macOS 中提供了安全策略來限制哪些應用程式可以在通常的保護系統策略之外運行。以下介紹了 macOS Sequoia 在某些情況下如何覆蓋系統策略。
Apple 的 macOS 是世界上最安全的作業系統之一。即便如此,沒有任何一個作業系統是萬無一失的,安全漏洞仍然有可能發生。
在過去的十年中,Apple 為 macOS 添加了多項額外的安全功能,有助於提高安全性。這些包括但不限於:
- 開發者ID
- 看門人
- 應用公證
- 數位應用程式簽名
- 系統完整性保護 (SIP)
開發者 ID 和 Gatekeeper 是兩個與應用程式相關的安全功能,用於驗證和授權 Mac 應用程式以允許或禁止它們運作。 Gatekeeper 會阻止應用程式運行,除非它們被確認來自註冊的 Apple 開發人員或 Mac App Store。
如果僅包含開發者 ID 的應用程式經過 Apple 驗證,則在從 Mac App Store 外部下載時也可以執行。
當您第一次執行新下載的應用程式時,Gatekeeper 會導致「正在驗證」進度視窗出現在 Finder 中。當 Gatekeeper 在首次運行時驗證應用程式所有元件的簽章數位收據時,會出現此視窗。
在 macOS 中系統設定在應用程式中,您可以選擇是否僅允許通過 Gatekeeper 驗證(App Store)的應用程式運行。您也可以透過開發者 ID 允許來自註冊 Apple 開發者的 Gatekeeper 和應用程式。
如果您嘗試在沒有這些安全功能的情況下執行 macOS 應用程序,您將在 macOS Finder 中收到一條警報,告訴您無法開啟該應用程式。要忽略此警告,您將單擊完畢,然後返回系統設定->隱私與安全並點擊無論如何打開按鈕:
下載的安裝程式應用程式不在 Gatekeeper 驗證範圍內。
應用程式公證透過讓 Apple 驗證 Mac 應用程式和磁碟映像不包含惡意元件,增強了它們的安全性。
數位應用程式簽章是 Mac 應用程式在開發人員建置時以及從 Mac App Store 下載時的加密簽章。數位簽章可確保應用程式不是假的,且其內容在分發後未被竄改。
系統完整性保護(SIP) 是Apple 在2015 年新增至macOS 10.11 El Capitan 中的一項系統範圍的安全功能。用戶的篡改(如果是的話)已啟用。
SIP 可以停用並在 macOS 的終端應用程式中重新啟用,但 Apple 不建議這樣做,因為這會讓您的 Mac 面臨安全風險。
這些安全組件一起被稱為運行時保護在 macOS 中。
終端應用程式
Apple 為運行終端應用程式的獨立二進位應用程式提供其他執行時間保護。其中包括擴展屬性 (xattrs) 和其他系統級保護。
某些命令列終端應用程式可能不允許使用預設系統安全性策略運作。 Apple 這樣做是為了保護使用者免受未經驗證的惡意第三方命令列終端工具的侵害。
這些限制僅適用於某些應用程式。
在某些情況下,普通的可雙擊的 macOS 應用程式可能需要執行單獨的命令列工具或其他軟體元件。
允許應用程式運行其他應用程式
如果您希望能夠運行需要在 macOS Sequoia 中的 macOS 系統安全策略之外運行的應用程序,請返回系統設定->隱私與安全窗格。您需要檢查每個子頁面是否有開關才能啟用它。
例如,某些命令列開發人員工具需要執行外部系統安全策略來執行其他命令、處理檔案或執行其他受限操作。
在此範例中,轉到系統設定->隱私與安全->開發者工具窗格,您將看到以下開關:
不幸的是,在 macOS 中,目前無法在整個電腦範圍內啟用此功能,而且可能也不應該這樣做,因為它會使您的 Mac 面臨其他安全風險。
但可以在逐個應用程式的基礎上啟用此功能 - 如果相關應用程式支援它。同樣,此功能並非適用於所有應用程序,因此您必須單獨檢查每個應用程式。
在大多數情況下,您不需要覆蓋 macOS 安全策略,但對於某些情況下的某些應用程序,您可能需要這樣做。
有關 macOS 的 Gatekeeper 和運行時保護的更多信息,請參閱Apple 平台安全指南。
有關 Gatekeeper、開發人員 ID 和使用的完整摘要系統設定有關打開應用程式的信息,請參閱 Apple 的技術說明 102445,安全地打開 Mac 上的應用程式。
