Beskyttelse af systemets integritet
macOS bruger kernetilladelser og en funktion, der beskytter systemets integritet (SIP – System Integrity Protection), til at begrænse skrivning i kritiske systemarkiver. SIP er en særskilt funktion, der supplerer den hardwarebaserede beskyttelse af kernens integritet (KIP – Kernel Integrity Protection), der findes på en Mac med Apple Silicon og beskytter mod ændring af kernen i hukommelsen. Obligatorisk adgangskontrolteknologi udnyttes til at levere denne og et antal andre beskyttelsesforanstaltninger på kerneniveau, herunder brug af et isoleret miljø (“sandbox”) og Data Vault.
Obligatorisk adgangskontrol
macOS bruger obligatorisk adgangskontrol – politikker, der indstiller sikkerhedsbegrænsninger, som udvikleren har oprettet, og som ikke kan tilsidesættes. Fremgangsmåden afviger fra valgfri adgangskontrol, der giver brugerne mulighed for at tilsidesætte sikkerhedspolitikker efter eget valg.
Obligatorisk adgangskontrol er ikke synlig for brugerne, men det er den underliggende teknologi, der er med til at slå flere vigtige funktioner til, herunder brug af et isoleret miljø (“sandbox”), børnesikring, administrerede indstillinger, udvidelser og beskyttelse af systemets integritet.
Beskyttelse af systemets integritet
Beskyttelse af systemets integritet indstiller komponenter på bestemte, vigtige placeringer i arkivsystemet som skrivebeskyttede for at være med til at forhindre, at de ændres af skadelig kode. Beskyttelse af systemets integritet er en computerspecifik indstilling, der slås til som standard, når en bruger opgraderer til OS X 10.11 eller en nyere version. Hvis den slås fra på en Intel-baseret Mac, fjernes beskyttelsen af alle partitioner på den fysiske lagerenhed. macOS anvender denne sikkerhedspolitik på alle processer, som afvikles på systemet, uanset om de afvikles i et isoleret miljø (“sandbox”) eller med administratorrettigheder.