การปกป้องความสมบูรณ์ของระบบ
macOS ใช้สิทธิ์เคอร์เนลเพื่อจำกัดความสามารถในการเขียนของไฟล์ระบบที่สำคัญด้วยคุณสมบัติที่เรียกว่าการปกป้องความสมบูรณ์ของระบบ (SIP) คุณสมบัตินี้เป็นคุณสมบัติที่แตกต่างและนอกเหนือจากการปกป้องความสมบูรณ์ของเคอร์เนล (KIP) ด้านฮาร์ดแวร์ที่มีให้ใช้งานบน Mac ที่มี Apple Silicon ซึ่งจะปกป้องการแก้ไขเคอร์เนลในหน่วยความจำ เทคโนโลยีการควบคุมการเข้าถึงแบบบังคับจะถูกนำมาใช้เพื่อให้การปกป้องนี้และการปกป้องระดับเคอร์เนลอื่นๆ อีกหลายรายการ ซึ่งรวมถึงการทำ Sandbox และ Data Vault
การควบคุมการเข้าถึงแบบบังคับ
macOS ใช้การควบคุมการเข้าถึงแบบบังคับ ซึ่งเป็นนโยบายที่กำหนดข้อจำกัดด้านความปลอดภัยที่นักพัฒนาสร้างขึ้นซึ่งไม่สามารถเขียนทับได้ วิธีการนี้จะแตกต่างจากการควบคุมการเข้าถึงแบบมีเงื่อนไขซึ่งอนุญาตให้ผู้ใช้เขียนทับนโยบายด้านความปลอดภัยตามการตั้งค่าของพวกเขาได้
ผู้ใช้จะไม่เห็นการควบคุมการเข้าถึงแบบบังคับ แต่การควบคุมเหล่านั้นจะเป็นเทคโนโลยีพื้นฐานที่ช่วยเปิดใช้งานคุณสมบัติที่สำคัญหลายอย่าง รวมถึงการทำ Sandbox การควบคุมโดยผู้ปกครอง การตั้งค่าที่ได้รับการจัดการ ส่วนขยาย และการปกป้องความสมบูรณ์ของระบบ
การปกป้องความสมบูรณ์ของระบบ
การปกป้องความสมบูรณ์ของระบบจะจำกัดส่วนประกอบให้เป็นแบบอ่านอย่างเดียวในตำแหน่งเฉพาะที่สำคัญของระบบไฟล์เพื่อช่วยป้องกันไม่ให้โค้ดที่ประสงค์ร้ายแก้ไขตำแหน่งของระบบไฟล์ การปกป้องความสมบูรณ์ของระบบเป็นการตั้งค่าเฉพาะสำหรับคอมพิวเตอร์ที่เปิดตามค่าเริ่มต้นเมื่อผู้ใช้อัปเกรดเป็น OS X 10.11 ขึ้นไป บน Mac ที่ใช้ Intel การปิดใช้งานการตั้งค่านี้จะเป็นการเอาการปกป้องสำหรับพาร์ติชั่นทั้งหมดบนอุปกรณ์จัดเก็บข้อมูลจริงออก macOS ปรับใช้นโยบายด้านความปลอดภัยนี้กับทุกกระบวนการที่ทำงานบนระบบ ไม่ว่าจะใช้งาน Sandbox หรือมีสิทธิ์ผู้ดูแลระบบก็ตาม