macOS Overview
macOS היא מערכת הפעלה Unix שפותחה על ידי אפל עבור מחשבי ה-Mac שלהם. כדי לשפר את הפרטיות ב-macOS, אתה יכול להשבית את תכונות הטלמטריה ולהקשיח את הגדרות הפרטיות והאבטחה הקיימות.
מחשבי Mac ו-Hackintosh ישנים יותר מבוססי אינטל אינם תומכים בכל תכונות האבטחה ש-macOS מציעה. To enhance data security, we recommend using a newer Mac with Apple silicon.
הערות פרטיות¶
יש כמה חששות בולטים של פרטיות עם macOS שכדאי לשקול. אלה נוגעים למערכת ההפעלה עצמה, ולא לאפליקציות ולשירותים האחרים של אפל.
נעילת הפעלה¶
ניתן להגדיר מכשירי סיליקון חדשים של Apple ללא חיבור לאינטרנט. עם זאת, שחזור או איפוס ה-Mac שלך ידרשחיבור לאינטרנט לשרתים של אפל כדי לבדוק מול מסד הנתונים של נעילת ההפעלה של מכשירים שאבדו או נגנבו.
בדיקות ביטול אפליקציה¶
macOS מבצעת בדיקות מקוונות כאשר אתה פותח אפליקציה כדי לוודא אם אפליקציה מכילה תוכנה זדונית ידועה, והאם אישור החתימה של המפתח נשלל.
בעבר, בדיקות אלו בוצעו באמצעות פרוטוקול OCSP לא מוצפן שיכול היה להדליף מידע על האפליקציות שהרצת לרשת שלך. אפל שדרגה את שירות ה-OCSP שלה לשימוש בהצפנת HTTPS בשנת 2021, ופרסמה מידע על מדיניות הרישום שלהם עבור שירות זה. בנוסף, הם הבטיחו להוסיף מנגנון שיאפשר לאנשים לבטל את הסכמתם לבדיקה המקוונת הזו, אך זה לא התווסף ל-macOS נכון ליולי 2023.
While you can manually opt out of this check relatively easily, we recommend against doing so unless you would be badly compromised by the revocation checks performed by macOS, because they serve an important role in ensuring compromised apps are blocked from running.
תצורה מומלצת¶
החשבון שלך כשתגדיר לראשונה את ה-Mac שלך יהיה חשבון Administrator, בעל הרשאות גבוהות יותר מאשר חשבון משתמש רגיל. ל-macOS יש מספר הגנות שמונעות מתוכנות זדוניות ותוכניות אחרות לנצל לרעה את הרשאות המנהל שלך, כך שבדרך כלל בטוח להשתמש בחשבון זה.
However, exploits in protective utilities like sudo
have been discovered in the past. אם ברצונך להימנע מהאפשרות שתוכניות שאתה מפעיל מנצלות לרעה את הרשאות המנהל שלך, תוכל לשקול ליצור חשבון משתמש שני סטנדרטי שבו אתה משתמש לפעולות יומיומיות. יש לזה יתרון נוסף בכך שהוא הופך את זה לברור יותר כאשר אפליקציה צריכה גישת מנהל, מכיוון שהיא תבקש ממך אישורים בכל פעם.
אם אתה משתמש בחשבון שני, אין צורך בהחלט להיכנס לחשבון המנהל המקורי שלך ממסך הכניסה של macOS. כאשר אתה עושה משהו כמשתמש רגיל הדורש הרשאות מנהל מערכת, המערכת אמורה לבקש ממך אימות, שם תוכל להזין את אישורי המנהל שלך כמשתמש הרגיל שלך באופן חד פעמי. אפל מספקת הנחיות להסתרת חשבון המנהל שלך אם אתה מעדיף לראות רק חשבון בודד במסך ההתחברות שלך.
לחלופין, אתה יכול להשתמש בכלי שירות כמו macOS Enterprise Privileges כדי להסלים לזכויות מנהל על פי דרישה, אבל זה עשוי להיות פגיע לניצול שלא התגלה, כמו כל הגנות מבוססות תוכנה.
iCloud¶
רוב דאגות הפרטיות והאבטחה של מוצרי אפל קשורות לשירותי הענן שלהם, לא לחומרה או לתוכנה שלהם. כאשר אתה משתמש בשירותי אפל כמו iCloud, רוב המידע שלך מאוחסן בשרתים שלהם ומאובטח באמצעות מפתחות שאלם יש לאפל גישה כברירת מחדל. רמת הגישה הזו נוצלה מדי פעם על ידי רשויות אכיפת החוק כדי לעקוף את העובדה שהנתונים שלך מוצפנים בצורה מאובטחת במכשיר שלך, וכמובן שאפל חשופה לפרצות מידע כמו כל חברה אחרת.
לכן, אם אתה משתמש ב-iCloud, עליך להפעיל את הגנת נתונים מתקדמת. זה מצפין כמעט את כל נתוני ה-iCloud שלך עם מפתחות המאוחסנים במכשירים שלך (הצפנה מקצה לקצה), ולא בשרתים של אפל, כך שנתוני ה-iCloud שלך מאובטחים במקרה של הפרת נתונים, ומוסתרים אחרת מאפל.
הגדרות מערכת¶
ישנן מספר הגדרות מובנות שאתה צריך לאשר או לשנות כדי להקשיח את המערכת שלך. פתח את אפליקציית הגדרות:
Bluetooth¶
- בטל את הסימון של Bluetooth (אלא אם כן אתה משתמש בו כעת)
רשת¶
תלוי אם אתה משתמש בWi-Fi או בEthernet (מסומן בנקודה ירוקה ובמילה "מחוברים"), לחץ על הסמל המתאים.
לחץ על כפתור "פרטים" לפי שם הרשת שלך:
- סמן את הגבלת מעקב אחר כתובות IP
חומת-אש¶
חומת האש שלך חוסמת חיבורי רשת לא רצויים. ככל שהגדרות חומת האש שלך מחמירות יותר, כך ה-Mac שלך מאובטח יותר. עם זאת, שירותים מסוימים ייחסמו. עליך להגדיר את חומת האש שלך כך שתהיה קפדנית ככל האפשר מבלי לחסום שירותים שבהם אתה משתמש.
- בדוק את חומת האש
לחץ על הלחצן אפשרויות:
- סמן את חסום את כל החיבורים הנכנסים
אם תצורה זו קפדנית מדי, אתה יכול לחזור ולבטל את הסימון. עם זאת, macOS בדרך כלל ינחה אותך לאפשר חיבורים נכנסים עבור אפליקציה אם האפליקציה מבקשת זאת.
כללי¶
כברירת מחדל, שם המכשיר שלך יהיה משהו כמו "ה-iMac של [השם שלך]". מכיוון שהשם הזה משודר בפומבי ברשת שלך, תרצה לשנות את שם המכשיר שלך למשהו כללי כמו "Mac".
לחץ על אודות והקלד את שם המכשיר הרצוי בשדה שם.
עדכוני תוכנה¶
עליך להתקין באופן אוטומטי את כל העדכונים הזמינים כדי לוודא שה-Mac שלך מכיל את תיקוני האבטחה האחרונים.
לחץ על הסמל הקטן ליד עדכונים אוטומטיים:
-
בדוק את חפש עדכונים
-
בדוק את הורד עדכונים חדשים כאשר הם זמינים
-
סמן את התקן עדכוני macOS
-
סמן את התקן עדכוני יישומים מ-App Store
-
סמן את התקן תגובות אבטחה וקובצי מערכת
פרטיות& אבטחה¶
בכל פעם שאפליקציה מבקשת הרשאה, היא תופיע כאן. אתה יכול להחליט אילו יישומים ברצונך לאפשר או לדחות הרשאות ספציפיות.
שירותי מיקום¶
אתה יכול לאפשר בנפרד שירותי מיקום לכל אפליקציה. אם אינך זקוק לאפליקציות כדי להשתמש במיקום שלך, כיבוי שירותי מיקום לחלוטין היא האפשרות הפרטית ביותר.
- בטל את הסימון של שירותי מיקום
ניתוח & שיפורים¶
החלט אם ברצונך לשתף נתוני ניתוח עם אפל ומפתחים.
-
בטל את הסימון של שתף Mac Analytics
-
בטל את הסימון של שפר את Siri & הכתבה
-
בטל את הסימון של שתף עם מפתחי אפליקציות
-
בטל את הסימון של שתף iCloud Analytics (גלוי אם אתה מחובר ל-iCloud)
פרסום של אפל¶
החלט אם אתה רוצה מודעות מותאמות אישית על סמך השימוש שלך.
- בטל את הסימון של מודעות מותאמות אישית
FileVault¶
במכשירים מודרניים עם מובלעת מאובטחת (Apple T2 Security Chip, Apple Silicon), הנתונים שלך תמיד מוצפנים, אך מפוענחים אוטומטית על ידי מפתח חומרה אם המכשיר שלך לא מזהה שטופלו בהם. הפעלת FileVault מחייבת בנוסף את הסיסמה שלך כדי לפענח את הנתונים שלך, מה שמשפר מאוד את האבטחה, במיוחד כאשר הוא כיבוי או לפני הכניסה הראשונה לאחר ההפעלה.
במחשבי Mac ישנים יותר מבוססי אינטל, FileVault היא הצורה היחידה של הצפנת דיסקים הזמינה כברירת מחדל, וצריכה להיות מופעלת תמיד.
- לחץ על הפעל
מצב נעילה¶
מצב נעילה משבית תכונות מסוימות כדי לשפר בִּטָחוֹן. Some apps or features won't work the same way they do when it's off, for example, JIT and WASM are disabled in Safari with Lockdown Mode enabled. אנו ממליצים להפעיל את מצב הנעילה ולראות אם זה משפיע באופן משמעותי על השימוש שלך, הרבה מהשינויים שהוא עושה קלים לחיות איתם.
- לחץ על הפעל
כתובת MAC אקראית¶
macOS משתמש בכתובת MAC אקראית בעת ביצוע סריקות Wi-Fi בזמן ניתוק מרשת. עם זאת, כאשר אתה מתחבר לרשת Wi-Fi מועדפת, כתובת ה-MAC המשמשת לעולם אינה אקראית. אקראיות מלאה של כתובות MAC היא נושא מתקדם, ורוב האנשים לא צריכים לדאוג לגבי ביצוע השלבים הבאים.
בניגוד ל-iOS, macOS לא נותן לך אפשרות לעשות אקראי את כתובת ה-MAC שלך בהגדרות, כך שאם תרצה לשנות מזהה זה, תצטרך לעשות זאת עם פקודה או סקריפט. כדי להגדיר כתובת MAC אקראית, ראשית התנתק מהרשת אם אתה כבר מחובר, ואז פתח את Terminal והזן פקודה זו כדי להפוך את כתובת ה-MAC שלך באקראי:
openssl rand -hex 6 | sed 's/^\(.\{1\}\)./\12/; s/\(..\)/\1:/g; s/.$//' | xargs sudo ifconfig en0 ether
en0
הוא שם הממשק שעבורו אתה משנה את כתובת ה-MAC. ייתכן שזה לא המתאים בכל Mac, אז כדי לבדוק אתה יכול להחזיק את מקש האפשרות וללחוץ על סמל ה- Wi-Fi בפינה השמאלית העליונה של המסך. "שם ממשק" אמור להיות מוצג בחלק העליון של התפריט הנפתח.
פקודה זו מגדירה את כתובת ה-MAC שלך לכתובת אקראית, "מנוהלת מקומית", התואמת את ההתנהגות של תכונות האקראיות של כתובות MAC של iOS, Windows ו-Android. משמעות הדבר היא שכל תו בכתובת ה-MAC הוא אקראי לחלוטין מלבד התו השני, המציין את כתובת ה-MAC כמנוהלת מקומית ואינה מתנגשת עם חומרה ממשית כלשהי. שיטה זו מתאימה ביותר לרשתות מודרניות. שיטה חלופית היא להגדיר את ששת התווים הראשונים של כתובת ה-MAC לאחד ממזהים ייחודיים ארגוניים הקיימים של אפל, אותם נשאיר כתרגיל לקורא. סביר יותר ששיטה זו תתנגש עם רשתות מסוימות, אך עשויה להיות פחות בולטת. בהתחשב בשכיחותן של כתובות MAC אקראיות המנוהלות מקומית במערכות הפעלה מודרניות אחרות, איננו חושבים שלכל אחת מהשיטות יש יתרונות פרטיות משמעותיים על פני האחרת.
כאשר תתחבר שוב לרשת, תתחבר עם כתובת MAC אקראית. זה יאופס עם אתחול מחדש.
כתובת ה-MAC שלך היא לא המידע הייחודי היחיד על המכשיר שלך המשודר ברשת, שם המארח שלך הוא עוד פיסת מידע שיכולה לזהות אותך באופן ייחודי. ייתכן שתרצה להגדיר את שם המארח שלך למשהו כללי כמו "MacBook Air", "Laptop", "John's MacBook Pro" או "iPhone" בהגדרות מערכת > כללי > שיתוף. כמה סקריפטים של פרטיות מאפשרים לך ליצור בקלות שמות מארח עם שמות אקראיים.
הגנות אבטחה¶
macOS משתמשת בהגנה לעומק על ידי הסתמכות על שכבות מרובות של הגנות מבוססות תוכנה וחומרה, עם מאפיינים שונים. זה מבטיח שכשל בשכבה אחת לא פוגע באבטחה הכוללת של המערכת.
אבטחת תוכנה¶
Warning
macOS מאפשר לך להתקין עדכוני בטא. אלה אינם יציבים ועשויים להגיע עם טלמטריה נוספת מכיוון שהם מיועדים למטרות בדיקה. בשל כך, אנו ממליצים להימנע מתוכנות בטא באופן כללי.
נפח מערכת חתומה¶
רכיבי המערכת של macOS מוגנים בנפח מערכת חתומה לקריאה בלבד, כלומר, לא אתה ולא תוכנות זדוניות יכולים לשנות קבצי מערכת חשובים.
הנפח של המערכת מאומתת בזמן שהיא פועלת וכל נתון שלא חתום בחתימה קריפטוגרפית תקפה מאפל יידחה.
הגנת שלמות המערכת¶
macOS מגדיר מגבלות אבטחה מסוימות שלא ניתן לעקוף. אלה נקראים בקרות גישה חובה, והם מהווים את הבסיס לארגז החול, בקרת הורים והגנה על שלמות המערכת ב-macOS.
הגנת שלמות המערכת הופכת מיקומי קבצים קריטיים לקריאה בלבד כדי להגן מפני שינויים מקוד זדוני. זה נוסף על הגנת Kernel Integrity מבוססת החומרה שמונעת מהליבה להשתנות בזיכרון.
אבטחת יישומים¶
ארגז חול לאפליקציה¶
macOS apps submitted to the App Store after June 1, 2012 are required to be sandboxed using the App Sandbox.
Warning
תוכנה שהורדה מחוץ לחנות האפליקציות הרשמית אינה חייבת להיות בארגז חול. עליך להימנע ככל האפשר מתוכנות שאינן ב-App Store.
אנטי וירוס¶
macOS מגיע עם שתי צורות של הגנה מפני תוכנות זדוניות:
- הגנה מפני הפעלת תוכנות זדוניות מלכתחילה מסופקת על ידי תהליך הבדיקה של App Store עבור יישומי App Store, או אישור נוטריוני (חלק מ Gatekeeper), תהליך שבו יישומי צד שלישי נסרקים לאיתור תוכנות זדוניות ידועות על ידי אפל לפני שהם מורשים לפעול.
- הגנה מפני תוכנות זדוניות אחרות ותיקון מתוכנות זדוניות קיימות במערכת שלך מסופקת על ידי XProtect, תוכנת אנטי-וירוס מסורתית יותר המובנית ב-macOS.
אנו ממליצים לא להתקין תוכנת אנטי-וירוס של צד שלישי מכיוון שבדרך כלל אין להם את הגישה ברמת המערכת הנדרשת לתפקוד תקין בכל מקרה, בגלל המגבלות של אפל על אפליקציות של צד שלישי, ומכיוון שהענקת רמות הגישה הגבוהות שהם מבקשים מייצגת לעתים קרובות סיכון אבטחה ופרטיות גדול עוד יותר למחשב שלך.
גיבויים¶
macOS מגיע עם תוכנת גיבוי אוטומטית בשם Time Machine, כך שתוכל ליצור גיבויים מוצפנים לכונן חיצוני או רשת במקרה של פגום/ קבצים שנמחקו.
אבטחת חומרה¶
תכונות אבטחה מודרניות רבות ב-macOS - כמו אתחול מאובטח מודרני, הפחתת ניצול ברמת החומרה, בדיקות שלמות מערכת ההפעלה והצפנה מבוססת קבצים - מסתמכות על סיליקון של Apple, ולחומרה החדשה יותר של אפל יש תמיד את האבטחה הטובה ביותר. אנו מעודדים רק שימוש בסיליקון של Apple, ולא במחשבי Mac או Hackintosh ישנים יותר מבוססי אינטל.
חלק מתכונות האבטחה המודרניות הללו זמינות במחשבי Mac ישנים יותר מבוססי אינטל עם שבב האבטחה של Apple T2, אך השבב הזה רגיש לניצול checkm8 שעלול לסכן את האבטחה שלו.
אם אתה משתמש באביזרי בלוטות' כגון מקלדת, אנו ממליצים להשתמש באפל הרשמיים מכיוון שהקושחה שלהם תתעדכן עבורך באופן אוטומטי על ידי macOS. שימוש באביזרים של צד שלישי זה בסדר, אך עליך לזכור להתקין עבורם עדכוני קושחה באופן קבוע.
ה-SoCs של אפל מתמקדים במזעור משטח ההתקפה על ידי העברת פונקציות האבטחה לחומרה ייעודית עם פונקציונליות מוגבלת.
אתחול ROM¶
macOS מונע התמדה של תוכנות זדוניות בכך שהוא מאפשר רק לתוכנת אפל רשמית לפעול בזמן האתחול; זה ידוע בתור אתחול מאובטח. מחשבי Mac מאמתים זאת עם מעט זיכרון לקריאה בלבד ב-SoC הנקרא אתחול ROM, אשר מונח במהלך ייצור השבב.
ROM האתחול הוא שורש האמון של החומרה. זה מבטיח שתוכנה זדונית לא יכולה לחבל בתהליך האתחול. כאשר ה-Mac שלך מאתחל, ROM האתחול הוא הדבר הראשון שפועל, ויוצר את החוליה הראשונה בשרשרת האמון.
ניתן להגדיר מחשבי Mac לאתחל בשלושה מצבי אבטחה: אבטחה מלאה, אבטחה מופחתת ו-אבטחה מתירה, כאשר הגדרת ברירת המחדל היא אבטחה מלאה. באופן אידיאלי אתה צריך להשתמש במצב אבטחה מלאה ולהימנע מדברים כמו הרחבות ליבה המאלצות אותך להוריד את מצב האבטחה שלך. הקפד לבדוק שאתה אתה משתמש במצב אבטחה מלאה.
Secure Enclave¶
ה-Secure Enclave הוא שבב אבטחה מובנה במכשירים עם סיליקון של אפל אשר אחראי על אחסון ויצירת מפתחות הצפנה עבור נתונים במנוחה וכן נתוני Face ID ו-Touch ID. הוא מכיל ROM אתחול נפרד משלו.
אתה יכול לחשוב על ה-Secure Enclave כמרכז האבטחה של המכשיר שלך: יש לו מנוע הצפנה AES ומנגנון לאחסון מאובטח של מפתחות ההצפנה שלך, והוא מופרד משאר המערכת, כך שגם אם המעבד הראשי נפגע, הוא צריך עדיין להיות בטוח.
טביעת אצבע Touch ID¶
תכונת Touch ID של אפל מאפשרת לך לפתוח את המכשירים שלך בצורה מאובטחת באמצעות ביומטריה.
הנתונים הביומטריים שלך לעולם לא יוצאים מהמכשיר שלך; זה מאוחסן רק בSecure Enclave.
ניתוק מיקרופון של החומרה¶
כל המחשבים הניידים עם סיליקון אפל או שבב T2 כוללים ניתוק חומרה עבור המיקרופון המובנה בכל פעם שהמכסה סגור. זה אומר שאין שום דרך לתוקף להאזין למיקרופון של ה-Mac שלך גם אם מערכת ההפעלה נפגעת.
שימו לב שלמצלמה אין ניתוק חומרה, מכיוון שהנוף שלה מעורפל כאשר המכסה סגור בכל מקרה.
אבטחת מעבד היקפי¶
למחשבים יש מעבדים מובנים מלבד המעבד הראשי שמטפלים בדברים כמו רשת, גרפיקה, ניהול צריכת חשמל וכו'. למעבדים אלו יכולה להיות אבטחה לא מספקת ולהיפגע, לכן אפל מנסה למזער את הצורך במעבדים אלו בחומרה שלהם.
כאשר יש צורך להשתמש באחד מהמעבדים הללו, אפל עובדת עם הספק כדי לוודא שהמעבד
- מריץ קושחה מאומתת מהמעבד הראשי בעת האתחול
- יש לו שרשרת אתחול מאובטח משלו
- עומד בסטנדרטים קריפטוגרפיים מינימליים
- מבטיח כי קושחה פגומה ידועה מבוטלת כהלכה
- ממשקי ניפוי הבאגים שלו מושבתים
- חתום במפתחות ההצפנה של אפל
הגנות גישה ישירה לזיכרון¶
סיליקון אפל מפריד בין כל רכיב שדורש גישה ישירה לזיכרון. לדוגמה, יציאת Thunderbolt לא יכולה לגשת לזיכרון המיועד לליבה.
מקורות¶
You're viewing the English copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out! Visit Crowdin
You're viewing the English copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out!