Контроль доступа приложений к файлам в macOS
Компания Apple считает, что приложения могут использовать данные пользователя только с его согласия и только если он полностью понимает и контролирует такое использование. В macOS 10.15 этот подход реализован на уровне системы. Он помогает убедиться, что все приложения получат согласие пользователя перед получением доступа к файлам в папках «Документы» и «Загрузки», а также на рабочем столе, в iCloud Drive и в сетевых томах. В macOS 10.13 и более новых версиях системы приложения, которым требуется доступ ко всему устройству хранения, должны быть явным образом добавлены в Системных настройках. Кроме того, использование функций универсального доступа и автоматизации требует разрешения пользователя. Это помогает убедиться, что они не обходят другие средства защиты. В зависимости от политики доступа пользователю предлагается либо от пользователя требуется изменить настройку в указанном ниже разделе.
В macOS 13 или новее. «Системные настройки» > «Конфиденциальность и безопасность» > «Конфиденциальность».
В macOS 12 или более ранних версиях. «Системные настройки» > «Защита и безопасность» > «Конфиденциальность».
Элемент | Приложение выводит запрос для пользователя | Пользователь должен изменить системные настройки конфиденциальности |
|---|---|---|
Универсальный доступ |
|
|
Полный доступ к внутреннему хранилищу |
|
|
Файлы и папки Примечание. В том числе папки «Рабочий стол», «Документы», «Загрузки», сетевые тома и съемные тома |
|
|
Автоматизация (события Apple) |
|
|
Если пользователь включил FileVault на Mac, то перед продолжением процесса загрузки и получением доступа к специализированным режимам загрузки потребуется ввести действительные учетные данные. Без действительных учетных данных для входа или ключа восстановления том останется зашифрован и защищен от несанкционированного доступа, даже если извлечь физическое устройство хранения из компьютера и подключить его к другому компьютеру.
Чтобы защитить данные в корпоративной среде, ИТ‑отдел должен задать политики конфигурации FileVault и включить их применение с помощью системы управления мобильными устройствами (MDM). Организациям доступно несколько способов управления зашифрованными томами, включая корпоративные ключи восстановления, личные ключи восстановления (которые при желании можно передать в MDM для хранения) или их сочетание. В MDM также можно установить политику ротации ключей.