保护的你的MacOS电脑
更新25 June 2024
目录
...加载目录...如果你使用Mac,你也许曾听过它们更安全的说法。这个说法并不正确。安全性既取决于我们使用设备的方式,又取决于设备上的软件,这些软件随时都可能被发现存在漏洞。以下步骤可以让你的iOS设备更加安全。养成习惯,随时检查这些设置,以确保没有任何更改。
使用设备上最新版本的操作系统
- 更新软件时,请选择安全可信赖的地点,如家中和办公室中,不要选择网卡或咖啡馆。
- 更新最新版本的操作系统也许会要求你下载软件,并多次重启电脑。如果你不希望在设备上的工作受到干扰,请考虑专门安排时间来进行系统更新。
- 更新完成后,也要检查是否有更近的版本,直到你看不到更新提示为止。
- 如果你的设备无法运行最新版本的macOS,最好还是购买新设备。
- 查询苹果操作系统可用的最新版本。
- Alternatively, you can check whether your macOS version is still maintained on the [endoflife.date page for macOS](https://endoflife.date/macos). - 对比你设备上安装的系统版本与最新版本。
- 更新你的操作系统。
- 将你的操作系统设定为自动更新。
- 查询苹果操作系统可用的最新版本。
- 设备下载更新后,会弹出重启系统的提示,请随时按照提示操作以保证更新安装的完整性。
备注
了解我们推荐这样做的理由
你设备上和应用程序里运行的代码每天都会发现新漏洞。由于程序代码十分复杂,哪怕是开发人员自己也无法预测哪里会发现新漏洞。意图不轨的攻击者也许会利用这些漏洞来入侵你的设备。但是软件开发者会定期发布代码来修复这些漏洞。因此,非常需要保证每一台设备的操作系统和其上安装的软件都是最新版本。我们建议你启用操作系统和软件的自动更新,以减少后顾之忧。
开启【锁定模式(Lockdown Mode)】
我们强烈建议你为Mac电脑开启锁定模式。这大概率不会影响你正常使用自己的设备,同时还能大大提高安全性。
使用可信来源的应用程序
- 从App Store安装应用程序。
- 只允许Mac从App Store下载安装应用,除非你十分了解安装应用的安全操作。
- 进阶教程:了解暂时越过安全设置安装你信任的应用程序。
了解我们推荐这样做的理由
Apple's App Store is the official app store for macOS. This centralized way of distributing apps makes it easier for people to find what they need, and it also makes it easier for Apple to monitor the offered apps for major security violations, as well as generally enforce their policies on listed apps. Only install apps from the App Store.
如果你十分了解安装应用的安全操作,你可以直接从开发者的官方网站下载安装一些程序。“镜像”下载网站可能不太可靠,除非你了解并信任镜像网站服务的提供者。如果你认为有必要使用某一应用程序,并愿意为之承担风险,也请采取额外措施来保护你自己,例如说避免将敏感信息或个人信息输入储存于安装了该应用的设备上。
了解如何决定你是否应使用某一应用,请阅读盒中安全手册如何挑选所推荐的工具和服务。
移除你不再需要使用的应用程序
- 了解从Mac上卸载应用。
- 注意: Mac上默认自带的应用程序(如Safari和iTunes)非常难以卸载,并且容易带来危险。
了解我们推荐这样做的理由
你设备上和应用程序里运行的代码每天都会发现新漏洞。由于程序代码十分复杂,哪怕是开发人员自己也无法预测哪里会发现新漏洞。意图不轨的攻击者也许会利用这些漏洞来入侵你的设备。删除你不需要的应用程序可以限制能引起风险的程序数量。另外,很多你不再使用的应用程序也有可能会将你不想暴露的个人隐私信息传送给第三方,例如你的定位。
使用隐私友好的应用程序
- 你可以使用Firefox浏览器浏览网页。
- 你可以使用Thunderbird来收发邮件。
- 你几乎可以在Mac上使用免费开源软件完成任何事。如果你需要决定是否使用某一应用程序,请阅读盒中安全手册如何挑选所推荐的工具和服务。
检查你的应用程序权限
- 逐一检查所有的权限以确保只有你在使用的应用程序拥有这些权限。尤其是下面的一系列权限,因为恶意程序常常会窃取这些权限:定位、相册、联系人、日历、麦克风、摄像头,使用记录。
- 详细阅读如何在Mac中控制你与App共享的个人信息,保护你的隐私。
了解我们推荐这样做的理由
如果一个应用程序可以访问你设备上的敏感信息或服务——如定位、麦克风、摄像头,或设备系统设置,那么这个应用程序就有可能被攻击者利用或将这些数据泄露给攻击者。因此,当你不需要使用某一应用程序或功能时,关闭其权限。
关闭定位功能,清除历史记录
- 养成非必要时关闭定位功能的习惯,请注意关闭设备系统设置和每一个应用程序中的这项功能。
- 如果你开启了定位功能,定期检查清理你的定位历史记录。
- 了解如何关闭定位服务或某一应用程序的定位功能。
- 如果你使用Google地图,请定期检查清理你的位置信息历史记录。你可以按照此教程删除定位的历史记录,并按照此教程禁止设备和Google地图保存你的位置活动。
了解我们推荐这样做的理由
许多设备都会利用GPS、手机信号塔,和我们链接上的Wi-Fi来追踪我们的地理位置。如果你的设备上保留了你的物理定位,就有可能有人通过这些历史记录来找到你,或者用这些记录来证明你去过某地、与某人产生过关联。
在设备上分别建立独立的用户账号
- 在设备上创建多个账号,其中之一设置为“管理员”(admin),拥有系统管理员权限,其余的账号为没有管理员权限的普通用户(non-admin)。
- 只有你可以用管理员的身份登录。
- 普通用户账号不应被授权访问所有应用程序、文件,或系统设置。
- 请考虑为你的日常工作建立一个普通用户账号:
- 仅当你需要更改设备的安全设置时才使用管理员账号登录,例如安装软件。
- 日常中使用普通用户账号可以减少设备暴露在恶意软件攻击下的风险。
- When you cross borders, having a "travel" user account open could help hide your more sensitive files. Use your judgment: will the border authorities confiscate your device for a thorough search, or will they force you to log in to your account so they can take a quick look? If you expect they won't look too deeply into your device, being logged in as a standard user for work that is not sensitive provides you some plausible deniability.
- 如何为Mac电脑添加用户。
了解我们推荐这样做的理由
我们强烈建议你不要将用于敏感工作的设备与他人共享。然而,如果你不得不与家人或同事共享设备,你可以为每个人单独创建一个用户账号来保护敏感信息,这样,你就可以保证只有你自己拥有管理员权限,其他用户无法访问你的敏感文件。
解除不需要的设备关联账号
- 了解如何移除不需要的用户。
了解我们推荐这样做的理由
当你不想让别人登录你的设备,最好不要在机器上留下额外的“入口”(这叫做“减小攻击面”)。此外,本章内介绍的检查手段可以帮你确认是否有人未经允许设备上建立了新的账号。
保护设备关联的账号
- 阅读苹果有关如何保护苹果账户和密码的清单。特别是,要确保使用强密码、开启双重认证,以及不要和他人共享Apple ID账号。
- 查看你的苹果账户设备列表,了解你的Apple ID登录了哪些设备。
- 还可以参考本手册社交媒体账号中的相关部分来检查设备上关联的其他账号。
- 如果你发现账号上有可疑活动,例如已丢弃、无法控制或无法识别的设备登录,你可能需要对账号活动历史记录的页面拍照或截图。
- 如果你认为你的Apple ID账号存在风险,请按照苹果的官方教程进行操作。
了解我们推荐这样做的理由
大多数设备都会有关联账号,比如你的Apple ID账号可以关联macOS电脑、Apple Watch,iPad和Apple TV。同一账号可以同时使用多个设备登陆(比如手机、笔记本电脑,或者还有电视)。如果有人未经允许登陆了你的账号,本章节介绍的步骤可以帮你阻止他们。
使用强密码保护你的用户账号和电脑
- 锁屏密码请使用长密码(至少多于10个字符),不要用短密码或PIN码。
- 禁用自动登录。
- 学习如何更改Mac的登录密码。
- 确保文件保险箱已开启。
- Making it possible to use your fingerprint to unlock your device can be
used against you by force; do not use TouchID to log in to your Mac
computer unless you have a disability which makes typing impossible.
- 如果你已经设置了指纹识别,请从设备上移除它们。
- 阅读Mac的触控ID教程了解如何删除指纹数据。
了解我们推荐这样做的理由
诚然,技术手段攻击的威胁性貌似很大,但其实你的设备更有可能会因被人收缴或盗窃而被入侵。因此,明智之选就是设定锁屏和解锁密码保护你的电脑和用户账号,这样一来,别人就无法仅靠开机和试出密码就轻轻松松登录你的设备。
我们不推荐除密码解锁以外的屏幕解锁方式。如果你遭遇了逮捕、拘留或搜查,你的面部、声音、眼球,或指纹信息很容易被人获得解锁手机。如果你使用的是短密码,一旦有人得到了你的设备,他们就可以使用软件轻易破解。如果你设置了指纹解锁,从电脑上取得你的指纹就能复制指纹信息来解锁设备。
For these reasons, the safest protection you can set for logging in to your device is a longer passphrase.
将屏幕设置为休眠锁屏
控制设备锁屏时可以看到的内容
关闭“锁屏时显示通知”的功能。方法有几种:
- Learn how to pause notifications when the device is sleeping or the screen is locked in the guide on how to change notifications settings on Mac.
- 还有一种便捷的方法,通过控制中心打开专注模式,例如免打扰模式也可以禁用通知。
- 你还可以关闭特定应用程序的通知功能。
了解我们推荐这样做的理由
如果你的设备被盗或被没收,强密码锁屏或多或少会给你提供一些保护。但如果你不关闭锁屏时显示推送内容的功能,持有你设备的人就能看到这些推送信息(如接收到的短信和邮件),从而获得你联系人的信息和消息内容。
禁用语音控制
- 学习如何关闭Siri。
- 学习如何从Mac电脑上删除Siri与听写历史记录。
- 如果你判断使用语音控制带来的好处大于其带来的风险,请参考Security Planner的说明来提高使用语音助手的安全性。
了解我们推荐这样做的理由
如果你开启了手机的语音控制,他人就有条件通过恶意代码控制你的手机监听你。
另外一个重要的考量是声音伪装的风险:他人可以通过录制你的声音绕过授权来控制你的电脑。
如果你的身体有障碍,难以打字或使用其他控制方式,使用语音控制也许是必要的。本章节介绍了如何能够更安全地使用语音控制。但是,如果你不是因为身体原因使用语音控制,还是关闭这项功能更安全一些。
使用防窥膜来防止别人窥视你的屏幕
- 阅读Security Planner的指南了解更多有关防窥膜的内容。
了解我们推荐这样做的理由
在人们的想象里,针对数字安全的攻击都是高度技术化的,但是,也许你想象不到,有些人权工作者恰恰就是因为被旁人或摄像头偷看了屏幕导致个人信息被盗或账号泄露。防窥膜降低了这种伎俩——通常被称为从身后偷窥——成功的可能性。你可以在销售电子设备配件的商店找到防窥膜。
使用镜头盖遮挡镜摄像头
- 首先,找出你的设备是否有摄像头,如果有,在哪里。如果你的电脑使用了外置摄像头,那么加上电脑内置的,就会有多个摄像头。
- 你可以制作一个简易镜头盖:用小创可贴贴住镜头,需要使用相机时可将其撕下。创可贴的效果比贴纸好,因为创可贴的中间部分没有粘合剂,不会让镜头粘上脏东西。
- Alternatively, search your preferred store for the model of your computer and "webcam privacy cover thin slide" to find the most suitable sliding cover for your device.
- 你还可以考虑关闭特定应用程序的照相功能。
- Mac电脑也有可能彻底禁用内置摄像头:进入【设置】>【屏幕时间】>【内容和隐私】,打开【内容和隐私】按钮,点击【应用程序限制】,关闭【允许相机】按钮,点击【结束】。更多内容请阅读在Mac上的“屏幕使用时间”中更改“App与功能限制”设置。
了解我们推荐这样做的理由
恶意软件会偷偷开启设备上的摄像头来监视你和你周围的人,或者定位你的所在。
不使用网络连接时,请将其关闭
- 夜间请彻底关机。
- 养成习惯,在不使用Wi-Fi、蓝牙,或网络共享的时候将其关闭。
- 参考此说明来了解Mac电脑的Wi-Fi菜单图标。
- 按照此说明查询系统设置里的“共享”页面,确保“互联网共享”是取消的状态。
了解我们推荐这样做的理由
所有无线通信频道(如Wi-Fi、NFC和蓝牙)都有可能被我们周围的攻击者滥用,通过攻击这些网络中的弱点来入侵我们的设备,获取敏感信息。
当你开启蓝牙或Wi-Fi连接,你的设备会试图搜索之前保存过的蓝牙或Wi-Fi。基本上,设备会“广播”保存过的每一个网络的名字来尝试连接上可用的网络。如果有人在附近窥探网络,他们可以通过这种“广播”来识别你的设备,因为你保存列表里的设备和网络通常都是很有辨识度的。这些如同指纹一般识别度极高的信息恰恰方便了附近窥探的人找出你的设备。
因此,不使用时关掉这些连接功能不失为一个良策,特别是Wi-Fi和蓝牙。这就能减少攻击者在你毫无知觉的情况下劫持你设备和信息的机会。
清理你保存过的Wi-Fi网络
- 将网络名称和密码保存在密码管理器中,不要保存在设备上的网络列表里。
- 如果你将连接过的Wi-Fi名称和密码保存在了网络列表里,请保证:
了解我们推荐这样做的理由
当你开启了Wi-Fi连接,你的设备会试图搜索之前保存过的Wi-Fi网络。基本上,你的设备会“广播”保存过的每一个网络的名字来尝试连接上可用的网络。如果有人在附近窥探网络,他们可以通过这种“广播”来识别你的设备,因为你保存过的列表通常都具有辨识度:在这个列表里至少有你的家用网络和办公室网络,更不用说也许可能还会有你朋友家中的网络、你常去的咖啡馆等等。这些如同指纹一般识别度极高的信息恰恰方便了窥探的人找出你的设备,或者找出你的活动地点。
为了防止这些信息被掌握,你需要清除已保存的网络列表,并且关闭设备自动保存网络的功能。虽然这不利于你快速连接到网络,但你可以将网络名称和密码保存在密码管理器中以备不时之需。
不使用共享功能时将其关闭
- 关闭隔空投送。
- 如果你需要使用隔空投送与联系人共享文件,点击隔空投送旁边的箭头,选择“仅限联系人”。确保你的联系人名单里没有任何你不想与之共享信息的人。
- 按照此说明检查Mac的共享设置。取消你不使用的服务,管理你正在使用的服务(也许你因公需要使用屏幕镜像或者共享打印机,又或者你需要使用媒体共享收听音乐。
了解我们推荐这样做的理由
许多设备都有选项可以方便我们与周围的人共享文件或服务,这项功能通途广泛。然而,如果在不使用该功能时也保持开启,不法之徒也许会利用这个功能窃取你设备上的文件。
使用防火墙
- 了解如何使用防火墙阻止连接Mac。
- 我们推荐启用“隐身”模式让你的电脑更安全。阅读macOS隐身模式的官方教程。
了解我们推荐这样做的理由
防火墙是一项安保措施,可以保护我们的设备不被连接到不需要的终端。就像建筑物门口的安保人员会判定谁可以进入、谁可以离开,防火墙会接收、检查设备上进出的所有通信,并判定哪些通信可以进入或离开,哪些不可以。我们建议你打开防火墙,以防止恶意代码试图访问你的设备。默认的防火墙配置对于大多数人来说足以提供保护。
更多安保建议
- 在【系统设置】>【聚焦】>【搜索结果】中,取消搜索结果中的至少如下几项:联系人、提醒事项、邮件和消息,以及Siri建议。
- 在【系统设置】>【聚焦】>【隐私】中,你可能会需要添加不希望“聚焦”发送信息给苹果的敏感文件夹。
- 阅读更多可以加强和改进macOS安保措施的推荐。
进阶教程:识别是否有人未经你允许访问了你的设备(基础信息安全鉴识)
- 阅读运行进程、登录时自动打开项目、网络连接,内核扩展。
- 考虑安装Objective-See.com的OverSight、BlockBlock,和KnockKnock。
- 他们的工具LuLu、DoNotDisturb、RansomWhere?,和ReiKey也可能有所帮助。
- 如果你的Mac使用的是Apple T2安全芯片,在“启动安全性实用工具”中,请确保“安全启动”的状态为“完整安全性”。
- 如果你的Mac使用的是Apple芯片,请了解如何进行安全设置确保“安全策略”设置为“完整安全性”。
- 如果你怀疑你的设备存在风险,请参考数字急救包(Digital First Aid Kit)中的我的设备表现可疑一章。
了解我们推荐这样做的理由
他人入侵你的设备、文件或通信的迹象有时不容易被找到。这些额外的建议清单也许会让你掌握更多相关知识,鉴别你的设备是否遭到篡改。