Protección de la integridad del sistema
macOS utiliza permisos del kernel para limitar la capacidad de escritura de los archivos críticos del sistema con una función llamada protección de la integridad del sistema (SIP). Esta función es independiente y adicional a la protección de la integridad del kernel (KIP) basada en hardware que está disponible en computadoras Mac basadas en Apple Chip, la cual protege la modificación del kernel en la memoria. Para ofrecer esto, se aprovecha la tecnología de control obligatorio de acceso junto con otras protecciones a nivel de kernel, incluido el aislamiento en zona protegida y la bóveda de datos.
Controles obligatorios de acceso
macOS usa controles obligatorios de acceso, es decir, políticas que establecen restricciones de seguridad creadas por el desarrollador, y que no se pueden omitir. Este método es distinto a los controles de acceso discrecionales, que permiten a los usuarios omitir las políticas de seguridad de acuerdo con sus preferencias.
Los controles obligatorios de acceso no son visibles para los usuarios, pero son la tecnología subyacente que ayuda a activar varias funcionalidades importantes, como la zona protegida, los controles parentales, las preferencias administradas, las extensiones y la protección de la integridad del sistema.
Protección de la integridad del sistema
La protección de la integridad del sistema restringe a sólo lectura los componentes que se encuentran en ubicaciones críticas del sistema de archivos para ayudar a impedir que algún código malicioso los modifique. Además, esta protección es una configuración específica de la computadora que se activa de forma predeterminada cuando un usuario actualiza a OS X 10.11 o versiones posteriores. En una computadora Mac basada en Intel, si se desactiva, se elimina la protección para todas las particiones del dispositivo de almacenamiento físico. macOS aplica esta política de seguridad para todos los procesos que se ejecutan en el sistema, independientemente de si se están ejecutando en la zona protegida o con privilegios de administrador.