Protección de la integridad del sistema
macOS utiliza permisos del kernel para limitar la capacidad de escribir archivos críticos del sistema con una función llamada protección de la integridad del sistema (SIP). Esta función es independiente de la protección de la integridad del kernel (KIP) basada en el hardware de un Mac con chip de Apple (que protege la modificación del kernel en la memoria), al que complementa. Se utiliza una tecnología de controles de acceso obligatorios para ofrecer esta función y una serie de protecciones a nivel del kernel adicionales, como el aislamiento y los almacenes seguros de datos.
Controles de acceso obligatorios
macOS usa los controles de acceso obligatorios, unas políticas que establecen restricciones de seguridad creadas por el desarrollador y que no se pueden anular. Este enfoque es diferente de los controles de acceso discrecional, que permiten a los usuarios anular las políticas de seguridad en función de sus preferencias.
Los controles de acceso obligatorios están ocultos para los usuarios, pero constituyen la tecnología subyacente que ayuda a activar muchas funciones importantes, incluyendo el aislamiento, los controles parentales, las preferencias gestionadas, las extensiones y la protección de la integridad del sistema.
Protección de la integridad del sistema
La protección de la integridad del sistema restringe los componentes a solo lectura en ubicaciones críticas del sistema de archivos para ayudar a evitar que un código malicioso los pueda modificar. La protección de la integridad del sistema es un ajuste específico de los ordenadores que se activa por defecto cuando un usuario actualiza a OS X 10.11 o posterior. En ordenadores Mac basados en Intel, si se desactiva, elimina la protección de todas las particiones del dispositivo de almacenamiento físico. macOS aplica esta política de seguridad a cada proceso que se ejecuta en el sistema, independientemente de si se ejecuta en una zona protegida o con privilegios de administrador.