10 doporučených způsobů, jak zabezpečit macOS
10 doporučených způsobů, jak zabezpečit macOS
V období, kdy naprostá většina firemních uživatelů pracuje vzdáleně na home office, nastal ideální čas ověřit si, jestli a jakým způsobem jsou vaše data na počítači zabezpečena.
Už jste to také jistě zažili… Práce s daty přes VPN připojení je nestabilní a pomalá. Proto si raději soubory ze serveru stáhnete „k sobě na plochu” notebooku a pracujete z domova nebo z kavárny. K možné ztrátě firemních dat pak není daleko. Ta může mít různé příčiny – odcizení firemního vybavení, únik souborů, offboarding zaměstnanců nebo krádež duševního vlastnictví.
Podívejte se na deset způsobů, jakými můžete data zabezpečit pouze s pomocí „základních” vestavěných nástrojů.
Šifrování disku
Klíčovým prvkem ochrany dat je šifrování disku. Apple používá k ochraně těchto informací proprietární řešení označované souhrnně jako FileVault. To využívá šifrovací algoritmus XTS-AES-128 s 256 bitovým klíčem. Díky němu jsou data nedostupná až do té chvíle, než uživatel zadá tzv. tajemství (například heslo, klíč pro obnovu apod.) a disk odemkne.
Problematické je však uchovávání těchto tajemství. Pokud dojde k jejich ztrátě, není možné disk rozšifrovat. Proto doporučuji pro jejich správu použít vhodné MDM řešení nebo během první instalace systému přidat druhého administrátora. Implementace však vyžaduje velmi dobré znalosti a ve firemním prostředí byste ji raději měli přenechat expertům.
Secure Boot
Vše začíná spuštěním počítače. Novější Macy vybavené čipem Apple T2 Security disponují funkcí zabezpečeného spouštění (Secure Boot), která mimo jiné umožňuje, aby se po zapnutí počítače načetl vždy jen legitimní operační systém. Nabízí tři úrovně:
- Nejvyšší zabezpečení zajišťuje ověření digitálního podpisu operačního systému při každém startu z disku. Navíc zde není možnost nastartovat do systému staršího, než byl na daném oddílu disku již spuštěn. Pokud to není možné, stáhne se nejnovější systém ze serverů Apple a počítač nastartuje do něj. Tato varianta kopíruje chování iOS zařízení.
- Střední zabezpečení pouze ověří, jestli je systém na startovacím disku správně podepsaný, a spustí jej. Na verzi systému nezáleží.
- Žádné zabezpečení pak nenabízí žádné z výše zmíněných prvků ochrany. Toto chování je identické jako u Maců bez čipu Apple T2 Security.
První varianta je standardně nastavena jako výchozí a doporučujeme ji neměnit. Pokud přesto toto nastavení dočasně změníte, je důležité přepnout jej zpět. Současně Secure Boot ve výchozím nastavení zakazuje start systému z externích médií.
Heslo firmware
Druhou variantou ochrany při startu je heslo firmware základní desky. Jeho zapnutí zablokuje všechny pokusy o spuštění operačního systému z jiného než výchozího disku, a to včetně pomocí klávesových zkratek při startu.
Tento bezpečnostní prvek funguje i na starších počítačích, heslo je však potřeba vypnout pokaždé, kdy je prováděn jakýkoliv servisní zásah nebo v případě prodeje. To je dost nepraktické, a proto se od tohoto bezpečnostního prvku spíše upouští.
Ochrana integrity systému
Od verze OS X El Capitan je součástí systému další bezpečnostní prvek – System Integrity Protection (SIP). Ten chrání operační systém před škodlivým softwarem omezením rozsahu činností, které může kořenový uživatel („root“) provádět v chráněných částech systému.
SIP povoluje upravovat kritické složky a soubory pouze těm procesům, které jsou digitálně podepsané certifikátem vydaným společností Apple. Jde především o systémové aktualizace a instalační programy. Tato ochrana integrity systému také neumožňuje aplikacím vybrat jiný spouštěcí disk.
Po spuštění Terminálu a po zadání příkazu csrutil status jednoduše zjistíte, zda je tato ochrana zapnutá (enabled) nebo vypnutá (disabled). Pokud je vypnutá, není potřeba rozebírat, co a jak rychle byste měli udělat.
Gatekeeper
Součástí ochrany systému, která má na starosti spouštění prověřeného software, je Gatekeeper. Princip je vlastně velmi jednoduchý – při instalaci aplikací, pluginů a instalačních balíčků, které nepocházejí z App Storu, nejdřív macOS ověří ID vývojáře a stav notarizace. Podle toho pozná, jestli software pochází od ověřeného vývojáře a jestli není pozměněný.
Aplikace z App Store jsou zkontrolovány ještě před zařazením do katalogu a před vlastní distribucí jsou opatřeny digitálním podpisem, který zaručuje, že aplikace není pozměněna nebo jinak upravená.
Výchozí nastavení Gatekeeperu je správné a doporučuji jej neměnit. V případě Maců spravovaných pomocí MDM můžete ještě zvážit, zda není vhodné uživateli odebrat možnost udělovat výjimky pro jednotlivé aplikace.
Firewall
Součástí operačního systému macOS je tzv. aplikační firewall. Ten umožňuje řídit příchozí spojení pro každou aplikaci zvlášť a není nutné spravovat připojení na úrovni portů. Jde tedy pouze o ochranu před nežádoucími aplikacemi, které by mohly získat potenciální kontrolu nad síťovými porty.
Jeho doporučené nastavení zahrnuje pravidlo, které umožní všem validním a digitálně podepsaným aplikacím získat přístup automaticky. Varianta, kdy musí uživatel udělovat výjimky pro každou aplikaci samostatně, je vhodná pouze pro pokročilejší uživatele.
Zamykání obrazovky
Kolik filmů, v kterých měla pracovnice banky odemčenou obrazovku s citlivými údaji a nebyla u počítače, jste viděli? Kolikrát jste to zažili nebo jste o tom slyšeli? V počítači je k dispozici velké množství osobních údajů, takže je naprosto nezbytné, abychom je udržovali v bezpečí, i když je necháme bez dozoru například během obědové pauzy.
Nejjednodušším způsobem je zapnutí funkce zamykání obrazovky. Ta má dva časovače. Ten první určuje, za jak dlouho se má spustit spořič obrazovky nebo kdy počítač přejde do režimu spánku. Ten druhý pak, za jak dlouho bude vyžadováno heslo.
Ideální nastavení počítače Mac je takové, že je heslo vyžadováno bezprostředně po spuštění spořiče obrazovky nebo po přechodu do režimu spánku. Uživatelé Apple Watch pak jistě ocení automatické odemykání obrazovky pouhým přiblížením hodinek k počítači.
Služba Najít
Operační systém macOS Catalina představil novou službu Najít, která umožňuje vyhledávat přátele a členy rodiny, sdílet svoji polohu nebo najít ztracené zařízení. Navíc obsahuje zámek Activation Lock, který ostatním lidem brání používat váš ztracený nebo ukradený Mac. Na některých zařízeních se zámek aktivace aktivuje automaticky při zapnutí služby Najít můj Mac, která je součástí primárního iCloud účtu. V kombinaci s Apple T2 Security čipem se však jedná o smrtelnou kombinaci.
V praxi se totiž může velmi jednoduše stát, že si na novém počítači zaměstnanec nastaví vlastní Apple ID a při vrácení počítače nedojde k jeho deaktivaci. Z počítače se tak stává nepoužitelná podložka pod myš a jeho odemčení se musí počítač navštívit autorizované servisní středisko.
S pomocí MDM řešení však lze tomu předejít hned několika způsoby:
- zasláním „zadních vrátek“ k funkci Activation Lock na MDM server v případě, že jej uživatel zapne,
- znemožněním zapnutí funkce Najít uživatelem,
- vynuceným zapnutím funkce Najít MDM řešením.
Změna role uživatele
Po prvním spuštění počítače se vytváří první uživatel s úrovní Administrator. Ta nabízí velkou míru samostatnosti při správě počítače a současně přináší vyšší bezpečnostní riziko.
Kromě této úrovně mohou mít uživatelé také pouze standardní přístup k počítači. Ten chrání počítač a firmu před špatným zásahem uživatele způsobeným například instalací malware. Na druhou stranu může nedostatek práv komplikovat život a ubírat na samostatnosti. Přidání některých privilegií standardnímu uživateli (tím může být třeba administrace tiskáren) je snadné. Jiné se však řeší komplikovaněji.
Jednoznačné doporučení však v tomto případě neexistuje – uživateli, který používá pouze předinstalované aplikace jako webový prohlížeč a Microsoft Office budou stačit standardní práva, naproti tomu vývojář, který bude potřebovat nainstalovat do systému sadu knihoven, musí být administrátorem.
Služby sdílení
Posledním a opět velmi často opomíjeným bezpečnostním prvkem je panel Sdílení, které najdete v Systémových předvolbách. Pomocí něj máte možnost udělit přístup uživatelům nebo službám k vašemu počítači, popřípadě sdílet některé zdroje jako například tiskárny nebo scannery.
Pokud to není nezbytně nutné, doporučujeme všechny možnosti sdílení vypnout. Naopak žádoucí příklad může být služba Sdílení obsahu (Content Caching), kterou máte zapnutou na jednom z firemních počítačů nebo zapnutý vzdálený přístup správce (Remote Management) pro vaše IT oddělení.