macOS 中的「守衛」和執行階段保護
macOS 提供「守衛」技術和執行階段保護,可協助確保用户的 Mac 上只會執行受信任的軟件。
守衛
macOS 包含名為「守衛」的保安技術,其設計旨在協助確保用户的 Mac 上只會執行受信任的軟件。當用户下載並開啟來自 App Store 以外的 App、外掛模組或安裝程式套件時,「守衛」會驗證該軟件來自已識別的開發者,經過 Apple 公證不含已知惡意內容,且未曾遭變更。第一次開啟軟件時,「守衛」也會要求用户許可,以確認用户沒有受到詐騙而執行其認為單純為資料檔案的可執行程式碼。「守衛」也會追蹤下載軟件寫入的檔案之來源。
依照預設,「守衛」會協助確認所有下載的軟件均已由 App Store 簽署,或由已登錄的開發者簽署並由 Apple 公證。App Store 審核程序及公證流程的設計用意是確保 App 不含任何已知惡意軟件。因此,依照預設,無論軟件透過何種方式安裝在 Mac 上,macOS 中的所有軟件第一次開啟時,系統都會檢查是否包含已知的惡意內容。
用户和機構可選擇只允許安裝來自 App Store 的軟件。或者,用户可以凌駕「守衛」的規則以開啟任何軟件,除非受到流動裝置管理(MDM)解決方案限制。這包括允許使用其他身份簽署的軟件。必要時,也可完全停用「守衛」。
「守衛」可防止惡意外掛模組隨着良性 App 發佈。這種方式會在用户不知情的狀況下使用 App 觸發器載入惡意的外掛模組。必要時,「守衛」會在一個隨機唯讀位置開啟 App。其設計用意是防止自動載入伴隨 App 分發的外掛模組。
執行階段保護
系統檔案、資源與核心會與用户的 App 空間加以區隔。來自 App Store 的所有 App 皆以沙盒模式執行,無法存取其他 App 所儲存的資料。如果來自 App Store 的 App 需要存取來自其他 App 的資料,便只能使用由 macOS 提供的 API 與服務來進行。