Systemintegritätsschutz
macOS verwendet Kernel-Erweiterungen, um das Schreiben kritischer Systemdateien mit einer Funktion namens Systemintegritätsschutz (System Integrity Protection, SIP) einzuschränken. Diese Funktion ist eine separate Erweiterung, die zusätzlich zum hardwarebasierten Kernel-Integritätsschutz (Kernel Integrity Protection, KIP) auf Mac-Computern mit Apple Chips verfügbar ist. Sie schützt den Kernel im Speicher vor Modifikationen. Zwingende Zugriffssteuerungstechnologien werden genutzt, um diese und andere Schutzmechanismen auf Kernel-Ebene bereitzustellen, darunter auch Sandboxing und Data Vault.
Zwingende Zugriffssteuerungen
macOS nutzt zwingende Zugriffssteuerungen, die vom Entwickler definierte Sicherheitseinschränkungen durchsetzen und nicht überschrieben werden können. Dieser Ansatz unterscheidet sich von der benutzerbestimmbaren Zugriffssteuerung, die Benutzern das Überschreiben von Sicherheitsrichtlinien nach ihrem Ermessen erlaubt.
Zwingende Zugriffssteuerungen sind für Benutzer nicht sichtbar, sind jedoch die Basistechnologie, die die Aktivierung wichtiger Funktionen wie Sandboxing, Kindersicherung, verwaltete Einstellungen, Erweiterungen und Systemintegritätsschutz ermöglicht.
Systemintegritätsschutz
Der Systemintegritätsschutz (System Integrity Protection, SIP) bietet Schutz auf Systemebene, der den Zugriff von Komponenten in bestimmten kritischen Bereichen des Dateisystems auf das reine Lesen beschränkt und so verhindert, dass sie durch schädlichen Code ausgeführt oder geändert werden. Beim Systemintegritätsschutz handelt es sich um eine computerspezifische Einstellung, die standardmäßig aktiviert wird, wenn ein Benutzer auf OS X 10.11 (oder neuer) aktualisiert. Wenn diese Einstellung auf Intel-basierten Mac-Computern deaktiviert wird, wird der Schutz für alle Partitionen auf dem physischen Speichergerät aufgehoben. macOS wendet diese Sicherheitsrichtlinie auf jeden Prozess an, der auf dem System läuft, unabhängig davon, ob der Prozess in einer Sandbox oder mit administrativen Rechten ausgeführt wird.