Введение / Зачем это нужно
macOS славится встроенными механизмами безопасности, но для максимальной защиты требуется ручная настройка нескольких ключевых компонентов. Этот гайд проведёт вас через основные шаги: шифрование диска, фильтрацию сетевого трафика, защиту системных файлов, контроль над установкой приложений и управление ключами доступа. После выполнения вы получите систему, устойчивую к потере данных, несанкционированному доступу и атакам.
Требования / Подготовка
Перед началом убедитесь, что:
- У вас установлена macOS 12 Monterey или новее.
- Вы вошли под учётной записью с правами администратора.
- Создана резервная копия важных данных (например, через Time Machine) — некоторые настройки потребуют перезагрузки.
- Доступ к стабильному интернету для загрузки обновлений.
Шаг 1: Включение FileVault для шифрования диска
FileVault использует AES-128-XTS для шифрования всего диска. Если Mac потерян или украден, данные останутся недоступными без пароля.
- Откройте Системные настройки → Защита и безопасность → FileVault.
- Нажмите Включить FileVault.
- Выберите метод разблокировки: пароль учётной записи или iCloud-учётная запись. Для безопасности лучше использовать пароль.
- Начнётся процесс шифрования. Время зависит от объёма диска и активности системы. Не прерывайте процесс.
💡 Совет: Если на Mac несколько учётных записей, добавьте их в список пользователей, способных разблокировать диск, через кнопку «Включить пользователей…».
Альтернативно через Terminal (требует пароль администратора):
sudo fdesetup enable
Шаг 2: Настройка Firewall для сетевой защиты
Встроенный Firewall фильтрует входящие подключения, блокируя несанкционированный доступ к сетевым службам.
- В Системные настройки → Сеть выберите активное подключение (Wi-Fi или Ethernet).
- Нажмите кнопку Firewall.
- Убедитесь, что Firewall включён (зелёный индикатор). Если нет, нажмите Включить.
- Нажмите Параметры для детальной настройки:
- Автоматически разрешать встроенное программное обеспечение — оставьте включённым.
- Автоматически разрешать загруженное подписанное программное обеспечение — включите.
- Включить стелс-режим — рекомендуется для скрытия Mac от сетевых сканеров.
- Добавьте приложения, которым требуется входящий доступ (например, игровые серверы), нажав +.
Проверьте статус Firewall в Terminal:
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate
Вывод 1 означает включён.
Шаг 3: Проверка и включение System Integrity Protection (SIP)
SIP защищает системные каталоги (например, /System, /usr) от изменений, даже с правами root. Это основа целостности macOS.
- Перезагрузите Mac и сразу нажмите
Command (⌘) + Rдля входа в Recovery Mode. - Откройте Утилиты → Терминал.
- Проверьте текущий статус:
Ожидаемый вывод:csrutil statusSystem Integrity Protection status: enabled. - Если SIP выключен, включите его:
csrutil enable - Перезагрузите Mac обычным способом.
⚠️ Важно: Включение SIP может нарушить работу сторонних утилит, модифицирующих систему (например, некоторые драйверы или старые версии Wine). Убедитесь в совместимости вашего ПО.
Шаг 4: Настройка Gatekeeper для контроля приложений
Gatekeeper проверяет цифровую подпись и нотариус приложений, блокируя потенциально вредоносное ПО.
- Откройте Системные настройки → Защита и безопасность → Общие.
- В разделе Разрешение загрузки приложений выберите:
- App Store — только официальный магазин.
- App Store и проверенные разработчики — оптимальный баланс (рекомендуется).
- Везде — отключает проверки, не рекомендуется.
- Для отдельных приложений из неизвестных источников можно добавить исключение: при попытке запуска появится предупреждение, нажмите Открыть всё равно.
Через Terminal можно изменить настройку:
sudo spctl --master-enable # Включить Gatekeeper (App Store и проверенные разработчики)
Полное отключение (не рекомендуется):
sudo spctl --master-disable
Шаг 5: Установка пароля для ключей доступа (Keychain Access)
Ключи доступа в Keychain Access хранят пароли, сертификаты и Secure Notes. Пароль добавляет слой защиты при доступе к этим данным.
- Запустите Keychain Access (через Spotlight или /Программы/Утилиты).
- В меню выберите Служба → Установить пароль для ключей доступа.
- Введите новый пароль (рекомендуется использовать тот же, что и для учётной записи, или более сложный).
- Подтвердите пароль.
- Теперь при каждом доступе к ключам (например, при автозаполнении пароля в браузере) будет запрашиваться пароль.
💡 Совет: Пароль ключей доступа невозможно восстановить. Запишите его в надёжном месте или используйте менеджер паролей (например, Bitwarden или 1Password).
Шаг 6: Включение автоматических обновлений
Регулярные обновления закрывают известные уязвимости. Настройте автоматическую установку.
- В Системные настройки → Обновление системы.
- Включите переключатели:
- Автоматически обновлять мои Mac.
- Автоматически обновлять приложения из App Store.
- Автоматически устанавливать обновления безопасности.
- Нажмите Дополнительно, чтобы запланировать время установки (например, ночью).
Через Terminal:
sudo softwareupdate --schedule on # Включить автоматические обновления
Проверка результата
После настройки убедитесь, что все компоненты работают корректно:
- FileVault: Системные настройки → Защита и безопасность → FileVault. Статус должен быть «FileVault включён».
- Firewall: Системные настройки → Сеть → Firewall. Индикатор зелёный. Или в Terminal:
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstateвернёт1. - SIP: В Terminal выполните
csrutil status. Должно бытьenabled. - Gatekeeper: Системные настройки → Защита и безопасность → Общие. Раздел «Разрешение загрузки приложений» установлен на «App Store и проверенные разработчики» или строже.
- Ключи доступа: Попробуйте открыть Keychain Access — должен запросить пароль.
- Обновления: Системные настройки → Обновление системы. Все переключатели включены.
Комплексная проверка через Terminal:
# FileVault
sudo fdesetup status
# Firewall
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate
# SIP
csrutil status
# Gatekeeper
spctl --status
Возможные проблемы
FileVault не включается
- Недостаточно свободного места: для шифрования требуется 10-20% свободного места. Освободите дисковое пространство.
- Восстановление не настроено: убедитесь, что в Системные настройки → Apple ID → iCloud включено «Восстановление с iCloud» или создана локальная загрузочная копия.
Firewall блокирует нужное приложение
- Откройте Системные настройки → Сеть → Firewall → Параметры и добавьте приложение в список «Разрешить входящие подключения».
- Временное отключение Firewall для диагностики:
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate off(не рекомендуется для постоянного использования).
SIP не включается или отключается после обновления
- Убедитесь, что вы находитесь в Recovery Mode (Command+R при загрузке).
- Некоторые утилиты (например, для установки неофициальных драйверов) могут отключать SIP. Проверьте, не используются ли такие инструменты.
- Если проблема сохраняется, выполните сброс NVRAM: выключите Mac, включите и сразу нажмите Option+Command+P+R на 20 секунд.
Gatekeeper пропускает вредоносное приложение
- Хотя Gatekeeper проверяет подпись, некоторые вредоносные программы могут быть подписаны. Дополнительно используйте антивирус для macOS (например, Malwarebytes) и не отключайте Gatekeeper полностью.
- Регулярно проверяйте список установленных приложений в «Программы» и удаляйте ненужные.
Забыли пароль ключей доступа
- К сожалению, пароль ключей доступа невозможно восстановить. Придётся сбросить ключевую цепочку: в Keychain Access меню «Служба» → «Сбросить ключевую цепочку по умолчанию». Это удалит все сохранённые пароли и сертификаты. Рекомендуется использовать менеджер паролей для хранения критически важных данных.
Автоматические обновления не работают
- Убедитесь, что Mac подключён к интернету и не в режиме энергосбережения (подключён к питанию).
- Проверьте историю обновлений:
sudo softwareupdate --history. - Если обновления зависают, перезагрузите Mac и попробуйте снова. В крайнем случае установите обновления вручную с сайта Apple.