Средства защиты конечного пользователя

OS X и iOS имеют много встроенных средств защиты, включая цифровые подписи промышленного стандарта и шифрование для Почтового приложения Apple и аутентификацию для веб-браузера Safari.

В iOS эти функции в основном невидимы для пользователя, потому что безопасность обрабатывается системой без вмешательства пользователя.

В OS X следующие четыре функции являются самыми видимыми пользователям:

Эти функции описаны в этом приложении.

Предпочтения системы безопасности

Предпочтения системы безопасности в OS X позволяют пользователю сконфигурировать FileVault и управлять некоторыми аспектами авторизации на компьютере (рисунок b-1).

  Предпочтения Системы безопасности рисунка b-1
Security system preferences

Предпочтительное диалоговое окно Системы безопасности позволяет пользователю указать, должна ли требоваться авторизация:

У основания диалогового окна значок блокировки, предоставленный представлением авторизации (см. Безопасные пользовательские интерфейсы Разработки в Безопасном Руководстве по Кодированию). Когда этот значок показывает закрытую блокировку, авторизация требуется, прежде чем пользователь может изменить настройки в этой области установок системы.

FileVault и зашифрованные тома

Когда пользователь включает FileVault (см. рисунок b-1), OS X использует 128-разрядное Шифрование AES для шифрования всего на корневом объеме (или всего в домашней папке пользователя до OS X v10.7).

Система автоматически дешифрует файлы на доступ, если авторизованный пользователь зарегистрирован, но файлы остаются зашифрованными на диске. Если все следующее является истиной, это обеспечивает максимальную безопасность для файлов пользователя:

Пользователь может также создать новые внешние объемы с шифрованием FileVault с помощью Дисковой утилиты. Также, если пользователь хочет надежно хранить файлы где-нибудь кроме FileVault-защищенного объема (такой как на внешнем жестком диске или съемных носителях), пользователь может создать зашифрованный образ диска.

Для получения дополнительной информации о FileVault, посмотрите Статью базы знаний Apple HT4790.

Установки системы учетных записей

Когда пользователь устанавливает OS X на компьютере, тот пользователь автоматически становится участником admin группа (описанный в Admin Group). Впоследствии, пользователь или любой другой участник admin группа может использовать области установок системы Учетных записей для добавления новых пользователей к системе.

Для каждого нового пользователя администратор может указать, должен ли тот пользователь быть участником admin группа (рисунок b-2).

  Область Security установок системы Учетных записей рисунка b-2
Accounts system preferences Security pane

Если новый пользователь не является участником admin группа, администратор может ограничить характеристики системы и приложения, к которым у того пользователя есть доступ (рисунок b-3).

  Область Limitations установок системы Учетных записей рисунка b-3
Accounts system preferences Limitations pane

Пользователи в admin группа может включить шифрование FileVault.

Доступ цепочки для ключей

Доступ цепочки для ключей является утилитой OS X, позволяющей пользователям видеть и изменить пароли, сертификаты и другие данные, хранящиеся в их цепочках для ключей.

С Доступом Цепочки для ключей могут пользователи:

Когда цепочка для ключей заблокирована и приложение, или другой инструмент должен получить доступ к элементу цепочки для ключей, Keychain Services предлагает пользователю пароль.

Кроме того, меню Keychain Access включает элементы для открытия утилит Certificate Assistant и Kerberos Ticket Viewer. Ассистент Сертификата позволяет пользователям создать сертификаты, сертификаты запроса от центра сертификации, создать пару «открытый/закрытый ключ» или оценить сертификат. Билет Kerberos Средство просмотра позволяет пользователям видеть любые билеты Kerberos в использовании в системе и позволяет им возобновить или уничтожить билет или изменить пароль билета. Kerberos описан более подробно в Аутентификации, Авторизации и Руководстве по Полномочиям.

Почта

Почтовое приложение Apple и другие почтовые приложения могут извлечь открытый ключ из сертификата подписания о любой электронной почте со знаком и использовать его для шифрования сообщений, отправленных владельцу того ключа. Посмотрите Цифровые подписи в Руководстве по Криптографическим службам для получения дополнительной информации о цифровых подписях и посмотрите Справку в Почтовом приложении для подробных данных об отправке зашифрованного электронного письма.