15 советов по настройке параметров безопасности Mac OS X

У вас на столе чудный новенький Мак… Красавчик, что и сказать. Но отвлекитесь на минутку от восторгов и подумайте о том, что эйфория вскоре пройдет и потянутся рядовые будни, а будням присущи проблемы. Давайте попробуем защитить себя от возможных неприятностей разумной настройкой параметров безопасности Mac OS X. Уделите вопросу немножко времени и многие из них обойдут вас стороной.

Не секрет, что безопасность и комфорт частенько располагаются в разных углах ринга. А Мак славится именно мелочами в удобстве пользования и отказываться от них захочется не всем. Давайте поговорим о других мелочах, которые желательно знать любому маководу. А дальше каждый сможет принять решение: безопасно или комфортно? В идеале хорошо бы сделать всё нижеперечисленное сразу после первого включения системы. Понятно, что уже не все из вас смогут это сделать. Ну что ж, в данном случае лучше позже, чем никогда.

Проверяем настройки брандмауэра Mac OS X

Сегодня безопасность вашей машины во многом зависит от того, работает ли она автономно или подключена к какой-нибудь сети. С большой вероятностью в Интернет вы ходите каждый день, поэтому начнем именно с этого. Если вы в Сети, вам нужен брандмауэр. Эта служба – контролер сетевых соединений, с её помощью операционная система фильтрует все подключения к вашему компьютеру из сети – как внешней, так и внутренней. Существуют программные брандмауэры, над настройкой которых сломал голову не один системный администратор – настолько сложной она может быть. Однако в Mac OS X, как обычно, всё уже сделано за вас. Нужно только нажать кнопку “включить”, в остальном обычному пользователю разойтись не дадут.

безопасные настройки брандмауэра mac os x

Чтобы запустить брандмауэр, откройте Системные настройки, раздел “Защита и безопасность”, вкладку “Брандмауэр”. Ткните в кнопку “Включить”. Вы на полпути к успеху. Теперь желательно кликнуть кнопку “Параметры брандмауэра” и проверить то немногое, к чему нам оставили доступ.
Самым важным тут является последний пункт, он даёт возможность включить так называемый “невидимый режим”, в котором ваша машина не отвечает на служебные сетевые запросы, часто используемые неправоверными горожанами, например для выявления возможных дыр в системе безопасности. При этом функциональность обычных приложений никак не страдает. Посему рекомендую держать этот режим включённым.

Если вы не хотите заморачиваться в дальнейшем ответами на вопросы, которые время от времени будут вылезать, поставьте галку напротив пункта “Автоматически разрешать входящие подключения подписанному ПО”. В этом случае система сама разрулит большинство непоняток, за исключением случаев, когда она посчитает, что программа, запрашивающая входящее подключение, не имеет сертификата, выданного надёжным сервисом. Но такое случается довольно редко, и вы не слишком устанете от принятия трудных решений.

И последнее… этот пункт понравится фанатам безопасности. Тут можно заблокировать все входящие подключения, кроме самых базовых, обеспечивающих сетевые взаимодействия. В обычной ситуации от этого прежде всего пострадают ваши соседи по локальной сети, потому как просто не смогут пользоваться расшаренными ресурсами вашей машины. Все сервисы, использующие общий доступ к файлам, принтерам, веб-страницам, экрану, а также служба удалённого доступа к вашему компьютеру станут неработоспособными.

Эта штучка может оказаться полезной, если вы выходите в Интернет в какой-нибудь кафешке, или подключаетесь к корпоративной сети у себя на работе, и не хотите, чтобы чужие лапы шарили по вашим папкам со свадебными фотографиями. Одним кликом можно окоротить любого любопытного сетевого соседа. При этом остаётся возможность полноценно пользоваться браузером, почтовым клиентом, аськой и доступом по FTP. В общем, запомните эту галочку, однажды она вам пригодится.

К сожалению, встроенный брандмауэр Mac OS X не фильтрует исходящие соединения. Если вам не всё равно, что каждое третье установленное вами приложение пытается самовольно выйти в сеть, соединиться с каким-то непонятным сервером и передать ему неизвестно какие данные о вашем компьютере или о вас, подумайте о возможности использования специальных программ, которые призваны предупреждать подобный беспредел.

Общепризнаным любимцем в этой области является “стукачок” Little Snitch. К сожалению, за него просят целых 30 евро… но он того стоит. Если в вашей голове зашевелились крамольные мысли о торрентах, добавьте к ним одну отрезвляющую: эта программа призвана контролировать сетевые соединения. Это означает, что во-первых, она обеспечивает вашу безопасность. А во-вторых – её уже никто не контролирует. Известно предостаточно случаев, когда в комплекте с популярными программами торренты втюхивали жадным юзерам чудные наборы троянов. Кто даст гарантию, что вы не скачаете именно такой комплект? Последствия могут вам не понравиться…

Обеспечиваем безопасность Mac OS X при установке программ

Gatekeeper – такое название получил процесс, регулирующий запуск всех приложений, загруженных из глобальной Сети. Он значительно повысил уровень безопасности Mac OS X Mountain Lion, в составе которой впервые увидел свет. Его поведение регулируется параметрами на вкладке “Общие” раздела “Защита и безопасность”. Эти настройки в самом жестком варианте позволяют установить программу, только если она была загружена из Mac App Store. Максимальную же степень свободы представляет третий вариант – любая программа, независимо от ресурса, с которого она была скачана, запустится беспрепятственно, если не считать робкой попытки системы предупредить о возможных последствиях.

Параметры безопасности Mac OS X при установке программ

Я советую вам держаться середины и разрешить запуск программ, загруженных от “установленных разработчиков” (в Калифорнии несколько странный русский язык). В этом случае Gatekeeper предотвращает запуск любого приложения, разработчик которого не имеет сертификата, выданного компанией Apple, что практически полностью исключает возможность попадания на вашу машину любой гадости (при условии, что для запуска трояна не используется “липовый” сертификат). При этом вы не теряете контроля над машиной и сохраняете способность запустить нужную программу, даже если она не имеет верительных бумаг от Apple.

Нужно всего лишь найти её в Finder’e и кликнуть правой кнопкой, после чего выбрать в появившемся меню пункт “Открыть”. Это лишнее телодвижение понадобится совершить однократно, поскольку Gatekeeper контролирует только первый запуск загруженного файла. Но прежде чем принимать такое решение, спросите себя, действительно ли вы доверяете источнику, из которого получено это приложение? Право же, не стоит качать с трекеров и устанавливать всё подряд только потому, что это халява. Если программа действительно хороша и вам без неё никак, подумайте – неужели у вас не найдётся несколько сотен рублей, чтобы оплатить её и скачать с сайта разработчика гарантированно чистый дистрибутив?

Создайте рабочую учётную запись с правами обычного пользователя

На любом новом Маке уже существует учётная запись, для которой задан “пустой” пароль и разрешён автоматический вход в систему. Если вспомнить, что этот аккаунт обладает правами администратора системы, можно смело сказать, что по умолчанию мы имеем худший из всех вариантов с точки зрения защищённости. Любой человек, получивший физический доступ к компьютеру, наделяется неограниченной властью над ним. Вся система и все ваши личные файлы в его руках. Нравится вам такой вариант? Думаю, нет…

Поэтому первое, что вы должны сделать после того, как примете решение притащить новый Air в универ – задать качественный пароль существующей учётке, записать его в секретный блокнот и… перестать пользоваться этим аккаунтом! Единственное, для чего он (аккаунт, а не пароль) понадобится вам в ближайшее время – создание рабочей учётной записи с ограниченными правами. Не существует абсолютно безопасных операционных систем, рано или поздно вашей машине придётся почувствовать на себе воздействие какого-нибудь “зловреда”. Последствия будут гораздо менее ощутимы, если троян, которого вы подцепите, не получит прав администратора. А для этого вы всегда и везде должны работать в учётке рядового пользователя.

Управление учётными записями производится в Системных настройках (серая иконка с шестерёнками в Доке) на вкладке “Пользователи и группы”. В белой колонке слева, где значится ваш единственный пользователь (он же – администратор), в нижней части найдите кнопку со знаком “+” и нажмите её. В появившемся окне, в первом сверху выпадающем списке необходимо выбрать тип “Стандартная”, после чего вписать имя и пароль нового пользователя и, при необходимости, фразу, которая может служить подсказкой в случае, когда вы этот пароль благополучно забыли. Мне такая предосторожность кажется излишней, но если решите эту подсказку сочинить, помните, что она будет видна любому, кто попытается войти в аккаунт. Поэтому не вписывайте туда пароль прямым текстом, а используйте какую-нибудь военную хитрость.

Создание новой учетной записи Mac OS X

Защитите системные настройки паролем администратора

В системе безопасности Mac OS X предусмотрена возможность блокировки некоторых важных системных настроек паролем администратора. Всего таких значится 11 штук: “Защита и безопасность”, “Экономия энергии”, “Печать и сканирование”, “Сеть”, “Общий доступ”, “Пользователи и группы”, “Родительский контроль”, “Дата и время”, “Обновление ПО”, “Time Machine” и “Загрузочный том”. Окна этих настроек визуально отличаются наличием иконки замка в левом нижнем углу. Прежде чем сделать какие-то изменения в любом из перечисленных окон, нужно нажать на иконку, после чего система запросит у вас пароль администратора (хотя бы по этой причине не стоит его забывать.

При первоначальной настройке компьютера довольно утомительно вводить пароль в каждом третьем окне. Чтобы избавиться от этих запросов, зайдите в раздел “Защита и безопасность”, разблокируйте защиту паролем администратора и нажмите кнопку “Дополнительно” в правом нижнем углу. Дальше вам нужно найти пункт “Запрашивать пароль администратора для доступа к системным настройкам”, снять в нем галку и подтвердить свой выбор. Теперь большая часть настроек станет доступной без ввода пароля. Кроме самых критичных – “Защита и безопасность”, “Пользователи и группы” и “Родительский контроль”, которые по-прежнему останутся под замком.

Защита настроек Mac OS X паролем

После того, как вы убедитесь, что компьютер в целом настроен вполне достойно, можно снова установить эту галку. Либо оставить всё как есть, блокируя при необходимости только те параметры, которые кажутся важными лично вам. Для этого достаточно просто кликнуть на иконке открытого замка в окне нужного раздела. Беспокоиться о трёх вышеупомянутых не нужно, они будут блокироваться автоматически каждый раз после закрытия окна Системных настроек.

Проверьте общие настройки безопасности

Давайте закончим наши дела со вкладкой “Пользователи и группы”. Щелкнув в столбце со списком зарегистрированных пользователей на кнопке “Параметры входа”, вы получите доступ к настройкам, определяющим способ входа в систему и вид окна ввода пароля. Для начала отключите автоматический вход в систему для всех учётных записей. Вы отгрызёте ещё один маленький кусочек удобства, зато значительно обезопасите себя от чьих-нибудь шаловливых ручек.

Далее нужно настроить окно входа так, чтобы оно отображало не список пользователей, а только две строчки для ввода имени и пароля. Остальные галки опциональны, но если уж совсем озаботиться секретностью, можно держать отключенными подсказки пароля, меню быстрого переключения пользователей, а также кнопки перезагрузки, сна и выключения компьютера.

Параметры безопасного входа в Mac OS X

Теперь перейдем на вкладку “Защита и безопасность” в Системных настройках, а внутри неё – на вкладку “Общие”. Здесь вы можете задать пароль текущей учётной записи (если до сих пор ещё не сделали этого), написать сообщение для того, кто найдёт вашу потерянную/украденную машину и отключить возможность автоматического входа в систему для текущего аккаунта.

Тут же можно поставить галку, которая окажется полезной владельцу ноутбука в общественных местах, где бывает много любопытных глаз. Если установить её, машина будет требовать пароль для отключения скринсейвера или при выходе из спящего режима. То есть, если вам понадобится отлучиться из читального зала на пару минут, ноут можно отправить в спящий режим закрытием крышки, либо включить скринсейвер. Теперь можно не бояться, что пока вы пудрите носик, сосед от вашего имени назначит ВКонтакте свидание вашей девушке.

Общие параметры безопасности Mac OS X

На вкладке “Конфиденциальность” вы можете управлять работой службы геолокации, определяющей местоположение вашей машины по некоторым параметрам сетевых подключений. Я предпочитаю держать эту службу в нерабочем состоянии, но если вам вам не обойтись без программ, активно использующих эту службу, включите ее. Здесь же можно ознакомиться со списком приложений, которые успели поинтересоваться вашими координатами.

Ну что же, нам осталось только ткнуть в уже знакомую кнопку “Дополнительно” в правом нижнем углу окна. Наблюдаем три пункта, пара из которых есть дело добровольное, а третий – автоматическое обновление списка сохранённых загрузок, – очень желательно держать включенным. Под этим загадочным названием скрывается возможность ежедневного обновления списка XProtect, необходимого для корректной работы функции файлового карантина. Браузер (и некоторые другие встроенные приложения) использует этот список, чтобы предотвратить установку неосторожно загруженного трояна. Apple запустила карантин в 2009 году, после чего безопасность Mac OS X 10.6 заметно усилилась. Эта функция, в общем, заменяет собой антивирус, так что в ваших интересах держать список в актуальном состоянии.

Дополнительные настройки безопасности Mac OS X

Что касается остальных настроек, тут многое зависит от вас и вашей среды обитания. Если вы активно пользуетесь пультом ДУ, неразумно будет отключать ИК-приёмник компьютера. То же касается и настройки авто-выхода из учётной записи после нескольких минут вашего бездействия. Такая возможность хороша, когда одной рабочей станцией пользуются несколько человек, например, в маленькой небогатой корпорации. Если вы вышли покурить и заболтались с подружкой, коллеги не будут проклинать вас за невозможность поработать с компьютером – он автоматом выкинет вас из учётки через настроенное количество минут. Но если ваша машинка исключительно домашнего вида и вы для неё – царь и бог в одном лице, все эти премудрости ни к чему. С точки зрения соблюдения секретности вполне достаточно грамотно настроить скринсейвер, о чём будет сказано чуть позже.

Установите пароль на доступ к EFI

Если вы перешли на Mac с Windows, вам вероятно известно, что такое BIOS. Тем, кто не знает, короткое пояснение: эта штучка нужна для инициализации компьютера при включении и представляет собой интерфейс, связывающий операционную систему и низкоуровневые микропрограммы, хранящиеся в чипах памяти. Сразу после включения компьютера эти программы запускаются, выполняют определенный набор действий и передают управление загрузчику ОС. В Макинтошах, работающих на процессорах Интел, используется более продвинутый аналог BIOS – Extensible Firmware Interface (EFI).

Одной из полезностей, которую предоставляет EFI пользователю, является возможность использования “горячих” клавиш в процессе включения компьютера для внесения некоторых корректив в его работу. В частности, такими клавишами можно сменить источник загрузки и сделать так, что Mac будет загружаться с любого из внутренних или внешних приводов (и даже флешек). А раз так, то получается, что вся наша отлаженная система безопасности летит ко всем чертям, поскольку действует она только в рамках “домашней” ОС, и бесполезна при загрузке другой системы, например с внешнего жесткого диска, подключенного к USB порту.

Чтобы устранить такую вероятность, пусть даже и крошечную, нам и понадобится пароль на доступ к EFI. После его активации все клавиатурные сочетания, так или иначе прерывающие стандартный процесс загрузки, становятся нерабочими. За исключением одной – клавиши “Option”(она же “Alt”), удержание которой при включении машины в обычном варианте выдает на экран меню с перечнем всех доступных на данный момент загрузочных дисков. Если же мы установим пароль, единственное, что будет появляться на экране – это строка для его ввода.

Чтобы установить пароль, нам понадобится загрузить машину со специального раздела на жестком диске под названием Recovery HD. Он создается в процессе установки систем 10.7 или 10.8, невидим по умолчанию и предназначен для служебных целей (в основном – для восстановления поврежденной ОС). Сразу после того, как в процессе загрузки экран подсветится и раздастся стартовый тон, нужно нажать клавишу “Option” и удерживать ее до тех пор, пока не появится загрузочное меню с отображением иконок все доступных для загрузки дисков.

Менеджер выбора загрузочного диска Mac OS X

В меню нужно выбрать раздел Recovery HD. После завершения загрузки вы увидите окно со списком доступных служебных программ. Однако, в этот раз оно вам не понадобится. Нужно просто найти в строке меню пункт “Utilities”, а в нём – “Firmware Password Utility”.

Утилита пароля прошивки Mac OS X

После запуска утилиты на экране появится уведомление о том, что защита не установлена и приглашение назначить новый пароль. После того, как вы это сделаете, можно завершить работу утилиты и перегружаться в рабочую систему.

Пароль прошивки не установлен
Установка пароля прошивки Mac OS X

В следующий раз, если вы захотите запустить Firmware Password Utility, на экран выскочит окошко с подтверждением того, что защита включена и двумя опциями: отключить защиту или сменить пароль.

Пароль прошивки установлен

На этом, собственно всё. Теперь любая попытка задействовать загрузочное меню или другие “горячие” клавиши для смены источника загрузки будут сопровождаться приглашением ввести пароль EFI.

Окно ввода пароля прошивки Mac OS X

Нелишним будет добавить, что раздел Recovery HD появился только в Mac OS X 10.7, и если у вас установлена более старая система, вам понадобится комплектный установочный диск под названием Mac OS X Install DVD, с которого и нужно будет загрузиться. Все действия при этом будут аналогичны.

И последнее, что может здесь пригодиться. Вам полезно будет знать, что это не абсолютный способ защиты. Если ваш Мас произведен до 2011 года, пароль можно сбросить самостоятельно, что, с одной стороны дает вам страховку на случай, если вы его забудете, а с другой – любой грамотный воришка также может сделать это. Что поделать, мир не идеален… Можно успокоить себя мыслью о том, что далеко не все знают, как именно это нужно делать. И потом, способ сам по себе не слишком прост и быстр. Нужно каким-либо образом изменить набор аппаратных компонентов компьютера. Самый простой вариант – вытащить один из модулей оперативной памяти. Если он всего один, то нужно добавить второй подходящий (иначе компьютер не загрузится). После чего машину надо включить и сразу нажать на клавиатуре комбинацию “Cmd + Option + P + R”. Нужно удерживать клавиши до тех пор, пока компьютер снова не перезагрузится. После этого пароль будет сброшен.

Помните пожалуйста о том, что если у вас нет доступа к оперативной памяти, или доступ есть, но установлен только один модуль, а вам нечего к нему добавить, у вас будет только один способ сбросить пароль – обратиться в сервис. А это потеря времени и денег, что обидно. Поэтому позаботьтесь о сохранности пароля со всей возможной тщательностью.

P. S. Если у вас есть вопросы/проблемы, связанные с настройкой вашей системы, вы можете связаться со мной в соседнем разделе.

Bookmark and Share