macOS-tilgang
Brukertillatelsesmodell
Et viktig aspekt ved sikkerheten for Macer er det å godkjenne eller avvise tilgangstillatelser (også kalt tilgangsrettigheter). Tilgangsrettighet gir muligheten til å utføre bestemte handlinger, som å få tilgang til data eller kjøre koder. Tillatelser gis for følgende nivåer: mapper, undermapper, filer og apper samt for spesifikke data i filer, appmuligheter og administrative funksjoner. Digitale signaturer identifiserer tilgangsrettighetene til apper og systemkomponenter. macOS styrer tillatelser på mange nivåer, inkludert Mach- og BSD-komponentene i kjernen. For å kontrollere tillatelsene for nettverksapper bruker macOS nettverksprotokoller.
Obligatoriske tilgangskontroller
macOS bruker også obligatoriske tilgangskontroller – regler som angir sikkerhetsrestriksjoner som opprettes av utvikleren og som ikke kan overstyres. Metoden skiller seg fra skjønnsmessige tilgangskontroller der brukere kan velge å overstyre sikkerhetsregler.
Obligatoriske tilgangskontroller er ikke synlige for brukerne, men de utgjør den underliggende teknologien som muliggjør flere viktige funksjoner, inkludert kjøring i sandkasse, foreldrekontroller, administrerte valg, utvidelser og Systembeskyttelse-funksjonen.
Systembeskyttelse
OS X 10.11 og nyere har beskyttelse på systemnivå, kalt System Integrity Protection, som skrivebeskytter komponenter i spesifikke kritiske filsystemplasseringer for å forhindre ondsinnet kode i å endre dem. System Integrity Protection er en maskinspesifikk innstilling som er på som standard når en bruker oppgraderer til OS X 10.11 eller nyere. Deaktivering fjerner beskyttelse for alle partisjoner på den fysiske lagringsenheten. macOS bruker denne sikkerhetsregelen på alle prosesser som kjører på systemet, uavhengig av om de kjører med sandkasseteknologi eller med administratorrettigheter.