@scomper

Mac 的应用环境(三)安全、加密和备份

2014.07.19

安全、加密和备份

Mac 应用环境配置的最后一个部分,将着重介绍 Mac 中的一些和账户、数据安全有关的设置,以及使用 Time Capsule 进行备份需要考虑的问题,因为很多设置的调整和变更将对已有的数据造成影响,所以前期规划好以后能避免将来的被动。

  • 场景1,Time Machine 中选择加密备份,在已有历史备份的情况下,系统会询问你是删掉过去的重新备份,还是仅对新备份的内容加密;
  • 场景2,Time Capsule 中允许用户按设备密码访问(所有人通过一个密码访问磁盘)还是账号方式(每个人有自己的密码和磁盘独立空间)访问,如果你开始选择的是设备密码访问模式,那么当你改成按账户方式访问以后,因为使用模式的不同你会发现以前存储在硬盘中的内容都「不见」了;
  • 场景3,计算机上启用了 FileVault,但是备份到移动硬盘的数据没有加密,同事借你的移动硬盘使用,理论上是能访问你备份的所有文件的。

从大环境上来看,很多人只是注意到病毒对于 Mac OS X 的影响很小,一是现有病毒的趋利性明显,在用户群体和漏洞数量上 Windows 依旧是市场的主流,所以针对Mac的病毒很少;另外 Mac OS X 的用户权限管理也比 Windows 好很多,从而在这方面也能让人省心。不过病毒只是安全中的一个部分,理性的来看,所有安全产品,包括杀毒软件、防火墙等等,都只能降低风险。人才是计算机安全中最薄弱的一环,培养良好的使用习惯和安全意识才是最好的防护。

Mac 中安全方面的设置主要集中在几个地方,一个是「系统偏好设置」的「安全性与隐私」,另一个在 Safari 的密码管理,最后是应用程序文件夹「实用工具」中的「钥匙串访问」。

安全性与隐私的设置

修改密码

系统密码的修改就包含在「安全性与隐私」的「通用」选项卡中,可以通过这里修改系统的登录密码。

程序包的安全性

来自下载网站的安装包通常是最容易打破系统安全缺口的,所以这里的「允许从以下位置下载的应用程序」最好保持默认的设置「Mac App Store和被认可的开发者」。不过遇到国内的某些「知名」软件开发商时也有让人很无奈的情况,需要到「安全性与隐私」中解锁将允许条件临时改为「任何来源」。

安全性与隐私-程序安装源

防火墙

Mac 的防火墙是根据应用软件(而不是端口)来控制连接。默认设置是允许「自动允许已签名的软件接收传入连接」。

通过列表下方的「+−」号可以添加和删除其中的项目,或者设定允许还是阻止某个应用的网络通讯。一般情况下这里不用做修改,保证防火墙开启就可以了。

如果对安全性感到担忧,想防止其他人在网络上发现你的 Mac,可以勾选「启用秘密行动模式」,使攻击者更难发现你的 Mac。

防火墙界面

隐私设置

安装 Parallels Desktop、OnyX、PopClip、Moom 这类工具性质的软件时,应用程序需要通过「辅助功能」访问和控制 Mac。遇到这种情况,OS X 会弹出提示,需要你到「安全性与隐私」偏好设置中授予应用程序访问 Mac 的权限。

安全性与隐私-隐私
其他几项隐私设置内容都比较直观,由你决定允许应用程序合理的访问你的通讯录、定位服务、日历等。

FileVault

Mac 下对数据安全的维护主要靠两个手段:防范非授权读取敏感信息的钥匙串机制和防范离线读取(也就是把硬盘拆下来挂在别的机器上读取)的 FileVault。计算机登录口令、WIFI 密码这些属于前者,开启 FileVault 对整个硬盘分区进行加密、对备份加密、对移动硬盘或U盘加密属于后者。

就目前的计算机性能来看,启用 FileVault 后对计算机的性能影响基本可以忽略,所以是否启用完全取决于你对安全风险的个人评估。

OS X 中对内容的加密分几个层面,一个是在「安全性与隐私」中启用 FileVault 对整个硬盘进行加密;另一个就是整个备份数据的加密,还有就是对可移动存储设备的加密,最后是文件级别的利用 DMG 磁盘映像加密。

FileVault+加密备份

全盘加密和备份加密最好是配套的,否则容易形成漏洞。如果只是启用 FileVault,计算机本机的安全防护没有问题了,但是 Time Machine 备份不加密,那么能访问你备份移动硬盘的用户能看到你所有的文件。而且这种不对称的加密,还会影响使用体验,例如,Time Machine 中针对单个文件的时光隧道,就没法使用。

Time Machine-加密备份

如果电脑中存储了涉及商业机密、项目或者财务等敏感信息,建议选择「创建恢复密钥且不使用我的 iCloud 账户」,这种方式「要妥善保存好恢复密钥」才行,因为一旦你忘记密码以及恢复密钥,那么硬盘中的数据是无法解密和恢复的。一般移动办公,为了防止电脑遗失后被拆解挂载硬盘形式的数据丢失,启用 FileVault 加密时选择「允许我的 iCloud 账户解锁我的磁盘」就可以了,这样比较方便,记住 iCloud 密码就可以(这种方式整个安全都依赖 iCloud 账户,所以务必启用 iCloud 的两步验证)。

FileVault 的加密方式并不是对每个文件都逐一加密,而是对整个文件系统加密,包括启动分区。加密解密的方式是 On-the-fly, 对性能略有影响的,根据Wiki的介绍大约20%,只不过 Macbook 的 SSD 如此之快,一般用户基本感觉不到区别。

开启 FileVault 以后的变化

  1. 每次登录系统都必须输入密码,将不再能够自动登录。
  2. 加密后开机时按 option 键进入的磁盘选择界面中,原来能看到的恢复分区被隐藏了。
  3. 拿U盘引导(开机时按 option)进入磁盘工具界面,你会发现磁盘分区的图标是带密码锁的图标,要访问磁盘安装操作系统或者修复磁盘权限前都需要解锁磁盘,需要输入你的登录密码解锁。
  4. 使用迁移向导或从 Time Capsule 恢复系统时会要求验证密码,也就是账户的登录密码。

磁盘工具界面-解锁磁盘

OS X:关于 FileVault 2

Time Capsule 共享磁盘的访问

由「应用程序-实用工具-AirPort 实用工具」打开 Time Capsule 进入设置界面。保护磁盘密码有两种类型的设置,一种是磁盘密码、设备密码,另一种是账户密码。

如果是在公司与他人公用 Time Capsule,选择「使用账户」,选择这种方式需要给每一个登录用户添加账户名和密码并授权是否可以读写,设置完成后利用 Time Capsule 剩下的磁盘空间给账户使用者分配同名的个人文件夹和公共文件夹。这意味着如果已经按「使用设备密码」的方式使用并存储占用了一定的磁盘空间,那么转成账户模式时已经占用的空间内容将隐藏。

Time Capsule磁盘访问授权模式

如果是个人或家庭使用可以选择「使用设备密码」的方式,大家使用同一个访问密码访问共享磁盘,这种情况下,Time Machine 的备份也是以稀疏磁盘映像文件的形式保存在磁盘上。所以,Time Machine 备份时最好选择「加密备份」。

移动硬盘和 U 盘的加密

需要使用移动硬盘或 U 盘保存一些敏感性的内容时,可以选择对U盘进行加密。

移动硬盘和U盘的加密

  1. 插上 U 盘后会在桌面显示其图标,右键选择「对磁盘进行加密」;
  2. 输入密码和密码提示选择「对磁盘进行加密」;
  3. 加密后的 U 盘使用时会弹出密码输入框,如果是在本机上使用可以勾选「在我的钥匙串中记住密码」提高便捷性。

容量比较大的移动硬盘或U盘,可以分区,仅对其中一个区进行加密。

利用磁盘映像文件保存私有数据

创建磁盘映像文件,对磁盘映像进行加密处理,然后把需要保护的数据和文件放到这个磁盘映像中即可。

由 Finder 中打开「应用程序-实用工具-磁盘工具」,点击新建映像,在加密选项处选择 256 位 AES 加密,映像文件选择「稀疏磁盘」(稀疏磁盘映像会随存储的内容的多少自动扩展)。创建映像时输入两次密码,即可创建加密的磁盘映像文件。

创建磁盘映像文件

在创建时最好不要选择「在我的钥匙串中记住密码」,这样可以每次打开这个磁盘映像文件时都需要输入密码,可以达到最佳保护数据的作用。

钥匙串访问中的证书

钥匙串是 OS X 中的密码管理系统,保存着你访问过的网站、FTP 服务器、SSH 帐户、网络共享、无线网络、Time capsule、加密磁盘镜像等内容的密码。通常遇到因为 Wi-Fi 记住了错误的密码导致无法访问时,也是到这里找到Wi-Fi的密码删除掉来解决问题。

除了密码,钥匙串中还管理着另一个重要的内容-证书。在 Web 浏览中,为了保证页面中用户信息的安全(如登录信息填写页面),都会使用 HTTPS 协议以及证书来保证安全。 如果浏览器发现网站证书有问题会弹出一个警告信息:该网站的证书存在问题,是否继续访问?

由于是一种信任关系,所以证书签发机构的公众信任度、认可度都很重要。如果原本属于非盈利与服务的机构参与到市场活动当中来,因为盈利的关系就会导致授权的泛滥,针对这样的根证书,设置为「不信任」才能防范钓鱼、挂马一类的垃圾网站。

打开 Finder,定位到「应用程序-实用工具-钥匙串访问」,选择「系统根证书」和下面的「证书」项,找到并双击打开以下两项设置为「永不信任」。

· China Internet Network Information Center
· CNNIC ROOT

钥匙串访问

设置为不信任不会影响你访问各种网站,只有遇到CNNIC签发证书的网站时会弹出警告信息需要你确认才可以继续访问。

一些安全习惯的建议

  1. 离开座位时,合盖或者让计算机锁屏。利用触发角(「系统偏好设置-Mission Control-触发角」)的设置可以非常方便的实现睡眠。
  2. 开启 Apple ID 的两步验证,确保 Apple ID 帐户安全。
    • 前往「我的 Apple ID」,选择「管理您的 Apple ID」,然后登录。
    • 选择「密码和帐户安全」。
    • 在「两步式验证」下,选择「使用入门」并按照屏幕上的说明操作。
  3. 使用OS X 自带了密码管理器「钥匙串」,尽量为各种网站生成唯一的高强度密码,并将这些密码存储在 iCloud 钥匙串中,而不是在每个网站都使用相同的密码。
  4. 开启软件更新功能,一旦系统和软件提示有更新,及时进行更新和漏洞修补;
  5. 不连接公共 WIFI,如果需要连接的话同时开启 VPN 服务来访问你的网站;
  6. 浏览一些担心其安全性的网站时,以 Safari 隐私模式的方式浏览;
  7. 其他人临时需要使用你的电脑时,转为客人账户登录;
  8. Mac 中使用虚拟机时,确保虚拟机和 Mac 主机公用文档文件夹,从而保证虚拟机中保存的文档也会受到 Time Machine 的保护;
  9. OS X 的开发版是针对开发人员测试的,不要装到你的工作用机上,如果想体验和尝鲜,简单的方式是装到移动硬盘上。

--「壹页单章」会员计划 --

Comments
Write a Comment