macOS 的門禁與執行階段保護
macOS 提供「門禁」技術和執行階段保護,可協助確保使用者的 Mac 上只會執行受信任的軟體。
門禁
macOS 包含名為「門禁」的安全性技術,此設計可協助確保使用者的 Mac 上只會執行受信任的軟體。當使用者下載並打開來自 App Store 外部 App、外掛模組或安裝程式套件時,「門禁」會驗證該軟體來自已識別的開發者,經過 Apple 公證不含已知惡意內容,且未曾遭更動。第一次打開軟體時,「門禁」也會要求使用者核准,以確認使用者沒有受到詐騙而執行其認為單純為資料檔案的可執行程式碼。「門禁」也會追蹤下載軟體所寫入檔案的來源。
依照預設,「門禁」可協助確保所有下載的軟體均已由 App Store 簽署,或由已登錄的開發者簽署並由 Apple 公證。App Store 審核程序及公證流程的設計都能確保 App 不含任何已知惡意軟體。因此依照預設,無論軟體透過何種方式安裝在 Mac 上,macOS 中的所有軟體第一次打開時,系統都會檢查是否包含已知的惡意內容。
使用者和組織可選擇只允許安裝來自 App Store 的軟體。或者,使用者可以覆蓋「門禁」規則以打開任何軟體,除非受到行動裝置管理(MDM)解決方案限制。組織可以使用 MDM 來配置「門禁」設定,包含允許以替用身分簽署的軟體。如有需要,也可完全停用「門禁」。
「門禁」也可防止透過安全 App 散佈的惡意外掛模組。在此情況下,當使用者使用該 App 時,會在不知情的狀況下觸發載入惡意的外掛模組。必要時,「門禁」會從隨機的唯讀位置打開 App。此設計可防止自動載入隨著 App 散佈的外掛模組。
執行階段保護
系統檔案、資源與核心會與使用者的 App 空間加以區隔。來自 App Store 的所有 App 皆以沙盒模式執行,無法存取其他 App 所儲存的資料。如果來自 App Store 的 App 需要存取來自其他 App 的資料,便只能使用由 macOS 提供的 API 與服務來進行。