Средства защиты конечного пользователя
OS X и iOS имеют много встроенных средств защиты, включая цифровые подписи промышленного стандарта и шифрование для Почтового приложения Apple и аутентификацию для веб-браузера Safari.
В iOS эти функции в основном невидимы для пользователя, потому что безопасность обрабатывается системой без вмешательства пользователя.
В OS X следующие четыре функции являются самыми видимыми пользователям:
Предпочтительная область Системы безопасности
FileVault, который пользователи могут сконфигурировать через предпочтительную область Системы безопасности
Область установок системы Учетных записей
Приложение Доступа Цепочки для ключей
Эти функции описаны в этом приложении.
Предпочтения системы безопасности
Предпочтения системы безопасности в OS X позволяют пользователю сконфигурировать FileVault и управлять некоторыми аспектами авторизации на компьютере (рисунок b-1).
Предпочтительное диалоговое окно Системы безопасности позволяет пользователю указать, должна ли требоваться авторизация:
Когда компьютер сначала загружается (автоматический вход в систему)
Разбудить компьютер от сна или экранной заставки
Разблокировать каждое блокируемое системное предпочтение
У основания диалогового окна значок блокировки, предоставленный представлением авторизации (см. Безопасные пользовательские интерфейсы Разработки в Безопасном Руководстве по Кодированию). Когда этот значок показывает закрытую блокировку, авторизация требуется, прежде чем пользователь может изменить настройки в этой области установок системы.
FileVault и зашифрованные тома
Когда пользователь включает FileVault (см. рисунок b-1), OS X использует 128-разрядное Шифрование AES для шифрования всего на корневом объеме (или всего в домашней папке пользователя до OS X v10.7).
Система автоматически дешифрует файлы на доступ, если авторизованный пользователь зарегистрирован, но файлы остаются зашифрованными на диске. Если все следующее является истиной, это обеспечивает максимальную безопасность для файлов пользователя:
Все уязвимые данные хранятся на зашифрованном томе (или в корневом каталоге пользователя до OS X v10.7).
Полномочия установлены соответственно защитить данные от других пользователей в системе.
Автоматический вход в систему отключен.
Пароль требуется, чтобы просыпаться от сна или просыпаться от экранной заставки.
Пользователь может также создать новые внешние объемы с шифрованием FileVault с помощью Дисковой утилиты. Также, если пользователь хочет надежно хранить файлы где-нибудь кроме FileVault-защищенного объема (такой как на внешнем жестком диске или съемных носителях), пользователь может создать зашифрованный образ диска.
Для получения дополнительной информации о FileVault, посмотрите Статью базы знаний Apple HT4790.
Установки системы учетных записей
Когда пользователь устанавливает OS X на компьютере, тот пользователь автоматически становится участником admin группа (описанный в Admin Group). Впоследствии, пользователь или любой другой участник admin группа может использовать области установок системы Учетных записей для добавления новых пользователей к системе.
Для каждого нового пользователя администратор может указать, должен ли тот пользователь быть участником admin группа (рисунок b-2).
Если новый пользователь не является участником admin группа, администратор может ограничить характеристики системы и приложения, к которым у того пользователя есть доступ (рисунок b-3).
Пользователи в admin группа может включить шифрование FileVault.
Доступ цепочки для ключей
Доступ цепочки для ключей является утилитой OS X, позволяющей пользователям видеть и изменить пароли, сертификаты и другие данные, хранящиеся в их цепочках для ключей.
С Доступом Цепочки для ключей могут пользователи:
Создайте новые цепочки для ключей
Добавьте и удалите элементы цепочки для ключей
Заблокируйте и разблокируйте цепочки для ключей
Выберите одну цепочку для ключей, чтобы быть значением по умолчанию
Посмотрите, какие сертификаты доступны для использования по электронной почте и веб-приложений, кому принадлежит каждый сертификат, и кто выпустил каждый сертификат
Посмотрите и измените пароли, сохраненные для различных приложений, инструментов и веб-сайтов
Надежно сохраните другие секреты, такие как пароли, номера кредитных карт и примечания
Когда цепочка для ключей заблокирована и приложение, или другой инструмент должен получить доступ к элементу цепочки для ключей, Keychain Services предлагает пользователю пароль.
Кроме того, меню Keychain Access включает элементы для открытия утилит Certificate Assistant и Kerberos Ticket Viewer. Ассистент Сертификата позволяет пользователям создать сертификаты, сертификаты запроса от центра сертификации, создать пару «открытый/закрытый ключ» или оценить сертификат. Билет Kerberos Средство просмотра позволяет пользователям видеть любые билеты Kerberos в использовании в системе и позволяет им возобновить или уничтожить билет или изменить пароль билета. Kerberos описан более подробно в Аутентификации, Авторизации и Руководстве по Полномочиям.
Почта
Почтовое приложение Apple и другие почтовые приложения могут извлечь открытый ключ из сертификата подписания о любой электронной почте со знаком и использовать его для шифрования сообщений, отправленных владельцу того ключа. Посмотрите Цифровые подписи в Руководстве по Криптографическим службам для получения дополнительной информации о цифровых подписях и посмотрите Справку в Почтовом приложении для подробных данных об отправке зашифрованного электронного письма.