- Сообщения
- 5.680
- Реакции
- 3.518
Хост-ОС macOS:
Примечаиние. В настоящее время это руководство не поддерживает MacBook ARM M1 (пока). Из-за того, что Virtualbox еще не поддерживает эту архитектуру. Однако это возможно, если вы используете коммерческие инструменты, такие как VMWare или Parallels, но они не рассматриваются в этом руководстве.Как упоминалось ранее, мы не рекомендуем использовать ваш ежедневный ноутбук для важных дел. Или, по крайней мере, мы не рекомендуем использовать для них установленную на месте ОС. Это может привести к нежелательным утечкам данных, которые могут быть использованы для вашей деанонимизации. Если у вас есть специальный ноутбук для этого, вам следует переустановить свежую чистую ОС. Если вы не хотите стирать свой ноутбук и начинать заново, вам следует рассмотреть маршрут Tails или действовать на свой страх и риск.
Я также рекомендую выполнить первоначальную установку полностью в автономном режиме, чтобы избежать утечки данных.
Никогда не входите в свою учетную запись Apple, используя этот Mac.
Во время установки:
- Оставайтесь в сети
- Отключить все запросы на обмен данными при появлении запроса, включая службы определения местоположения
- Не входить в систему с помощью Apple
- Не включайте Сири
Укрепление macOS:
В качестве легкого введения для новых пользователей macOS рассмотрите
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Теперь, чтобы более подробно изучить защиту и укрепление вашей macOS, мы рекомендуем прочитать это руководство, в котором рассматриваются многие вопросы:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Вот основные шаги, которые вы должны предпринять после автономной установки:
ВКЛЮЧИТЕ ПАРОЛЬ ПРОШИВКИ С ОПЦИЕЙ «DISABLE-RESET-CAPABILITY»:
Во-первых, вы должны установить пароль прошивки, следуя этому руководству от Apple:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
К сожалению, некоторые атаки все еще возможны, и злоумышленник может отключить этот пароль, поэтому вам также следует следовать этому руководству, чтобы предотвратить отключение пароля прошивки от кого-либо, включая Apple:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
ВКЛЮЧИТЬ ГИБЕРНАЦИЮ ВМЕСТО СНА:
Опять же, это делается для предотвращения некоторых атак с холодной загрузкой и злобных дев, отключая вашу оперативную память и очищая ключ шифрования, когда вы закрываете крышку. Вы всегда должны либо переходить в спящий режим, либо выключаться. В macOS функция гибернации даже имеет специальную опцию для удаления ключа шифрования из памяти при переходе в спящий режим (в то время как в других операционных системах вам, возможно, придется подождать, пока память не исчезнет). Опять же, в настройках нет простых вариантов сделать это, поэтому вместо этого нам придется сделать это, выполнив несколько команд, чтобы включить спящий режим:- Откройте терминал
- Бежать:sudo pmset -a destroyfvkeyonstandby 1
- Эта команда укажет macOS уничтожить ключ Filevault в режиме ожидания (спящий режим).
- Бежать:sudo pmset -a hibernatemode 25
- Эта команда предписывает macOS отключать память во время сна вместо перехода в гибридный режим гибернации, при котором память остается включенной. Это приведет к более медленному пробуждению, но увеличит срок службы батареи.
Кроме того, вам также следует настроить автоматический спящий режим («Настройки»> «Энергия»), чтобы ваш MacBook автоматически переходил в спящий режим, если его оставить без присмотра.
ОТКЛЮЧИТЕ НЕНУЖНЫЕ СЛУЖБЫ:
Отключите некоторые ненужные настройки в настройках:- Отключить Bluetooth
- Отключить камеру и микрофон
- Отключить службы определения местоположения
- Отключить аирдроп
- Отключить индексирование
ПРЕДОТВРАЩЕНИЕ ВЫЗОВОВ APPLE OCSP:
Это печально известные вызовы «неблокируемой телеметрии» из macOS Big Sur, раскрытые здесь:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Вы можете заблокировать отчеты OCSP, выполнив следующую команду в Терминале:
- sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
До вас действительно. Мы бы заблокировали его, потому что нам вообще не нужна телеметрия от моей ОС к материнскому кораблю без моего специального согласия. Никто.
ВКЛЮЧИТЬ ПОЛНОЕ ШИФРОВАНИЕ ДИСКА (FILEVAULT):
Вы должны включить полное шифрование диска на своем Mac с помощью Filevault в соответствии с этой частью руководства:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Будьте осторожны при включении. Не храните ключ восстановления в Apple, если будет предложено (это не должно быть проблемой, поскольку на этом этапе вы должны быть в автономном режиме). Вы не хотите, чтобы у третьих лиц был ваш ключ восстановления.
РАНДОМИЗАЦИЯ MAC-АДРЕСОВ:
К сожалению, macOS не предлагает собственного удобного способа рандомизации вашего MAC-адреса, поэтому вам придется делать это вручную. Это будет сбрасываться при каждой перезагрузке, и вам придется каждый раз делать это заново, чтобы убедиться, что вы не используете свой фактический MAC-адрес при подключении к различным Wi-Fi.Вы можете сделать это, выполнив следующие команды в терминале (без круглых скобок):
- (Выключите Wi-Fi)networksetup -setairportpower en0 off
- (Изменить MAC-адрес)sudo ifconfig en0 ether 88:63:11:11:11:11
- (Включите Wi-Fi снова)networksetup -setairportpower en0 on
