Jak fungují nové funkce zabezpečení macOS Catalina

macOS Catalina zavádí nové ovládací prvky zabezpečení. Aplikace jsou nyní například povinny požádat o vaše povolení před přístupem k částem disku, kde jsou uloženy dokumenty a osobní soubory. Pojďme se podívat na to, co je nového v oblasti bezpečnosti v Catalině.

Některé aplikace vyžadují oprávnění k přístupu k vašim souborům

Aplikace nyní musí žádat o povolení k přístupu k určitým částem vašeho systému souborů. To zahrnuje vaše složky Dokumenty a Plocha, váš iCloud Drive a jakékoli externí svazky, které jsou aktuálně připojeny k vašemu Macu (včetně flash disků, paměťových karet a tak dále). Toto je změna, která získává nejvíce titulků.

Apple již nějakou dobu prosazuje přístup na základě oprávnění na iOS a vidíme, že se do macOS dostává více těchto bezpečnostních zásad. Při prvním upgradu na Catalina to může mít za následek bouři dialogových oken žádosti o povolení. To vedlo některé k porovnání této funkce s celoobrazovkovými bezpečnostními výzvami systému Windows Vista (ale ve skutečnosti to není zdaleka tak hrozné).

Neupravená první zkušenost Cataliny.

A to jsem ještě ani nezačal dělat skutečnou práci.

To by mohl být nejlepší okamžik Apple Windows Vista. pic.twitter.com/CxuVhA3BxV

— Tyler Hall (@tylerhall) 7. října 2019

Z hlediska bezpečnosti je to změna, kterou je třeba uvítat, i když může chvíli trvat, než si na ni zvyknete. Ne každá aplikace bude vyžadovat přístup. V našich testech jsme byli schopni otevřít a uložit soubory pomocí markdown editoru Typora, ale navigace do složky Dokumenty v Terminálu pomocí příkazu cd ~/Documents/ vyvolala žádost o povolení.

Přejděte do Předvolby systému > Zabezpečení a soukromí > Soukromí a kliknutím na možnost „Soubory a složky“ zobrazíte všechny aplikace, které požádaly o přístup. Můžete také udělit přístup k celému disku kliknutím na „Plný přístup k disku“. Všimněte si, že některé aplikace, například vyhledávače duplicitních souborů, budou vyžadovat, abyste pomocí této nabídky povolili přístup k celému disku.

Chcete-li provést změny, nejprve klikněte na ikonu zámku v levém dolním rohu okna a poté zadejte heslo správce (nebo použijte Touch ID, pokud máte čtečku otisků prstů). Poté můžete zaškrtnutím políčka vedle příslušné aplikace udělit přístup.

Sledování vstupu, nahrávání obrazovky a Safari

Přístup k disku není jedinou změnou oprávnění v macOS Catalina. Apple nyní vyžaduje, aby aplikace požádaly o povolení k protokolování vstupu z klávesnice a pořizování záznamů obrazovky. Možnosti pro každou z nich najdete v části „Monitorování vstupu“ a „Záznam obrazovky“ v Předvolbách systému > Zabezpečení a soukromí > Soukromí.

Sledování vstupu označuje jakýkoli textový vstup, který nezpracovává operační systém, stejně jako nastavení „Povolit úplný přístup“ v systému iOS pro klávesnice třetích stran. To by mohlo pomoci chránit před keyloggery. Omezení nahrávání obrazovky blokuje aplikacím nahrávat cokoli na obrazovce bez povolení. Toto omezení se týká aplikací, jako je vlastní přehrávač QuickTime od společnosti Apple, který vás vyzve k „Otevřít předvolby systému“, kliknutím na zámek povolíte změny a poté ručně udělíte oprávnění.

V Safari budete také požádáni o povolení nebo zamítnutí požadavků na stahování souborů z konkrétních domén nebo na sdílení obrazovky. Své volby můžete doladit spuštěním prohlížeče a kliknutím na Safari > Předvolby > Webové stránky. Pomocí poskytnutých ovládacích prvků můžete trvale udělit povolení, přímo odmítnout nebo vyzvat web, aby se vás pokaždé zeptal.

macOS je nyní uložen na samostatném disku

Během procesu instalace pro macOS Catalina je váš hlavní systémový svazek rozdělen na dva: jeden svazek pouze pro čtení pro základní systémové soubory (váš operační systém) a druhý svazek pro data, který umožňuje přístup pro čtení i zápis. Nebudete muset nic dělat; instalační technik se o to postará za vás.

To umístí všechny nejdůležitější soubory operačního systému do jediného svazku pouze pro čtení, který nemůžete upravovat vy ani žádná z vašich aplikací. Druhý svazek neuvidíte, dokud neotevřete Disk Utility. Na postranním panelu byste měli najít dva svazky – běžný starý „Macintosh HD“ (váš operační systém) a „Macintosh HD — Data“ pro všechno ostatní.

Tato změna je něco, čeho si většina uživatelů nevšimne. Nemá to vliv na to, jak váš počítač běží každý den, a jediný případ, kdy bude svazek pouze pro čtení něčím ovlivněn, je aktualizace vašeho Macu. Vše, co potřebujete vědět, je, že tato změna ještě více znesnadňuje podvodným aplikacím poškození části vašeho disku, kde jsou uchovávána nejcitlivější data operačního systému.

Gatekeeper dostane napájení

Gatekeeper je technologie, která zasáhne vždy, když se pokusíte spustit aplikaci, která nepochází z Mac App Store a nebyla podepsána pomocí autorizovaného certifikátu vývojáře. Gatekeeper vám na vašem Macu zastaví spouštění riskantních aplikací, ať už v dobrém nebo ve zlém, a v Catalině dochází k upgradu.

Aplikace budou nyní při každém spuštění kontrolovány na přítomnost malwaru pomocí Gatekeeper. Dříve k tomu došlo pouze při prvním pokusu o otevření aplikace. Aby se proces urychlil, Apple spustil nový notářský proces kde vývojáři musí odeslat své aplikace společnosti Apple, aby byly předem schváleny jako bezpečné.

Pokud Gatekeeper uvidí, že aplikace byla notářsky ověřena, ví, že ji při každém spuštění nemá skenovat na přítomnost malwaru. Od macOS Catalina musí každý vývojář, který svou aplikaci podepsal certifikátem Apple Developer ID, také odeslat své aplikace k notářskému ověření společností Apple, aby prošly kontrolami Gatekeepera. To znamená více byrokracie a obruče pro vývojáře, ale více klidu pro spotřebitele.

Pamatujte, že stále můžete instalovat a spouštět aplikace, které nejsou podepsané certifikáty vývojáře nebo stažené z Mac App Store:

Spusťte aplikaci, kterou se pokoušíte spustit, a potvrďte varování Gatekeepera, které brání spuštění aplikace.
Přejděte do Předvolby systému > Zabezpečení a soukromí > Obecné a ve spodní části obrazovky vyhledejte poznámku o zamítnutí spuštění aplikace.
Kliknutím na „Přesto otevřít“ obejdete Gatekeeper a spustíte aplikaci.

Obejít Gatekeepera s

Aktivační zámek přichází na Mac s čipem T2

Aktivační zámek byl poprvé přidán do iPhonů, aby odradil zloděje. Tato funkce uzamkne jakékoli zařízení iOS k vašemu Apple ID a vyžaduje, abyste se přihlásili pomocí svých přihlašovacích údajů, pokud chcete obnovit zařízení do továrního nastavení. To proto, aby vám zloděj nemohl ukrást telefon nebo tablet, obnovit jej do továrního nastavení a následně jej prodat jako použité zařízení.

Stejná technologie se nyní dostává do macOS Catalina. Funguje to pouze v případě, že váš Mac má čip T2 od společnosti Apple, což je kus křemíku, který spojuje „řadič správy systému, procesor obrazového signálu, zvukový ovladač a ovladač SSD“ do jednoho kusu hardwaru. Čip T2 se aktuálně nachází na následujících počítačích Mac:

MacBook Pro 2018 nebo novější
MacBook Air 2018 nebo novější
iMac Pro (všechny modely)
Mac mini 2018 nebo novější

Chcete-li využít Zámek aktivace, ujistěte se, že je v části Předvolby systému > Apple ID > iCloud povolena služba „Najít můj Mac“. Pokud máte v úmyslu prodat svůj Mac, ujistěte se, že jste před tím deaktivovali službu „Find My Mac“. Před prodejem byste také měli přeinstalovat macOS a vymazat všechna osobní data.

Nejste si jisti, který Mac máte? Klikněte na logo Apple v levém horním rohu a poté vyberte „O tomto Macu“, abyste viděli rok, model a další technické specifikace.

„Find My“ vám pomůže najít zařízení a přátele

Apple přepracoval svou službu „Find My iPhone“ a přejmenoval ji na jednoduše „Find My“. Služba byla dříve dostupná pouze přes iCloud.com a prostřednictvím aplikací pro iPhone a iPad. Ale v macOS Catalina Apple zahrnul speciální aplikaci „Find My“ pro sledování všech vašich zařízení.

Nová aplikace zahrnuje možnost sledovat nejen zařízení propojená s vaším Apple ID, ale také vaše přátele. Dříve byla k tomuto účelu používána aplikace Apple „Find My Friends“, ale aplikace „Find My“ bude mít v budoucnu dvojí povinnost. Pomocí této aplikace můžete sdílet svou polohu kliknutím na „Sdílet moji polohu“, zadáním e-mailové adresy a kliknutím na Odeslat.

Pamatujte, že „Find My“ funguje pouze s ostatními uživateli Apple. Osoba, se kterou sdílíte svou polohu, bude k účasti potřebovat Apple ID a přístup ke službě „Find My“ buď prostřednictvím iPhonu, iPadu nebo Macu. Svou polohu můžete také sdílet pomocí svého iOS zařízení z aplikace Zprávy, což je obecně lepší nápad, protože většina z nás chodí se svými telefony a ne s MacBooky.

Kliknutím na kartu „Zařízení“ zobrazíte všechna svá zařízení spolu s jejich aktuálním a posledním známým umístěním. Kliknutím na zařízení jej vyberte a poté kliknutím na informační tlačítko „i“ zobrazíte další možnosti. V závislosti na zařízení můžete být schopni přehrát zvuk, označit zařízení jako ztracené a dokonce jej na dálku vymazat.

Všechny ty malé věci

Stejně jako u každého nového vydání macOS je zde spousta menších změn, kterých si možná zpočátku nevšimnete. Jednou z nejlepších je možnost schvalovat požadavky správce na Apple Watch. Pokud můžete pomocí Apple Watch odemknout svůj Mac, můžete je použít k udělení oprávnění správce k instalaci aplikací, mazání souborů a dalším.

Safari zvyšuje svou bezpečnostní hru tím, že vás informuje, pokud jsou vaše hesla příliš slabá. Safari také navrhne nová „silná“ hesla a uloží je do vaší klíčenky na iCloudu. Aplikace Poznámky vám nyní také umožní sdílet poznámky pouze pro čtení. Klikněte na tlačítko „Přidat lidi“ a poté změňte pole „Oprávnění“ na „Prohlížet mohou pouze lidé, které pozvete“, chcete-li sdílet poznámku bez plných oprávnění k zápisu.

To je jen několik změn v macOS Catalina, který je nyní k dispozici.