Toegang tot macOS
Gebruikersbevoegdheden
Een belangrijk aspect van de beveiliging van de Mac is het verlenen of weigeren van toegangsbevoegdheden (ook wel 'toegangsrechten' genoemd). Een bevoegdheid is de mogelijkheid om een bepaalde bewerking uit te voeren, zoals het verkrijgen van toegang tot gegevens of het uitvoeren van code. Bevoegdheden worden verleend op het niveau van mappen, submappen, bestanden en apps, maar ook voor specifieke gegevens in bestanden, mogelijkheden van apps en beheerfuncties. Aan de hand van digitale handtekeningen worden de toegangsrechten van apps en systeemonderdelen bepaald. In macOS worden bevoegdheden op allerlei niveaus bepaald, inclusief de Mach- en BSD-componenten van de kernel. macOS maakt gebruik van netwerkprotocollen om bevoegdheden voor netwerkprogramma's te regelen.
Verplichte toegangscontrole
macOS gebruikt ook verplichte toegangscontrole in de vorm van beleid waarmee beveiligingsbeperkingen worden ingesteld. Het beleid wordt geconfigureerd door de ontwikkelaar en is altijd actief. Deze aanpak verschilt van die van optionele toegangscontroles, waarbij gebruikers beleidsregels eventueel kunnen negeren.
Verplichte toegangscontroles zijn niet zichtbaar voor gebruikers, maar vormen de onderliggende technologie die verschillende belangrijke functies mogelijk maakt, zoals sandboxing, ouderlijk toezicht, beheerde voorkeuren, extensies en System Integrity Protection.
System Integrity Protection
OS X 10.11 en hoger bevat System Integrity Protection. Dit is beveiliging op systeemniveau die onderdelen op bepaalde belangrijke systeemlocaties alleen-lezen maakt en voorkomt dat deze onderdelen worden gewijzigd door schadelijke code. System Integrity Protection is een computerspecifieke instelling die standaard is ingeschakeld bij een upgrade naar OS X 10.11 of hoger. Als je deze uitschakelt, is geen enkele partitie op het fysieke opslagapparaat nog beveiligd. macOS past dit beveiligingsbeleid toe op elk proces dat op het systeem wordt uitgevoerd, ongeacht of dit proces in een sandbox wordt uitgevoerd of met beheerdersbevoegdheden.