложениям, как Dropbox, Evernote или Microsoft Office, блокировать менее известных разработчиков.
3. macOS разделяет приложения с Sandbox
macOS использует « sandbox » для ограничения возможностей приложений. Это практика поставщика программного обеспечения, устанавливающего виртуальные барьеры вокруг сторонних приложений, чтобы они не имели доступа к другим приложениям или системным файлам на вашем компьютере.
Это одна из причин, по которой Mac менее гибок, чем ПК с Windows, но эти ограничения сопровождаются усилением безопасности. Сторонние приложения имеют ограниченный доступ к основным системным файлам, что затрудняет нанесение серьезным ущербом вредоносного ПО, если оно минует Gatekeeper.
Начиная с macOS Catalina , приложениям Mac необходимо запрашивать разрешение для каждой части системы, к которой они хотят получить доступ. Он включает в себя такие категории, как файлы и папки, запись экрана, камера, фотографии и многое другое.
Перейдите в Системные настройки > Безопасность и конфиденциальность > Конфиденциальность, чтобы увидеть, что разрешено, а что нет; Вы можете отозвать доступ для всего, в чем вы не уверены.
4. SIP обеспечивает дополнительный уровень защиты
ОС скрывает важные системные файлы на вашем Mac, поэтому вы не можете случайно повредить или переместить их. Но он также защищает важные файлы за скрытой защитой, которая называется System Integrity Protection ( SIP ).
SIP (присутствует в OS X El Capitan и новее) ограничивает еще от редактирования системных файлов на вашем Mac, которые часто являются основной целью для вредоносных программ. Это усложняет проникновение вредоносных программ в вашу операционную систему и ставит под угрозу безопасность или производительность вашего Mac.
Так же, как Gatekeeper, вы можете обойти SIP , если вам нужно. Но большинство известных разработчиков разрабатывают свои приложения для работы вместе с SIP, так что вам не нужно это делать.
5. Компьютеры работающие на macOS меньше, чем на Windows
Хотя это не кажется хорошей защитой, тем более что он находится вне контроля Apple, ваш Mac также защищен тем фактом, что в мире больше компьютеров Windows , чем Mac . На самом деле их намного больше.
Вирус , предназначенный для повреждения Windows, не работает против Mac. Таким образом, криминальные разработчики должны выбрать, на какую платформу они хотят нацелиться. Поскольку Windows намного более популярна, чем macOS , имеет смысл создавать вредоносные программы для Windows и атаковать большее количество людей.
Это именно то, что происходит. Для Mac существует меньше угроз для вредоносных программ, потому что людям, которые их создают, гораздо меньше выгод. Этот принцип, несмотря на недостатки, известен как безопасность через неизвестность.
Сделайте ваш macOS безопасным
Самым слабым звеном любой системы безопасности является пользователь. Ваш Mac отлично справляется с защитой от вредоносных программ, но вы можете помочь ему, проявив здравый смысл. Например:
- Обновляйте свой Mac, чтобы использовать последние обновления для системы безопасности.
- Избегайте открытия вложений электронной почты или ссылок от неизвестных отправителей.
- Не пренебрегайте функциями безопасности для установки приложений из ненадежных источников.
Для дополнительной защиты вы можете также рассмотреть возможность установки антивирусного программного обеспечения.
Если статья была для вас полезной, просим поставить лайк и подписаться на наш канал . Также посетите наш сайт , чтобы увидеть больше подобного контента.
Spotlight показывает необходимую информацию почти мгновенно. Для этого он постоянно индексирует данные и загружает компьютер. Это особенно заметно, когда вы подключаете к Mac внешний жёсткий диск с большим числом файлов.
Чтобы убедиться, что компьютер нагружает именно Spotlight, откройте приложение «Мониторинг системы». Найдите процесс mdworker с пометкой _spotlight в колонке «Пользователь».
Обратите внимание на колонку «% ЦП»: в ней указано, насколько сильно эта возможность системы нагружает процессор прямо сейчас.
Полностью отключить Spotlight можно с помощью «Терминала». Для этого скопируйте в него следующую команду и нажмите Enter.
sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.metadata.mds.plist
Чтобы восстановить работу Spotlight, скопируйте в «Терминал» команду, отменяющую предыдущую, и нажмите Enter.
sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.metadata.mds.plist
2. Автоматический запуск приложений
Разработчики сторонних приложений хотят, чтобы вы как можно чаще использовали их творения. Поэтому они пытаются сделать так, чтобы их программы автоматически запускались после перезагрузки системы и ждали указаний в строке меню Mac.
Чем больше фоновых процессов, тем выше нагрузка на процессор и тем медленнее он справляется с активными задачами.
Чтобы уменьшить нагрузку, уберите приложения из автоматической загрузки. Для этого откройте «Системные настройки», перейдите в меню «Пользователи и группы» и выберите раздел «Объекты входа».
Здесь выберите приложение и нажмите на кнопку с изображением знака минус.
3. Защита данных на диске FileVault
FileVault — шифрование macOS. Оно нужно для предотвращения нежелательного доступа к данным на загрузочном диске Mac.
Когда вы включаете FileVault, система создаёт образ диска, шифрует данные и переносит на него. Активация функции занимает от нескольких минут до нескольких часов, в зависимости от производительности Mac и объёма данных на диске.
После включения FileVault все новые данные шифруются в фоновом режиме. Функция повышает безопасность использования системы, но нагружает процессор и замедляет Mac.
Если вы уверены, что компьютер не попадёт в чужие руки, FileVault можно отключить. Для этого откройте «Системные настройки», перейдите в меню «Защита и безопасность» и выберите раздел FileVault.
Здесь нажмите на значок в виде замка в нижнем левом углу окна, чтобы разрешить изменение настроек. После этого выберите «Выключить FileVault» и дождитесь окончания расшифровки данных.
4. Создание резервных копий Time Machine
Time Machine — система резервного копирования macOS. C помощью неё можно восстановить отдельные файлы или всю операционную систему целиком.
Для работы Time Machine используется внешний жёсткий диск. Когда вы подключаете его, система сразу начинает создавать резервную копию. Так она загружает Mac в неподходящий момент.
Чтобы выключить автоматическое резервное копирование, откройте «Системные настройки», перейдите в меню Time Machine и снимите галочку с пункта «Создавать резервные копии автоматически».
Теперь вы сможете создавать резервные копии вручную, когда не используете Mac. Для этого нажмите на значок Time Machine в строке меню и выберите «Создать резервную копию сейчас».
5. Общий доступ к файлам
Если несколько пользователей в локальной сети начинают вместе использовать данные на вашем Mac, его производительность может заметно просесть.
Чтобы избежать неожиданной загрузки компьютера в неподходящий момент, лучше выключить общий доступ к файлам.
Для этого откройте «Системные настройки», перейдите в меню «Общий доступ» и уберите галочку возле пункта «Общий доступ к файлам».
6. Распознавание и группировка лиц в «Фото»
В macOS Sierra приложение «Фото» получило возможность автоматического определения лиц и группировки фотографий по ним.
Если вы используете функцию «Фото iCloud», то можете столкнуться с неожиданным уменьшением производительности компьютера.
«Фото iCloud» синхронизирует снимки между iPhone, Mac и другими устройствами Apple. Когда на Mac попадает большое число новых фотографий, приложение «Фото» включает автоматическую индексацию для поиска лиц. Индексация работает в фоновом режиме даже при закрытом приложении «Фото». Вы можете выключить её только через «Мониторинг системы».
Чтобы убедиться, что компьютер загружает именно индексация «Фото», откройте приложение «Мониторинг системы» и найдите процесс Photos Agent.
Если проблема в нём, выберите процесс и нажмите на кнопку его завершения в верхнем левом углу окна приложения.
7. Изменение картинки рабочего стола по времени
Нагружать компьютер может и автоматическое изменение картинок, которые используются как обои для рабочего стола, каждые несколько секунд или минут.
Лучше выключите эту возможность и оставьте одно изображение.
Для этого откройте «Системные настройки», перейдите в меню «Рабочий стол и заставка», выберите раздел «Рабочий стол» и уберите галочку возле пункта «Менять изображение».
8. Визуальные эффекты системы
Если вы используете старый Mac, производительности которого не хватает для плавной работы системы, отключите её визуальные эффекты: анимации и прозрачность.
Для этого откройте «Системные настройки», перейдите в меню «Универсальный доступ» и выберите раздел «Монитор».
Здесь установите галочки возле пунктов «Уменьшить движение» и «Уменьшить прозрачность».
9. Анимированные эффекты Dock
Чтобы ускорить работу системы на старом Mac вы также можете отключить эффекты Dock.
Для этого откройте «Системные настройки» и перейдите в меню Dock.
Здесь уберите галочку возле пунктов «Увеличение» и «Анимировать открывающиеся программы», выберите «Простое уменьшение» в пункте «Убирать в Dock с эффектом».
10. Сглаживание шрифтов
Последнее, что можно отключить, чтобы ускорить работу системы на старом Mac — сглаживание шрифтов.
Для этого откройте «Системные настройки» и перейдите в меню «Основные».
Здесь уберите галочку возле пункта «Сглаживание шрифтов (по возможности)».
После этого на экранах с небольшим разрешением буквы могут выглядеть угловато, но компьютер начнёт работать быстрее.
Это будет обзорная статья, поэтому я не буду вдаваться в глухие технические дебри. Тем не менее технические детали будут присутствовать. Первая часть статьи будет посвящена вопросу зачем это всё вообще нужно, а вторая — как это работает в общих чертах. Если общество заинтересуется — следующая статья будет содержать больше технических деталей. Кому интересно — добро пожаловать под кат.
Хотя в названии и есть слово "security", эти расширения нужны не только реализации функций связанных с безопасностью в привычном понимании этого слова. Когда мы говорим "безопасность" мы обычно думаем о шифровании, ограничении доступа, TPM , безопасных хранилищах и тому подобных вещах. Security extensions позволяют реализовать эти все функции, но так же они используются для таких вещей, как например запуск и остановка процессорных ядер, перезагрузка системы и т.д.
Не совсем security функции
Все мы знаем что есть такая штука как BIOS (а теперь и EFI). Их задачей является первичная инициализация системы, загрузка OS, предоставление OS информации о системе, помощь OS в управлении компьютером.
Исторически сложилось так, что на ARM-based платформах нет (точнее не было) аналога BIOS. Обычно в ROM-коде присутствовал простенький загрузчик который находил и загружал полноценный загрузчик. Часто таким полноценным загрузчиком выступает u-boot. U-boot в свою очередь инициировал минимум периферии (например запускал контроллер DRAM), находил и запускал ядро linux. Ядро linux в свою очередь могло полностью вытереть из памяти u-boot, потому что он больше не нужен. И всё, после загрузки ядро было полностью предоставлено себе. Прямо в него (или в сбоку, в специальную структуру под названием device tree) была зашита вся информация о системе где оно работает. Все операции по управлению системой (например разгон процессора) ядру приходилось выполнять самому.
Это было неудобно по ряду разных причин. Например, производителям не хочется отдавать разработчикам ядра контроль над всякими "нежными" модулями типа кешей и шины. Или, например, процедура перезагрузки чипа требует каких-то хитрых манипуляций которые неудобно производить из кода ядра.
Короче, потребность в чем-то вроде BIOS существует. Только в ARM-системах он называет Secure Monitor и работает благодаря Security Extensions. По моему опыту чаще всего он используется для запуска и остановки дополнительных ядер в многопроцессорной системе, управления шиной, переброски выполняющегося кода между мощными и слабыми ядрами в ахритектуре big.LITTLE, активации режима гипервизора и тому подобных деликатных вещей.
Security функции
Security extensions позволяют запустить сбоку ещё одну OS со своим ядром и пользовательскими приложениями. Её обычно называют Trusted OS. У этой OS будет своя защищенная память и доступ к защищенной же периферии, например крипто-аккселераторам. Двумя примерами таких OS является гугловая Trusty и опенсурсная OP-TEE. Существует консорциум Global Platform который выработал общие требования к таким OS под названием Trusted Execution Environment.
В защищенную OS можно загружать пользовательские приложения (естественно подписанные). Это позволяет например гонять там банковское приложение для платежей через NFC или виртуальную SIM-карту. Правда, скажу честно, на практике я с таким пока не сталкивался.
Так же secure extensions позволяют организовать Secure Boot: корнем доверия является ROM-код, который проверяет подпись следующего загрузчика, загрузчик может проверить подпись ядра обратившись к Secure Monitor. Ядро в свою очередь тоже может проверять подписи исполняемого кода. Таким образом основные компоненты будут защищены от изменения.Технология спорная, но некоторые разработчики android-устройств её очень любят.
Информация о технических деталях открыта. Можно скачать ARM Technical Reference Manual и прочитать всё самому. Кроме того в Сети хватает всяких красивых презентаций. Я не буду вдаваться в глубокие дебри, просто опишу основные идеи. Я буду использовать терминологию из ARMv8, потому что она более последовательна, в сравнении с терминами принятыми в ARMv7.
Режимы процессора
В этом разделе будет приведено немного технических деталей. Если системное программирование для вас абсолютно темная тема — этот раздел можно и пропустить.
Собственно, все наверное слышали про кольца защиты в x86. В ARM-ах есть точно такая же штука, только тут они называются Exception Levels (сокращенно EL). Их может быть от двух до четырех (или шести, смотря как считать). Это режимы работы процессора. Чем выше Exception Level, тем большими привилегиями обладает код исполняющийся в нем.
Все ядра ARMv7 или ARMv8 поддерживают минимум два из них: EL0 и EL1.
На EL0 работают пользовательские программы (например ваш браузер). У кода исполняющегося в EL0 нет никаких привилегий: он (обычно) не может работать с периферией, перенастраивать MMU , запрещать (и разрешать тоже) прерывания, обрабатывать исключительные ситуации. Но браузеру этого всего и не нужно. А если всё-таки нужно, то об этом надо попросить ядро OS.
На EL1 работают ядро и драйвера. У них, соответственно, есть возможность работать с периферией, программировать MMU и далее по списку. Еще лет 10 назад этого было бы вполне достаточно. Но технологии не стоят на месте.
Ещё два EL могут появится если процессорное ядро включает дополнительные расширения: virtualization extensions и security extensions. При чем оба эти расширения опциональны (хотя и присутствуют во всех современных чипах) и процессор может иметь или любое из них, либо оба сразу. Немалая часть ARM Technical Reference Manual посвящена взаимодействию этих расширений.
Так, если если в ядре есть virtualization extensions, то появляется EL2. На этом уровне работает гипервизор. Так же MMU становится двухстадийным и появляется виртуальный контроллер прерываний. Но это совсем другая история которую нужно рассказывать отдельно.
Если в процессоре присутствуют security extensions, то появляется режим EL3 и режимы S-EL0 и S-EL1. Кроме того появляется понятие secure mode (и соответственно non-secure mode) — это режимы процессора ортогональные exception levels. EL3 обладает теми же привилегиями что и EL2, плюс ещё одной особенностью. Только в режиме EL3 код может переключить процессор между secure и non-secure mode. В чем же между ними разница? А разница только в значении одного бита — NS .
Дело в том, что security extensions — это не только расширения для вычислительного ядра. Эти расширения так же затрагивают MMU, контроллер прерываний и контроллер шины. Например, контролер шины проверяет значение этого самого бита NS при доступе к памяти и периферии. Если участок памяти помечен как secure, то доступ к нему можно получить только из secure mode. Это значит, что ни ядро обычной OS, ни гипервизор не смогут прочитать/изменить "безопасную" память. То же самое и с периферией. Если приходит прерывание которое помечено как secure, то это прерывание будет обрабатывать не обычная OS, а trusted OS из режима secure mode.
Получается, будто в одном процессоре живут два мира: normal world и secure world (это термины из официальной документации, если что). При чем secure world может вмешиваться в дела normal world, но не наоборот. В режиме EL3 работает secure monitor, который служит эдаким Хароном — позволяет попасть из одного мира в другой.
Как вы уже наверное догадались, режимы S-EL0 и S-EL1 — это аналоги EL0 и EL1 из normal world. В S-EL1 бегает ядро "безопасной" OS, а в S-EL0 — приложения (например та же виртуальная SIM-карта). На картинке выше используется терминология из ARMv7, но понять что к чему довольно легко (я надеюсь).
Взаимодействие Normal World и Secure World
Процессор всегда запускается в secure-mode (потому что иначе он туда никак не попадет). Загружается и инициализируется Trusted OS, после чего процессор переходит в non-secure mode и загружает обычную OS.
Казалось бы при всех своих возможностях secure world должен занимать доминирующее положение в системе. Но на самом деле всё наоборот. Большую часть времени он неактивен. Только когда обычной OS нужны какие-то услуги, она обращается к secure monitor и управление переходит в secure world. Таким образом именно normal world решает когда будет работать secure world. Это сделано для того, что бы не мешать пользователю работать с устройством, смотреть видео и слушать музыку. Ведь если secure world заберет управление в неподходящий момент, то это может нарушить работу normal world.
На самом деле у secure world есть возможность получить управление в обход normal world, используя прерывания. Например можно завести таймер который будет периодически вызывать secure world. Но так обычно не делают по причинам обозначенным выше. User experience превыше всего.
Для ядра linux есть набор патчей который позволяет обычным приложениям взаимодействовать с приложениями работающими в Trusted OS, согласно спецификациям GlobalPlatform TEE, о которых я уже упоминал выше. Таким разработчики могут писать приложения которые (с незначительными изменениями) смогут работать на любой совместимой Trusted OS.
Уголок параноика
Может ли secure world следить за вами? Теоретически — да. На практике я имел доступ к проприетарным trusted OS, которые затем устанавливались на пользовательские устройства. В их коде я не видел таких функций. Что, конечно же, ни о чем не говорит.
Если на вашем устройстве активирован secure boot, то у вас проблемы. В том смысле, что вы ничего не сможете сделать с кодом бегающим в secure world. Правда, вы так же ничего не сможете сделать и с кодом бегающим в режиме ядра.
К счастью, SoC'и с включенным secure boot довольно редки и их стараются не продавать всем подряд. Поэтому у вас скорее есть возможность заменить trusted OS на свою. Правда, ещё остается ROM-код с которым вы не сможете сделать почти ничего. И если secure monitor зашит в ROM-код, то опять же у вас проблемы. Но, есть SoC'и, на которых вы сможете устанавливать свой secure monitor. Например — Renesas RCAR H3. Так что ещё не всё потеряно.
Для желающих поэкспериментировать — есть возможность поднять Trusted OS на Raspberry PI. Как это сделать — написано в документации к OP-TEE.
Пользователи, обновившиеся до macOS Catalina 10.15.7, жалуются на повышенную нагрузку процессора.
Это происходит из-за процесса accountsd, который отображается в системе, как потребляющий свыше 400% мощности. Раньше эта проблема тоже была, но возникала крайне редко — теперь намного чаще.
Решений несколько, не всем могут подойти, однако многие юзеры говорят про то, что ошибка исчезла.
1. Перейдите в Системные настройки -> Spotlight -> Конфиденциальность.
2. Добавьте в (+) ваш накопитель («Macintosh HD» по умолчанию) в список «Запретить Spotlight выполнять поиск в этих местах».
3. Затем удалите (-) диск из списка, и Mac начнет переиндексацию.
Процесс индексирования может временно замедлить работу вашего Mac, поэтому рекомендуется выполнить эти шаги в одночасье.
Following the release of macOS Catalina version 10.15.7, an increasing number of users have experienced an issue with a system process named. (17 голосов, общий рейтинг: 4.76 из 5)
Артём Баусов
Главный по новостям, кликбейту и опечаткам. Люблю электротехнику и занимаюсь огненной магией. Telegram: @TemaBausov
Apple объявила о начале свободной продажи запчастей для iPhone и Mac. Их сможет купить любой, а не только сервисы
Как переоформить SIM-карту с юрлица на физическое лицо
Meta показала невероятные перчатки для VR. Они позволяют ощущать виртуальные объекты
Instagram будет требовать видео-селфи для подтверждения личности пользователей
Самые известные чехлы в России вышли для iPhone 13 Pro Max. Обзор Pitaka, броня для смартфона
На iOS 15 появилась странная ошибка «Память почти заполнена», хотя память есть
Apple попросила не крепить iPhone на самокаты и мотоциклы, иначе у него сломается камера
Ошибка iOS 14.7 может помешать iPhone с Touch ID автоматически разблокировать Apple Watch
🙈 Комментарии 30
@alexmaru , жди другого замедления! ;)
меня больше интересует как победить тоже самое, но с процессом photoanalysisd.
:-)
@monarev , из инета.
Принудительное отключение процесса для всего компьютера
sudo chmod -x /System/Library/PrivateFrameworks/PhotoAnalysis.framework/Versions/Current/Support/photoanalysisd
Если вы выполняете это в режиме восстановления, вы можете отключить-включить SIP сразу, выполнив следующее:
csrutil disable
sudo chmod -x /System/Library/PrivateFrameworks/PhotoAnalysis.framework/Versions/Current/Support/photoanalysisd
csrutil enable
По сути, он изменяет права доступа к файлу программы и запрещает запускать его кому-либо. Таким образом, система не сможет запустить его, и это больше не будет обременять ваш процессор.
Не пойму. На Catalina 10.5.6 такой прикол возникал. При чем поочерёдно с нагрузкой приложения Почта. Служба поддержки Apple в качестве основного решения предлагает использовать как раз таки обновление до 10.5.7. Установил. Пока все гуд.
Читайте также: