Controllo dell'accesso delle app ai file in macOS
Apple crede che gli utenti debbano avere trasparenza, consapevolezza e controllo totali su ciò che fanno le app con i loro dati. In macOS 10.15, il sistema applica questo modello per aiutare garantire che tutte le app ottengano il consenso dell'utente prima di accedere ai file presenti in Documenti, Download, Scrivania, iCloud Drive e su volumi di rete. In macOS 10.13 o versione successiva, le app che richiedono l'accesso all'intero dispositivo di archiviazione devono essere aggiunte espressamente in Preferenze di Sistema. Inoltre, le funzionalità di accessibilità e automazione richiedono il permesso dell'utente, per aiutare a garantire che non possano eludere altre protezioni. In base alla politica di accesso, agli utenti potrebbe essere richiesto facoltativamente o obbligatoriamente di modificare l'impostazione in Preferenze di Sistema > Sicurezza e Privacy > Privacy:
Elemento | Richiesta dell'app all'utente | L'utente deve modificare le impostazioni di privacy di sistema |
---|---|---|
Accessibilità | ||
Accesso a tutto il dispositivo di archiviazione interna | ||
File e cartelle Nota: include Scrivania, Documenti, Download, volumi di rete e volumi rimovibili | ||
Automazione (eventi Apple) |
Gli elementi presenti nel Cestino dell'utente sono protetti da tutte le app che usano l'accesso totale al disco; all'utente non verrà chiesto se desidera che un'app abbia accesso. Se l'utente vuole che le app abbiano accesso ai file, deve spostarli dal Cestino a un'altra posizione.
All'utente che attiva FileVault su un Mac viene chiesto di fornire delle credenziali valide prima di continuare il processo di avvio e ottenere l'accesso a modalità di avvio specifiche. Senza credenziali di login valide o una chiave di recupero, l'intero volume resta codificato ed è protetto da accessi non autorizzati anche quando il supporto fisico di archiviazione viene rimosso e collegato a un altro computer.
Per proteggere i dati in ambiente aziendale, gli addetti all'IT dovrebbero definire e applicare delle policy di configurazione di FileVault tramite la gestione dei dispositivi mobili (MDM). Le organizzazioni dispongono di svariate opzioni per la gestione dei volumi codificati, tra cui le chiavi di recupero istituzionali, le chiavi di recupero personali (che possono facoltativamente essere archiviate con la MDM) o un insieme di entrambe. Anche la rotazione delle chiavi può essere impostata come policy nella MDM.