Изменение параметров панели «Основные» в настройках защиты и безопасности на Mac
Используйте панель «Основные» в разделе настроек «Защита и безопасность», чтобы защитить свой Mac от вредоносных программ и фальсификации.
Чтобы изменить эти настройки на Mac, выберите пункт меню Apple
> «Системные настройки», нажмите «Защита и безопасность» 
, затем нажмите «Основные».
Примечание. Если в левом нижнем углу панели отображается закрытый замок 
, нажмите его, чтобы разблокировать панель настроек.
Вы можете изменить пароль входа для текущего пользователя.
Запрашивать пароль через … при выходе из режима сна и заставки
Вы можете блокировать Mac, когда он находится в режиме ожидания. При выходе из режима сна на компьютере Mac, чтобы продолжить работу, необходимо ввести пароль для входа в систему. Вы можете указать период времени с момента включения заставки или перехода в режим сна, после которого нужно будет ввести пароль для входа в систему.
Показывать сообщение, если экран заблокирован
В окне входа может отображаться короткое сообщение, когда компьютер Mac заблокирован. Это сообщение будут видеть все пользователи, пытающиеся войти в систему. Оно также может содержать контактную информацию владельца на случай утери компьютера.
Выключить автоматический вход
Вы можете сделать так, чтобы после перезагрузки Mac пользователям требовалось войти в систему с использованием пароля.
Эта функция недоступна, если включен FileVault.
Разблокировка Mac и приложений посредством Apple Watch
Можно разблокировать приложения, требующие ввода пароля, и Mac при выходе из режима сна посредством Apple Watch, не вводя пароль. Разблокировка Mac и подтверждение запросов с Apple Watch.
Этот параметр доступен, только если Mac поддерживает автоматическую разблокировку.
Разрешить использование приложений, загруженных из:
Вы можете защитить свой Mac от вредоносных приложений, разрешив только те приложения, которые загружены из App Store или получены от установленных разработчиков.
App Store. Выберите, чтобы разрешить выполнение только тех приложений, которые загружены из App Store.
App Store и установленные разработчики. Выберите, чтобы разрешить выполнение только приложений из App Store и от разработчиков, которых указывает Apple.
Блокировка системного ПО
Вы можете загружать системные расширения от разработчика недавно установленного ПО.
Безопасность Вашего Mac можно повысить, если выполнять выход автоматически после периода бездействия и если ограничить доступ к настройкам, распространяющимся на всю систему.
Настройка защиты компьютера Mac
Здесь приведены советы по повышению безопасности Mac.
Используйте надежные пароли
Для сохранения безопасности Вашей информации защищайте Mac паролями, которые невозможно легко угадать. См. разделы Советы по созданию надежных паролей и Сведения об использовании паролей.
Требуйте пароль при входе в систему
Если другие люди имеют физический доступ к Вашему компьютеру, Вам следует настроить отдельную учетную запись для каждого, кто пользуется Вашим Mac, и обязать каждого пользователя входить в систему. Тем самым Вы предотвратите использование Вашего Mac посторонними. Кроме того, это разделит файлы пользователей, и доступ к личным данным и файлам будет только у их владельца. Пользователи не могут просматривать или изменять файлы и настройки других пользователей. См. раздел Настройка обычных, гостевых пользователей и групп.
Обезопасьте свой Mac, когда он находится в режиме простоя
Можно настроить компьютер Mac так, чтобы текущий пользователь выходил из системы после бездействия компьютера в течение определенного периода времени. Настройка автоматического выхода из системы Mac при простое компьютера. Также необходимо запрашивать пароль для вывода компьютера из режима сна или заставки. Использование пароля при выводе компьютера Mac из режима сна. Для удобства можно настроить активный угол, позволяющий мгновенно блокировать экран. См. раздел Использование активных углов.
Ограничьте количество пользователей с правами администратора
Права администратора на компьютере Mac могут иметь один или несколько человек. По умолчанию администратором Mac является человек, выполнивший его первоначальную настройку.
Администраторы могут создавать учетные записи других пользователей; управлять ими и удалять их; а также устанавливать, удалять приложения и изменять настройки. Поэтому администратору следует создавать обычные учетные записи для использования, когда не требуются права администратора. Если нарушена безопасность обычной учетной записи, потенциальный вред компьютеру значительно меньше, чем при нарушении безопасности учетной записи администратора. Если Mac используется несколькими пользователями, ограничьте число пользователей с правами администратора. См. раздел Настройка обычных, гостевых пользователей и групп.
Шифруйте данные на компьютере Mac с использованием FileVault
Если на Mac хранится личная или конфиденциальная информация, можно использовать шифрование FileVault для защиты файлов от просмотра и копирования. Функция FileVault шифрует информацию, хранящуюся на Mac, после чего ее можно прочесть, только введя пароль входа. См. раздел Как работает шифрование FileVault?
Безопасное открытие приложений на компьютере Mac
В ОС macOS используется технология Gatekeeper, которая обеспечивает запуск только доверенного программного обеспечения на компьютере Mac.
Самым безопасным местом для загрузки приложений на компьютер Mac является App Store. Компания Apple проверяет каждое приложение в App Store, прежде чем принять, и подписывает его, чтобы оно не подверглась несанкционированному вмешательству или изменению. Если с приложением возникнет проблема, компания Apple может быстро удалить его из магазина.
Если вы загружаете приложения из Интернета или непосредственно на веб-сайте разработчика и устанавливаете их, ОС macOS продолжает защищать компьютер Mac. Когда вы устанавливаете на компьютер Mac приложения, плагины и установочные пакеты не из App Store, ОС macOS проверяет подпись идентификатора разработчика, чтобы убедиться, что программное обеспечение выпустил идентифицированный разработчик и что оно не изменено. По умолчанию macOS Catalina и более поздние версии также требуют подтверждения подлинности программного обеспечения, чтобы вы могли быть уверены, что программное обеспечение, запущенное на вашем Mac, не содержит известных вредоносных программ. Перед первым открытием загруженного программного обеспечения macOS запрашивает подтверждение, чтобы вы случайно не запустили программное обеспечение, устанавливать которое вы не собирались.
Приведенные ниже предупреждения являются лишь примерами, вам может встретиться аналогичное сообщение, не показанное здесь. Будьте осторожны при установке программного обеспечения, для которого компьютер Mac отображает предупреждение.
Просмотр настроек безопасности приложений на компьютере Mac
По умолчанию настройки безопасности и конфиденциальности на компьютере Mac разрешают устанавливать приложения только из магазина App Store и от идентифицированных разработчиков. Для дополнительной безопасности вы можете разрешить устанавливать приложения только из магазина App Store.
В меню «Системные настройки» щелкните «Защита и безопасность» и выберите «Основные». Щелкните значок замка и введите пароль, чтобы внести изменения. Выберите App Store в разделе «Разрешить использование приложений, загруженных из».
Открытие приложения с подписью разработчика или подтверждением подлинности
Если на вашем компьютере Mac настроено разрешение на установку приложений из App Store и от идентифицированных разработчиков, при первом запуске приложения Mac выдаст запрос о том, действительно ли вы хотите его открыть.
Если приложение имеет подтверждение подлинности от Apple, это значит, что компания Apple проверила его на наличие вредоносного ПО и не обнаружила ничего подозрительного.
Если отображается сообщение с предупреждением и не удается установить приложение
Если в настройках Mac вы разрешили устанавливать приложения только из App Store и пытаетесь установить приложение из другого источника, ваш Mac сообщит, что приложение невозможно открыть, потому что оно не было загружено из App Store*.
Если в настройках Mac разрешено открывать приложения из App Store и от идентифицированных разработчиков и вы пытаетесь установить приложение, которое не подписано идентифицированным разработчиком — в macOS Catalina и более поздних версиях дополнительно требуется подтверждение подлинности от Apple, — система также предупредит о том, что приложение невозможно открыть.
Это предупреждение означает, что подлинность приложения не подтверждена и компания Apple не смогла проверить, является ли данное ПО вредоносным.
Возможно, лучше найти обновленное приложение в App Store или другое приложение.
Если ОС macOS обнаруживает вредоносное приложение
Если macOS обнаружит, что программное обеспечение содержит вредоносный код или что авторизация ПО была отозвана по какой-либо причине, система уведомит вас о том, что данное приложение способно повредить ваш компьютер Mac. В таком случае переместите это приложение в корзину и установите флажок «Сообщить в Apple о вредоносном ПО, чтобы защитить других пользователей».
Если вы хотите открыть приложение без подтверждения подлинности или созданное неизвестным разработчиком
Программное обеспечение без подписи и подтверждения подлинности может оказаться вредоносным. Оно может нанести вред вашему компьютеру Mac или поставить под угрозу вашу конфиденциальную информацию. Если вы уверены, что приложение, которое вы хотите установить, из достоверного источника и не содержит несанкционированных изменений, вы можете временно переопределить настройки безопасности компьютера Mac, чтобы открыть его.
Если вы по-прежнему хотите открыть приложение, разработчика которого не удаётся проверить, перейдите в «Системные настройки».*
Затем войдите в раздел «Защита и безопасность». Нажмите кнопку «Все равно открыть» на панели «Основные», чтобы подтвердить желание открыть или установить приложение.
Снова появится предупреждение. Если вы действительно хотите открыть приложение, нажмите «Открыть».
Приложение будет сохранено как исключение из настроек безопасности, и вы сможете открыть его двойным щелчком, как и любое другое авторизованное приложение.
Защита конфиденциальности
ОС macOS была разработана для обеспечения безопасности пользователей и их данных при сохранении конфиденциальности.
Gatekeeper выполняет онлайн-проверки на наличие в приложении известных вредоносных компонентов и отзыв сертификата подписи разработчика. Мы никогда не объединяли данные этих проверок с информацией о пользователях Apple или их устройствах. Мы не используем данные этих проверок, чтобы узнать, какие приложения пользователи запускают или устанавливают на своих устройствах.
Подтверждение подлинности необходимо для проверки наличия в приложении известных вредоносных компонентов. Проверка проводится с использованием зашифрованного соединения, устойчивого к сбоям сервера.
Эти проверки безопасности никогда не включали идентификатор Apple ID пользователя или идентификацию его устройства. Для более надежной защиты конфиденциальности мы прекратили регистрацию IP-адресов, связанных с проверками сертификатов идентификатора разработчика, и гарантируем, что все собранные IP-адреса будут удалены из журналов.
Кроме того, в следующем году мы внесем некоторые изменения в наши проверки безопасности:
* Если вам предложено открыть приложение в Finder и вы действительно хотите открыть его несмотря на предупреждение, нажав и удерживая клавишу Control, щёлкните приложение, после этого выберите «Открыть» в контекстном меню, а затем нажмите «Открыть» в появившемся диалоговом окне. Чтобы открыть приложение, введите имя администратора и пароль.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.
Настройка пароля и параметров безопасности для Apple ID на Mac
В разделе «Пароль и безопасность» в настройках Apple ID можно изменить настройки безопасности Вашего Apple ID.
На Mac выберите меню Apple
> «Системные настройки», нажмите «Apple ID» 
, затем в боковой панели выберите «Пароль и безопасность».
Если Вы еще не вошли в свой Apple ID, нажмите «Вход» и введите данные своего Apple ID. Следуйте инструкциям на экране.
Просмотрите или измените следующие данные.
Пароль. Нажмите «Изменить пароль», чтобы изменить пароль Apple ID, который используется для защиты информации, связанной с Вашим Apple ID. Эта информация включает платежные данные, сведения о доставке, информацию в iCloud, сведения о покупках и медиафайлах и многое другое. См. раздел Советы по созданию надежных паролей.
Двухфакторная аутентификация. Показывает, включена ли для Вашего Apple ID двухфакторная аутентификация.
Если двухфакторная аутентификация включена и Вам нужен проверочный код для входа в систему на другом устройстве или на iCloud.com, нажмите «Получить проверочный код».
Если двухфакторная аутентификация отключена и Вы хотите ее включить, выберите включение двухфакторной аутентификации.
Вы также можете включить двухфакторную аутентификацию и управлять доверенными устройствами и номерами телефонов, войдя на страницу своей учетной записи Apple ID.
Доверенные номера телефонов. Если двухфакторная аутентификация включена и Вы хотите добавить доверенные номера телефонов, нажмите «Изменить». Нажмите кнопку добавления 
, затем при появлении запроса введите пароль для входа в систему Mac. Введите номер телефона, который может использоваться для подтверждения Вашей личности. Выберите вариант подтверждения (текстовым сообщением или телефонным звонком), затем нажмите «Продолжить». Нажмите «Готово».
При включении двухфакторной аутентификации необходимо подтвердить хотя бы один доверенный номер телефона. Также рекомендуем проверить другие телефонные номера, к которым у Вас есть доступ, например домашний номер или номер члена семьи или близкого друга. На эти доверенные номера телефонов по умолчанию проверочный код отправляться не будет. Если у Вас временно нет доступа к своему устройству, нажмите «Не получили проверочный код?» на новом устройстве, затем выберите другой доверенный номер телефона для отправки проверочного кода.
Получить код проверки. Если двухфакторная аутентификация включена и Вам нужен проверочный код для входа в систему на другом устройстве или на iCloud.com, нажмите «Получить проверочный код».
Восстановление учетной записи. Вы можете выбрать одного или нескольких людей, которым доверяете, чтобы они помогли Вам восстановить доступ к учетной записи, если Вы забудете свои учетные данные. Поверенные не могут получить доступ к Вашим данным, но могут помочь Вам восстановить доступ. Чтобы выбрать поверенного для восстановления доступа, нажмите «Управлять», затем нажмите кнопку добавления . Нажмите «Добавить поверенного», затем следуйте инструкциям на экране. Также можно настроить ключ восстановления для повышения безопасности учетной записи. См. статью Восстановление учетной записи в случае, если сбросить пароль Apple ID не удается.
Приложения, использующие Ваш Apple ID. Этот параметр отображается только в том случае, если для настройки учетной записи в приложении или на сайте использовалась функция «Вход с Apple». Нажмите «Изменить», чтобы увидеть список приложений и веб-сайтов, где для входа в систему Вы использовали функцию «Вход с Apple». Эти параметры включают информацию о Ваших учетных записях и дают возможность отключить различные функции и прекратить использование функции «Вход с Apple». См. раздел Использование функции «Вход с Apple» на Mac.
Информация о том, как изменить данные учетной записи Apple ID на веб-сайте Apple ID, приведена на странице Вашей учетной записи Apple ID.
Об изменении настроек учетной записи Apple ID на устройстве iOS или iPadOS см. в разделе «Настройка параметров Apple ID и iCloud» в руководстве пользователя iPhone, iPad или iPod touch.
Управление политикой безопасности Загрузочного диска на компьютере Mac с чипом Apple
Обзор
В отличие от политик безопасности на компьютере Mac с процессором Intel политики безопасности на компьютере Mac с чипом Apple относятся к конкретной установленной операционной системе. Это означает, что на одном компьютере Mac может быть установлено несколько экземпляров macOS с разными версиями и политиками безопасности. Поэтому в Утилиту безопасной загрузки добавлен список выбора операционной системы.
Выбор хранилища macOS для изменения политики безопасности.
На компьютере Mac с чипом Apple утилита системной безопасности показывает общее состояние настроенной пользователем безопасности macOS, например загрузку расширения ядра или конфигурацию защиты целостности системы (SIP). Если изменение настроек безопасности приводит к значительному снижению уровня защиты или существенно упрощает вмешательство в систему, для внесения такого изменения пользователю необходимо будет войти в среду recoveryOS с помощью длительного нажатия кнопки питания (чтобы вредоносное программное обеспечение не могло передать сигнал; это сможет сделать только человек с физическим доступом). Поэтому компьютер Mac с чипом Apple также не требует (и не поддерживает) пароль прошивки, так как все критически важные изменения уже регулируются авторизацией пользователя. Подробнее о SIP см. в разделе Защита целостности системы.
Высший уровень безопасности или сниженный уровень безопасности можно задать с помощью Утилиты безопасной загрузки в среде recoveryOS. Режим низкого уровня безопасности может быть вызван только из командной строки для пользователей, которые решили существенно снизить уровень защиты своего Mac и принимают сопряженные с этим риски.
Политика «Высший уровень безопасности»
Высший уровень безопасности выбран по умолчанию и работает так же, как и в iOS и iPadOS. При загрузке и подготовке к установке такого программного обеспечения операционная система macOS вместо использования глобальной подписи, прилагаемой к программному обеспечению, обращается к тому же серверу подписания Apple, который используется для iOS и iPadOS, и запрашивает новую «персонализированную» подпись. Подпись называется персонализированной, если запрос на подписание содержит уникальный идентификатор чипа ECID — в данном случае уникальный идентификатор процессора Apple. В этом случае подпись, возвращаемая сервером подписания, является уникальной и может использоваться только этим конкретным процессором Apple. При использовании высшего уровня безопасности загрузочное ПЗУ и низкоуровневый загрузчик помогают убедиться в том, что подпись не просто предоставлена Apple, а предназначена для этого конкретного Mac, то есть что эта версия macOS привязана к этому Mac.
Выбор политики «Высший уровень безопасности» macOS.
Использование интернет-сервера подписания также обеспечивает лучшую защиту от атак методом отката, чем обычные подходы, в которых используются глобальные подписи. В системе на основе глобальных подписей новая эпоха безопасности может наступить несколько раз, но система, на которой никогда не была установлена последняя версия прошивки, этого не знает. Например, компьютер, который считает, что находится в эпохе безопасности 1, принимает программное обеспечение из эпохи безопасности 2, хотя на самом деле уже наступила эпоха безопасности 5. С системой интернет-подписания чипа Apple сервер подписания может отклонять запросы создания подписей от программного обеспечения, которое не соответствует последней эпохе безопасности.
Кроме того, если злоумышленник обнаружит уязвимость после смены эпохи безопасности, он не сможет просто взять уязвимое программное обеспечение из системы A, принадлежащей предыдущей эпохе, и с его помощью атаковать систему B. Тот факт, что уязвимое программное обеспечение из более ранней эпохи было персонализировано для системы A, помогает предупредить его передачу и, следовательно, его использование для атаки системы B. Совместное применение всех этих механизмов дает более твердую гарантию того, что злоумышленники не смогут преднамеренно поместить уязвимое программное обеспечение на компьютер, чтобы обойти средства защиты, предоставляемые новейшим программным обеспечением. Однако обладатель имени и пароля администратора Mac всегда может выбрать политику безопасности, которая наилучшим образом подходит для его ситуации.
Политика «Сниженный уровень безопасности»
Сниженный уровень безопасности аналогичен среднему уровню безопасности на компьютере Mac с процессором Intel и чипом T2, при этом поставщик (в данном случае Apple) генерирует цифровую подпись для кода, чтобы подтвердить, что этот код получен от поставщика. Эта мера помогает предотвратить добавление неподписанного кода злоумышленниками. Apple называет эту подпись «глобальной», поскольку ее можно использовать на любом компьютере Mac в течение любого периода времени, если в данный момент на компьютере Mac установлена политика «Сниженный уровень безопасности». Сниженный уровень безопасности сам по себе не обеспечивает защиту от атак методом отката, однако несанкционированное изменение операционной системы может привести к тому, что пользовательские данные станут недоступными. Подробнее см. в разделе Расширения ядра на компьютере Mac с чипом Apple.
Выбор политики «Сниженный уровень безопасности» macOS.
Помимо возможности запуска более ранних версий macOS, сниженный уровень безопасности требуется для выполнения других действий, таких как установка сторонних расширений ядра, в результате чего система пользователя подвергается риску. Расширения ядра имеют те же разрешения, что и само ядро, поэтому любые уязвимости в них могут привести к возникновению прямой угрозы для всей операционной системы. Именно поэтому разработчикам настоятельно рекомендуется переходить на расширения системы, прежде чем поддержка расширений ядра будет удалена из macOS для будущих компьютеров Mac с чипом Apple. Даже если возможность добавления сторонних расширений ядра включена, отдельные расширения невозможно загружать в ядро по запросу. Вместо этого расширения ядра объединяются во вспомогательную коллекцию ядра (AuxKC), хэш которой хранится в политике LocalPolicy, и поэтому затем требуется перезагрузка. Подробнее о создании AuxKC см. в разделе Расширения ядра в macOS.
Политика «Низкий уровень безопасности»
Низкий уровень безопасности предназначен для тех, кто принимает риск значительного снижения уровня защиты своего Mac. Данный режим отличается от политики «Функции безопасности отключены» на компьютере Mac с процессором Intel и чипом T2. В режиме низкого уровня безопасности по-прежнему выполняется проверка подписи и выполняется вся безопасная последовательность загрузки, однако переход в режим низкого режима безопасности сигнализирует загрузчику iBoot о том, что ему следует принять объекты загрузки с локальной подписью Secure Enclave, такие как сгенерированная пользователем загрузочная коллекция ядра, созданная на основе настраиваемого ядра XNU. Таким образом в режиме низкой безопасности на уровне архитектуры обеспечивается возможность запуска произвольного ядра «полностью ненадежной операционной системы». После загрузки настраиваемой загрузочной коллекции ядра или ненадежной операционной системы некоторые ключи дешифрования становятся недоступными. Эта мера направлена на то, чтобы исключить возможность доступа ненадежной операционной системы к данным надежных операционных систем.
Важно! Apple не предоставляет настраиваемые ядра XNU и не обеспечивает поддержку их использования.
Политика «Низкий уровень безопасности» также отличается от политики «Функции безопасности отключены» на компьютере Mac с процессором Intel и чипом T2 тем, что она необходима для ослабления ряда функций безопасности, которые в прошлом управлялись независимо. Особенно важно, что для отключения защиты целостности системы (SIP) на компьютере Mac с чипом Apple пользователь должен подтвердить, что намеренно задает для системы политику «Низкий уровень безопасности». Это необходимо, поскольку отключение SIP всегда облегчает взлом ядра системы. В частности, отключение SIP на компьютере Mac с чипом Apple приводит к отключению применения подписи расширения ядра во время создания AuxKC, в результате чего в память ядра можно загрузить произвольное расширение ядра. На компьютере Mac с чипом Apple защита SIP была усилена путем перемещения хранилища политик из энергонезависимой памяти в политику LocalPolicy. Теперь для отключения SIP требуется аутентификация, выполненная пользователем, у которого есть доступ к ключу подписания политики LocalPolicy, из среды recoveryOS, перейти в которую можно путем длительного нажатия кнопки питания. Это значительно усложняет отключение SIP для злоумышленников, использующих только программное обеспечение, а также и при наличии физического доступа к компьютеру.
Невозможно выбрать режим низкого уровня безопасности из Утилиты безопасной загрузки. Для снижения уровня безопасности пользователи должны использовать инструменты командной строки из Терминала в recoveryOS, например csrutil (для отключения SIP). Когда пользователь снижает уровень безопасности, этот факт отражается в Утилите безопасной загрузки, так что пользователь может легко установить более защищенный режим.
Примечание. Компьютер Mac с чипом Apple не требует и не поддерживает определенные политики загрузки с носителя, поскольку с технической точки зрения все загрузки выполняются локально. Если пользователь хочет выполнить загрузку с внешнего носителя, необходимо сначала персонализировать версию операционной системы, используя аутентифицированную перезагрузку из recoveryOS. При перезагрузке на внутреннем диске создается файл LocalPolicy, который используется для выполнения надежной загрузки из операционной системы, хранящейся на внешнем носителе. Это означает, что конфигурация загрузки с внешнего носителя всегда явным образом включается для конкретной операционной системы и уже требует авторизации пользователя, поэтому дополнительная безопасная конфигурация не нужна.
