保护的你的MacOS设备

更新30 April 2021

目录

...加载目录...

    如果你使用的是Mac电脑,你也许曾听过Mac电脑是最安全的说法。这个说法并不正确。安全性既取决于我们使用设备的方式,又取决于设备上的软件,这些软件随时都可能被发现存在漏洞。完成以下步骤可以让你的Mac电脑更加安全。养成习惯,随时检查这些设置,以确保没有任何更改。

    视频教程

    你可以按照这个视频教程来了解下面的清单。

    使用设备上最新版本的操作系统(OS)

    了解我们推荐这样做的理由

    你设备上或应用程序里运行的代码每天都有新的漏洞被发现。这些代码的开发人员无法预测它们何时会被发现,因为程序代码十分复杂。意图不轨的攻击者也许会利用这些漏洞来攻陷你设备的安防。

    但是软件开发者会定期发布代码来修复这些漏洞。因此,将每一台设备的操作系统都保持在最新更新状态极为重要。我们建议你将设备设置为自动更新操作系统,这样你就少了一个后顾之忧。

    Use apps from trusted sources

    了解我们推荐这样做的理由

    苹果、谷歌,微软和亚马逊都有官方的应用程序商店。将所有应用集中到商店一个地方便于寻找和安装,也便于这些公司监控这些应用程序是否有重大违反安全的行为。

    请不要从谷歌商店或开发者的官方网站以外的来源安装应用程序。“镜像”下载网站可能不太可靠,除非你认识镜像网站服务的提供者并信任他们。如果你认为有必要使用某一应用程序,并愿意为之承担风险,也请采取额外措施来保护你自己,例如说避免将敏感信息或个人信息输入储存于安装了该应用的设备上。

    了解盒中安全手册推荐和信任这些应用程序的理由.

    移除你不再需要使用的应用程序

    了解我们推荐这样做的理由

    你设备上或应用程序里运行的代码每天都有新的漏洞被发现。这些代码的开发人员无法预测它们何时会被发现,因为程序代码十分复杂。意图不轨的攻击者也许会利用这些漏洞来攻陷你设备的安防。移除你不需要的应用程序可以限制能引起风险的程序数量。另外,很多应用程序,即使你不再使用,它们也还是会将你的有关信息或不想暴露的个人隐私传送给开发者,例如你的定位。如果你无法移除应用程序,你至少可以禁用它们。

    Check your app permissions

    了解我们推荐这样做的理由

    如果一个应用程序可以访问你设备上的敏感信息或功能——如定位、麦克风、摄像头,或设备系统设置,那么这个应用程序就有可能被攻击者利用或将这些数据泄露给攻击者。因此,当你不需要使用某一应用程序或功能时,关闭其权限。

    关闭定位功能,清除历史记录

    了解我们推荐这样做的理由

    许多设备都会利用GPS、手机信号塔,和我们使用的Wi-Fi来追踪我们的地理位置。如果你的设备上保留了你的物理定位,有人就有可能通过这些历史记录来找到你,或者用这些记录来证明你去过某地、与某人产生过关联。

    Make separate user accounts on your devices

    • 在设备上建立多个账号,其中之一设置为“管理员”(admin),拥有系统管理员权限,其余的账号为普通用户(non-admin)。
      • 只有你可以用管理员的身份登录。
      • 普通用户账号不应被授权访问所有应用程序、文件,或系统设置。
    • 请考虑为你的日常工作建立一个普通用户账号:
      • 仅当你需要更改设备的安全设置时才使用管理员账号登录,例如安装软件。
      • 日常中使用普通用户账号可以减少设备暴露在恶意软件攻击下的风险。
      • 当你出入境时,一个“旅行用”账号可以帮你隐藏更敏感的文件。请自行判断:边境检查的工作人员是会收缴你的设备进行排查,还是他们会打开你的设备快速浏览一遍?如果你认为他们不会特别仔细地排查你的设备,使用普通用户账号进行不那么敏感的工作会给你一些合理的掩护。
    • 阅读如何设置新用户账号
    了解我们推荐这样做的理由

    我们强烈建议你不要将用于敏感工作的设备与他人共享。然而,如果你不得不与家人或同事共享设备,你可以通过为每个人单独设立账号来保护敏感信息,这样其他用户就无法访问你的敏感文件。

    Secure the accounts connected with your device

    了解我们推荐这样做的理由

    大多数设备都会有关联账号,比如你的谷歌账号可以关联安卓手机、Chrome笔记本电脑,以及谷歌电视。你的苹果账号可以关联iPad、苹果手表、苹果笔记本,以及苹果电视。同时可以有多个设备登录同一账号(比如手机、笔记本电脑,或者还有电视)。你可以利用已登陆的设备查看账号是否有人未经你允许登录了你的账号,也可以从这里终止入侵。

    Remove unneeded device accounts

    了解我们推荐这样做的理由

    当你不想让别人登录你的设备,最好不要在机器上留下额外的“入口”(这叫做“减小攻击面”)。另外,检查你设备上有哪些用户可以帮你确认是否有人在你不知情的情况下在设备上建立了新的账号。

    将屏幕设置为休眠锁屏

    • 将你的屏幕设置为短时间内不使用即休眠锁屏(五分钟是个不错的选择)
    • 开机密码请使用长密码(至少多于16个字符),不要用短密码或PIN码
    • 允许使用指纹识别、面部识别、眼部识别,或语音识别来解锁手机可能会对你不利,因为他人可以强迫你提供这些数据来解锁手机。不要使用这些功能,除非你的身体有障碍,无法打字
      • 如果你已经设置了指纹和面部识别,请从设备上移除它们。
    • 按照此说明来设置休眠或屏保启用时的锁屏密码,并“禁用自动登录”
      • (初学者提示:你有可能需要先点击底部的🔒图标,输入设备的登录密码,才能解锁进行设置。)
    了解我们推荐这样做的理由

    虽然也许看上去你最大的威胁来自于技术手段攻击,但其实你的设备更有可能会因被人收缴或盗窃而被入侵。因此,明智之选就是设定锁屏和解锁密码,这样一来,别人就无法仅靠开机就能登录你的设备。

    我们不推荐除密码解锁以外的屏幕解锁方式。生物识别信息,如面部、语音、眼睛扫描,或指纹很容易被人获得,尤其是如果你遭遇了逮捕、拘留或搜查。如果有人得到了你的设备,而你使用了短密码或PIN码,他们使用软件就可以轻易破解。通过检查屏幕上的指纹痕迹,还可以猜测手势密码。如果你设置了指纹解锁,获取你的指纹痕迹就能复制指纹信息来解锁设备。类似的伎俩也已被证实曾被用来进行脸部识别解锁。

    因此,最安全的锁屏方式就是长密码。

    Control what can be seen when your device is locked

    关闭“锁屏时显示通知”的功能。有两个方法:

    了解我们推荐这样做的理由

    如果你的设备被盗或被没收,强密码锁屏或多或少会给你提供一些保护。但如果你不关闭锁屏时显示推送内容的功能,持有你设备的人就能看到这些推送信息(如接收到的短信和邮件),从而获得你联系人的信息和消息内容。

    Disable voice controls

    了解我们推荐这样做的理由

    当你的设备开启了语音控制——比如使用Siri、Cortana、谷歌Voice、Echo,或者Alexa等语音助手——这些功能开启时会不间断地监听周围的声音,甚至会录下语音记录,并发送给厂商,如亚马逊或微软,以用来做产品质量检测,产品的外包公司会储存并审查这些录音。还有可能有人会在你的设备上植入代码来记录设备麦克风捕捉到的声音。

    如果你的身体有障碍,难以打字或使用其他控制方式,使用语音控制也许是必要的。下面的说明介绍了如何能够更安全地使用语音控制。但是,如果你不是因为身体原因使用语音控制,还是关闭这项功能更安全一些。

    Use a physical privacy filter that prevents others from seeing your screen

    了解我们推荐这样做的理由

    虽然在人们的想象里,攻击者都是精于技术的黑客,但可能出乎你的意外,有些人权工作者恰恰就是因为被旁人或摄像头偷看了屏幕导致个人信息被盗或账号泄露。防窥膜降低了这种伎俩成功的可能性。你可以在销售电子设备配件的商店找到防窥膜。

    Use a camera cover

    • 首先,找出你的设备是否有摄像头,如果有,在哪里。如果你的电脑使用了外置摄像头,那么加上电脑内置的,就会有多个摄像头。
    • 简易镜头盖:用小创可贴贴住镜头,需要使用相机时将其撕下。创可贴的效果比贴纸好,因为创可贴的中间部分没有粘合剂,不会让镜头粘上脏东西。
    • 或者在你中意的商店里搜索“超薄网络摄像头隐私盖”。“超薄”很重要,因为有些镜头盖太厚,会妨碍你合上笔记本电脑。
    了解我们推荐这样做的理由

    有一些恶意软件会偷偷开启设备上的摄像头来监视你和你周围的人,或者定位你的所在。

    Turn off connectivity you're not using

    了解我们推荐这样做的理由

    Wi-Fi能够传输数据,让我们的设备通过互联网连接到其他设备,它通过无线电波连接到路由器,路由器通常由有线网络接入互联网。手机也可让我们通过移动网络访问世界各地的其它电脑和手机,手机的移动网络由信号塔和中继器组成。 近距离无线通信技术(NFC)和蓝牙也使用无线电波将我们的设备连接到附近其它设备。所有这些网络连接对于与他人通信来说至关重要。但由于我们的设备连接到其他设备,也有人会恶意使用此连接来劫持我们的设备和其中的敏感信息。

    因此,不使用时关掉这些连接功能不失为一个良策,特别是Wi-Fi和蓝牙。这就能减少攻击者趁你不备劫持你设备和信息的机会(一些难以察觉的入侵迹象包括设备运行异常缓慢,不使用设备时通常无法注意到)。

    清理你保存过的Wi-Fi网络

    了解我们推荐这样做的理由

    当你开启了设备的Wi-Fi连接,它会试图搜索之前保存过的Wi-Fi网络。基本上,你的设备会“广播”保存过的每一个网络的名字来尝试连接上可用的网络。如果有人在附近窥探网络,他们可以通过这种“广播”来识别你的设备,因为你保存过的列表通常都是独一无二的:在这个列表里至少有你的家用网络和办公室网络,更不用说也许可能还会有你朋友家中的网络、你常去的网咖网络等等。这些如同指纹一般识别度极高的信息恰恰方便了窥探的人找出你的设备,或者找出你的活动地点。

    为了防止这些信息被掌握,你需要清除已保存的网络列表,并且关闭设备自动保存网络的功能。虽然这不利于你快速连接到网络,但你可以将网络名称和密码保存在密码管理器中以备不时之需。

    Turn off sharing you're not using

    了解我们推荐这样做的理由

    许多设备提供方便与周围人共享文件或服务的功能,这项功能非常便利。然而,如果不使用这些功能时仍保持开启,意图不轨的人就有可能趁机劫取你的文件。

    Use a firewall

    了解我们推荐这样做的理由

    当某个软件开始监听我们不希望它听到的信息时,防火墙可以帮助我们保护设备。换言之,不管是因为意外还是有意而造成后门出现时,监控与外界连接的防火墙有时能有助于我们了解恶意软件是否在试图窃取信息,或者是否在联系其使用者等待进一步指示。如果你安装了专门用于限制与外界连接的防火墙,或者如果你将内建的防火墙配置成这种工作方式,那么你需要准备花一些时间来“训练”它,以便让它只有在观察到异常情况时才对你发出警报。

    Additional protection recommendations

    • 在【系统设置】>【聚焦】>【搜索结果】中,取消搜索结果中的至少如下几项:联系人、提醒事项、邮件和消息,以及Siri建议。
    • 在【系统设置】>【聚焦】>【隐私】中,你可能会需要添加不希望“聚焦”发送信息给苹果的敏感文件夹。
    • 确保你的电脑硬盘全盘加密。开启“文件保险箱(FileVault)”
    • 请考虑完成这个清单

    Advanced: figure out whether someone has accessed your device without your permission (basic forensics)

    了解我们推荐这样做的理由

    他人入侵你的设备、文件或通信的迹象有时不容易被找到。这些额外的清单也许会让你掌握更多相关知识,鉴别你的设备是否遭到篡改。