欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

macOS新版本10.15 Catalina的7点重大安全改进

来源:本站整理 作者:佚名 时间:2019-06-11 TAG: 我要投稿

正如我们所期待的那样,在WWDC 2019上,发布了关于下一版本Apple桌面操作系统macOS 10.15 Catalina的主要展示。考虑到在此前的几个正式版本中接连发现的安全问题,包括令人震惊的严重漏洞,以及重复出现的内置Mac安全工具安全机制绕过问题,Catalina在安全性方面得到了Apple工程师的重点关注,这一点也就显得不足为奇了。在macOS 10.15版本中,我们发现了一些重大的改进,可能将会影响部署安全解决方案的企业和开发人员。在这篇文章中,我们对目前新版本操作系统中所公开的安全机制进行了总结,同时深入解读这些改进会如何影响到最终用户。

一、告别Kexts,迎接SystemExtensions
从macOS 10.15 Catalina开始,安全供应商就被要求迁移到新的终端安全(EndpointSecurity)和系统扩展(SystemExtensions)框架,并且不再使用现在已经正式弃用的内核扩展。在Catalina版本中,Apple已经引入了系统扩展来取代内核扩展。这一思路旨在为开发人员提供类似的功能,从而完全在用户空间运行代码,而不再是直接在内核中。
重要的是,与去年Apple改变Safari扩展(Safari Extensions)的方式相同,系统扩展必须作为主机应用程序的一部分,不允许使用独立存在的系统扩展。这样的要求具有以下优点:由于系统扩展本身在主包(Host Bundle)之中,因此不需要安装应用程序或包。同样,卸载过程也非常便捷,因为只需要将应用程序移动到“废纸篓”即可停用系统扩展,当然,在这里已经删除的应用程序需要是最新并且唯一的应用。
“立即生效”可能会影响企业的工作流程,为其带来一个重要的变化,特别是对于使用MDM或托管配置文件的场景。尽管内核扩展在macOS Catalina上仍然可用,但现在,一旦安装任何新的kexts后,都需要重新启动。
由于kexts被弃用,一些云存储提供商(例如:Google、Dropbox、OneDrive、BoxDrive)的FileProvider API也随之需要进行更新。

这个新的API将帮助云存储提供商由内核扩展转换到最新的方式,同时保证其服务仍然能够集成在Finder中。无需内核扩展,现在这些提供商可以通过Mac的App Store交付他们的应用程序。
对于企业来说,弃用内核扩展是一个非常大的变化,但从长远来看,是一个非常不错的改进。实际上来说,开发人员比企业要承受更大的挑战,除非运行的是自定义内核的扩展。对于目前依赖于kexts提供服务的任何人来说,仍然具有一段窗口期,可以尝试弃用旧的机制,并使用新的终端安全(EndpointSecurity)和系统扩展(SystemExtensions)框架。我们都希望,Apple公司在关上了一扇窗的同时,能够用这项新技术为我们开启一扇通往光明的大门。
二、新的文件系统分区结构
在macOS Catalina中,Apple推出了一种新的文件系统分区结构。新的文件系统分区结构将一个分区作为包含操作系统本身的专用“只读”系统卷,并且与所有用户数据完全分开。除了经过Apple签名的代码(例如:系统更新)之外的任何内容都无法覆盖操作系统文件。这样的机制,基本上使系统完整性保护到达了一个新的水平。现在,整个分区都是封闭的,而不再仅仅是在未受保护的分区中仅仅保护特定位置的内容。
由于在改动后,安装路径不再像之前那么明显,因此可能会存在一些初步的混淆。例如,用户数据位于何处?在此前版本中,用户数据位于/Users/。但在Catalina新版本中,用户数据将位于/System/Volumes/Data/Users/。传统意义上的根目录/,现在将作为一个系统专用的卷。
对于企业来说,最开始要习惯修改后的路径命名约定可能会有一些困难,但从安全性原则上来看,将系统和用户数据的分区之间划分出明确的界限可能是一个良好的举措。这样一来,会使系统恢复和备份变得更加直接。Apple在先前的展示中表示,如果在安装第三方更新后出现问题,macOS Recovery将能够更轻松地从快照恢复。我们可以肯定,这一功能是依赖于新的磁盘分区方案。
三、Gatekeeper
在新版本操作系统之中,Gatekeeper的安全性也有所加强。现在,它已经不再仅局限于对应用程序源的检查。在macOS 10.14及更早版本中,Gatekeeper根据源管理下载,会区分为“仅来源于App Store”和“来源于App Store和受信任的开发人员”这两个类别。在macOS Catalina中,这两个类别仍然存在(实际上,通过命令行的方式,还可以选择第三个类别“运行任何来源的应用程序”),但改进后的Gatekeeper会不定时执行恶意内容扫描和签名验证,以检查代码是否被篡改。

重要的是,Apple表示他们将会扫描所有软件,无论是否隔离,都会对其进行恶意内容的检查。实际上,这一机制是否适用于未从Bundle运行的代码(例如:通过Curl下载的脚本和二进制文件)仍然有待观察。目前,根据前期的一些线索来判断,可能并非如此。有关扫描的确切工作方式和实际扫描内容的详细信息,将随着Catalina版本的正式发布而公开。它是否会比Xprotec更为强大,我们希望是如此。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载