Objavljeno: 30.9.2014 | Avtor: Boris Šavc | Monitor Oktober 2014 | Teme: mac, apple

Varnost na Macu

Prav vsakdo se rad počuti varnega. Ker je strah najmočnejše čustvo, se dotakne slehernega. V sodobnem računalništvu je skrb za varnost v ospredju, nič drugače ni v svetu jabolčnih naprav. Če ne želimo gole zadnjice deliti v paketu z žgečkljivimi posnetki slavnih, je dobro vedeti naslednjih nekaj nasvetov.

OS X je zelo varen operacijski sistem. V primerjavi z bolj razširjenimi Okni ima enakovredno zaščito, obenem pa je precej manj napadan. Vgrajeni požarni zid, omejevanje delovanja aplikacij in druga protivlomna orodja že s privzetimi nastavitvami udobno varujejo Mac pred morebitnimi grožnjami. Osnovno vprašanje, ki si ga v zvezi z varnostjo zastavi sleherni lastnik Applovega računala, je, ali potrebuje protivirusni program. Za razliko od uporabnikov naprav z operacijskim sistemom Windows, ljubitelji Maca za miren spanec dodatnih varnostnih programov ne potrebujejo.

Račun za goste je privzeto omogočena zmožnost operacijskega sistema OS X, ki obvaruje ljubljeni Mac pred nerodnostmi družinskih članov, prijateljev in znancev.

Račun za goste je privzeto omogočena zmožnost operacijskega sistema OS X, ki obvaruje ljubljeni Mac pred nerodnostmi družinskih članov, prijateljev in znancev.

Osnove

Osnovna priporočila o varni rabi računalnika so enaka ne glede na operacijski sistem, ki ga uporabljamo. Redno posodabljanje sistema, pazljivost ob izbiranju povezav v spletu in izbirčnost pri nalaganju dodatne programske opreme delajo čudeže. V OS X med nastavitvami System Preferences kar mrgoli najrazličnejših vnosov, ki dodatno zaščitijo računalniškega prijatelja. Nekateri zahtevnejši prijemi zahtevajo vnos upraviteljskega gesla. Če nastavitev tako overovljanje zahteva, se v levem spodnjem kotu prikaže ikona ključavnice s pripisom Click the lock to make changes. Kliknemo jo, nato vnesemo zahtevano geslo in že smo pooblaščeni za spreminjanje najbolj občutljivih nastavitev v operacijskem sistemu OS X.

Prvi pogoj za varno rabo računalnika in programov, nameščenih v njem, je redno posodabljanje operacijskega sistema in aplikacij. Programsko kodo lahko osvežujemo sami ali pa opravilo preložimo na vgrajene mehanizme, med katerimi prevladuje Software Update, ki se skriva pod ikono ugriznjenega jabolka. Apple posodobitve dostavlja prek tržnice Mac App Store. Da nas Mac o posodobitvah obvešča sam, moramo odkljukati nastavitev System Preferences/App Store/Automatically check for updates. Izberemo lahko prenašanje posodobitev v ozadju, samodejno nameščanje vseh prenesenih popravkov ali zgolj krpanje najresnejših sistemskih lukenj. Programe, ki smo jih kupili izven Applove uradne trgovine, posodabljamo sami. Če posamezna aplikacija tretje vrste samodejnega nadgrajevanja ne pozna, si moramo popravke z ustreznih spletnih strani razvijalcev prenesti ročno.

Uporabniško izkušnjo dela s sistemom OS X omejimo z uporabo starševskega nadzora. Čeprav je namenjen predvsem otrokom, pride prav tudi pri gradnji obzidja okoli trdnjave Mac.

Uporabniško izkušnjo dela s sistemom OS X omejimo z uporabo starševskega nadzora. Čeprav je namenjen predvsem otrokom, pride prav tudi pri gradnji obzidja okoli trdnjave Mac.

Vgrajeni požarni zid v OS X omejuje povezovanje posameznih aplikacij.

Vgrajeni požarni zid v OS X omejuje povezovanje posameznih aplikacij.

Zelo pomemben vidik računalniške varnosti ne glede na operacijski sistem, ki ga uporabljamo, so uporabniški računi. Upravljanje z njimi je v operacijskem sistemu OS X podobno delu s prijavami v Oknih. Večja razlika je v organizaciji posameznih nastavitev. Nekaj jih najdemo pod System Preferences/Users & Groups, nekaj v System Preferences/Security & Privacy. Med priročnejšimi je privzeta zmožnost začasnega prijavljanja. Prijava za gosta je omogočena pod System Preferences/Users & Groups/Guest User/Allow guests to log in to this computer. S pomočjo začasne prijave se družinski člani, prijatelji in znanci v računalnik neboleče prijavijo brez specifičnega uporabniškega računa. Prazna prijava jim omogoča povsem normalno delo. Začasni uporabniški račun se ob odjavi izbriše. Če želimo goste pri delu dodatno omejiti, uporabimo nastavitve System Preferences/Users & Groups/Guest User/Allow guests to log in to this computer/Enable parental controls/Open Parental Controls.

Starševski nadzor uporabimo v najrazličnejših primerih. Kot razkriva že ime, je namenjen predvsem staršem, ki ne želijo, da bi njihov otrok nenadzorovano brskal po spletu. Zmožnost se izkaže tudi pri uvajanju novih uporabnikov v jabolčni svet, nadzoru tujcev in še kaj bi se našlo. Do nastavitev pridemo z izbiro posameznega uporabniškega računa v System Preferences/Parental Controls. Računu z izbiro kolesca na dnu seznama uporabnikov določimo,  ali ga bomo upravljali na daljavo – Allow Remote Setup. Če izbiro potrdimo, lahko pravila starševskega nadzora spreminjamo od vsepovsod. Svežim prišlekom je jabolčni svet dobrodošlo približati z omejeno izkušnjo. Katere aplikacije jim bodo ob prijavi na voljo, izberemo v nastavitvah System Preferences/Parental Controls/Apps/Limit Applications/Allowed Apps. Poleg posameznih vnosov so nam v primeru programov s tržnice Mac App Store na voljo paketne omejitve glede na starost, najdemo jih v System Preferences/Parental Controls/Apps/Allow App Store Apps. Poleg aplikacij lahko poneumimo tudi raziskovalca Finder. Nastavitev System Preferences/Parental Controls/Apps/Use Simple Finder bo iz sistemske vrstice odstranila večino vnosov ter ponudila zgolj osnovno funkcionalnost, pisano na kožo začetniku.

Dostop do spleta tako otroku kot gostu omejimo z nastavitvijo System Preferences/Parental Controls/Web/Website Restrictions. Poleg neomejenega spletnega dostopa sta na voljo dve osnovni izbiri, samodejno blokiranje odraslih vsebin (Try to limit access to adult websites automatically) ter seznam dovoljenih spletišč (Allow access to only these websites). Prva pri omejevanju uporablja Applove filtre, druga pa za blokado zahteva ročno vnašanje varnih spletnih strani. Pod zavihkom System Preferences/Parental Controls/People uporabniku omejimo druženje med igranjem iger (Allow joining Game Center multiplayer games, Allow adding Game Center friends), pri elektronskem dopisovanju (Limit Mail to allowed contacts) in spletnemu čvekanju (Limit Messages to allowed contacts). Otroško odvisnost od računalnika nadzorujemo s System Preferences/Parental Control/Time Limits, kjer z Weekday time limits in Weekend time limits določimo dnevno časovno kvoto, ki je uporabnik ne more preseči, četudi bi se zaradi pomanjkanja večje doze računalništva na posamezen dan začel tresti kot šiba na vodi. Nastavitev Bedtime poskrbi, da je računalnik v nočnem času nedostopen. Zavihek System Preferences/Parental Control/Other je namenjen drugim omejitvam, ki izboljšajo varnost, ko je računalnik v rokah tretje osebe. Med dodatnimi nastavitvami ne manjkajo prepoved uporabe spletne kamere, prepoznave govora, omejevanje tiskalniških storitev, onemogočanje spreminjanja gesel, peke nosilcev CD ali DVD ter filter pri iskanju neznanih besed po slovarju. Kaj se s posameznim računom dogaja, najlaže izvemo, če pokukamo v dnevnike. Najdemo jih v System Preferences/Parental Controls/Logs v desnem spodnjem kotu kateregakoli od zgoraj naštetih zavihkov.

Če pozabimo uporabniško geslo, lahko šifrirane podatke odklenemo s kodo, ki jo dobimo ob vklopu storitve.

Če pozabimo uporabniško geslo, lahko šifrirane podatke odklenemo s kodo, ki jo dobimo ob vklopu storitve.

Nadzor pri nameščanju dodatnih aplikacij GateKeeper se skriva pod osnovnimi nastavitvami v razdelku Security & Privacy.

Nadzor pri nameščanju dodatnih aplikacij GateKeeper se skriva pod osnovnimi nastavitvami v razdelku Security & Privacy.

Naslednja stopnja pri utrjevanju jabolčne trdnjave je požarni zid. Priloženi v OS X resda ni tako zmogljiv kot sorodnik iz sveta Windows, a kljub temu zadostuje za najosnovnejše omrežne napade, ki bi drugače zlahka škodili jabolčnemu sistemu. Nastavitve požarnega zidu poiščemo pod System Preferences/Security & Privacy/Firewall. Z gumbom Turn On Firewall požarni zid zaženemo, nato z izbirami Firewall Options nastavimo finese. Požarni zid v OS X v osnovi deluje po istem načelu kot pripomoček v operacijskem sistemu Windows, povezave nadzoruje glede na aplikacijo, ki jih zahteva. Poleg posameznih vnosov ter prepovedi lahko z nastavitvijo System Preferences/Security & Privacy/Firewall/Firewall Options/Block all incoming connections prepovemo vse spletne povezave, razen najnujnejših. Za razliko od okenskega požarnega zidu jabolčno obarvani pripomoček izhodnih povezav ne preverja. Če bi bila taka potreba, svetujemo obisk tržnice Mac App Store, kjer podobnih pripomočkov ne primanjkuje.

Kljub pregovorni nesmiselnosti antivirusnih programov v sistemu OS X je vanj vgrajena osnovna zaščita pred programsko nadlogo. Gre za povsem osnovno zaščito, ki nas varuje pred neumnim početjem v spletu. Nekakšen oklep ne manjka niti dežurnemu spletnemu brskalniku Safari, v katerega je vgrajeno nemalo zvitih prijemov, ki med drugim onemogočajo zlonamerno delovanje javanskih programčkov.

Poleg znanih pripomočkov, ki ne manjkajo drugim operacijskim sistemom, ima Applov OS dve dobrodošli posebnosti, šifriranje podatkov in nadzor pri nameščanju dodatne programske opreme. Za prvo poskrbi FileVault, ki ga omogočimo z nastavitvijo System Preferences/Security & Privacy/FileVault/Turn On FileVault. Šifriranje ob pomoči pripomočka FileVault je zanesljivo in neproblematično, saj običajno ne obremenjuje sistema. Obenem vsebuje zaščito ob morebitni nezgodi, podatke lahko z unikatno kodo povrnemo tudi brez zahtevanega gesla. Če pozabimo oziroma izgubimo oboje, se od podatkov poslovimo za vedno.

Ker za vsakdanje delo ne potrebujemo uporabniškega računa z upraviteljskimi pooblastili, si za redno rabo omislimo okrnjen račun tipa Standard.

Ker za vsakdanje delo ne potrebujemo uporabniškega računa z upraviteljskimi pooblastili, si za redno rabo omislimo okrnjen račun tipa Standard.

GateKeeper je pripomoček, ki onemogoči nameščanje programov zunaj meja tržnice Mac App Store. V nastavitvah System Preferences/Security & Privacy/General določimo, ali bomo nameščali zgolj robo jabolčnih branjevcev (Allow apps downloaded from: Mac App Store), programe s tržnice ter izdelke preverjenih razvijalcev (Allow apps downloaded from: Mac App Store and identified developers) oziroma vse, kar nam pride na pot (Allow apps downloaded from: Anywhere). Privzeta nastavitev tujih aplikacij ne dovoljuje, to pa posledično zmanjša možnosti za vdor nezaželene programske opreme. Svetujemo, da nastavitev pustimo pri miru. Zaščito lahko, če želimo namestiti program, ki je Applu tuj, mi pa vemo, da je varen, zaobidemo z navezo tipke Alt in izbire želenega namestitvenega programa. S klikom Alt in izbiro Open sistemu dopovemo, da se tveganja ob nameščanju tujka zavedamo, a slednjega kljub temu želimo na ljubljenem Macu.

Podrobnosti

Ob prvem zagonu jabolčnega operacijskega sistema je edina varnostna spodbuda, na katero naletimo, zahteva po vnosu uporabniškega gesla. Pomočnik, ki nam pri namestitvi in nastavljanju svežega sistema pomaga, o drugih zmožnostih molči. Ker jih je kljub temu precej in so zelo dobrodošle po najrazličnejših scenarijih, od dela v spletni kavarni do učenja v knjižnici, si jih ogledamo v naslednjih nekaj nasvetih.

Prvo, kar toplo priporočamo vsem svežim lastnikom računala z OS X, je izklop samodejnega prijavljanja v operacijski sistem. Samodejno prijavo onemogočimo z nastavitvijo System Preferences/Users & Groups/Login Options/Off. Enako nespameten je prikaz uporabniškega imena ob prijavljanju z osebnim računom. Z vidika varnosti je bolje, če ob prijavi sistem zahteva vnos obeh prijavnih podatkov. Vnos tako uporabniškega imena kot tudi gesla omogoči nastavitev System Preferences/Users & Groups/Show fast user switching menu as Icon.

Za gesla v OS X skrbi upravitelj Keychain Access.

Za gesla v OS X skrbi upravitelj Keychain Access.

Deljenje datotek, zaslona, tiskalnikov in še česa je lahko zelo nevarno početje.

Deljenje datotek, zaslona, tiskalnikov in še česa je lahko zelo nevarno početje.

Vsakdanja raba računala ne zahteva upraviteljskih privilegijev, zato je pametno odpreti uporabniški račun, ki upraviteljskih zmožnosti nima, in ga uporabljati za običajna računalniška opravila. Z upraviteljskim računom in izbiro System Preferences/Users & Groups/+ ustvarimo novega uporabnika tipa Standard in mu odstranimo kljukico pred vnosom System Preferences/Users & Groups/Password/Allow user to administer this computer. Da bi bile druge splošnejše nastavitve v sistemu zgolj v domeni upravitelja, izberemo System Preferences/Security & Privacy/General/Advanced/Require an administrator password to access system-wide preferences. Uporabniško geslo lahko zahteva tudi ohranjevalnik zaslona, kar je še posebej dobrodošlo, če delamo v gneči in obenem radi zapuščamo delovni prostor. Koliko časa naj mine, preden bo ohranjevalnik zaslona zahteval geslo trenutno prijavljenega uporabniškega računa, določimo z nastavitvijo System Preferences/Security & Privacy/General/Require password after sleep or screen saver begins.

Applov privzeti upravitelj gesel, pripomoček Keychain Access, ima spočetka enako geslo kot uporabniški račun, zato ga je priporočljivo čimprej spremeniti. Dodatno preverjanje omogočimo z zagonom programa Keychain Access, desnim klikom vnosa login s seznama gesel Keychains in izbiro Change Password for Keychain login. Na istem padajočem seznamu najdemo tudi izbiro Change Settings for Keychain login, ki nam omogoča zaklepanje ob začasni nedejavnosti ali med spanjem računalnika.

Trdnjava z imenom Mac je pogosto ranljiva zaradi družabne narave operacijskega sistema. Slednji uporabnikom prerad poenostavi deljenje datotek, tiskalnikov, zaslona in še česa. Občutljive možnosti pred dokončno odločitvijo dobro prevetrimo s pregledom dogajanja v nastavitvah System Preferences/Sharing, da ne bo imel dostopa do lokalnih storitev vsakdo, ki je priklopljen v isto omrežje.

Način Recovery Mode omogoča ponastavljanje gesel na vseh uporabniških računih.

Način Recovery Mode omogoča ponastavljanje gesel na vseh uporabniških računih.

Ob težavah s sistemom nam v praksi večkrat priskoči na pomoč način Recovery Mode. Žal med drugim omogoča ponastavitev vseh uporabniških gesel z ukazno vrstico Terminal. Zlikovec, ki bi skozi ta stranska vrata vstopil v sistem, resda ne bi imel dostopa do upravitelja gesel Keychain Access (če smo predhodno ravnali po zgoraj navedenih napotkih), a bi mu bile na voljo vse lokalne datoteke. Mehanizem, ki tako vdiranje v Maca za vedno prepreči, se imenuje Firmware Password. Nadzorno geslo strojne programske opreme, ki na računalu stopi v veljavo še pred samim operacijskim sistemom, nastavimo z novim zagonom Maca, pri čemer držimo pritisnjeno kombinacijo tipk Cmd + R, da sistem naloži pripomočke OS X Utilities. Med njimi poiščemo Utilities/Firmware Password Utility in uporabimo gumb Turn On Firmware Password. Nastavimo najosnovnejše geslo vseh gesel in ga skrbno shranimo. Čeprav ga bomo potrebovali ob redkih priložnostih, kot sta obnovitev podatkov iz varnostne kopije Time Machine ter uporaba najrazličnejših zagonskih zmožnosti, je preveč pomembno, da bi ga kdaj izgubili. Ob povrnitvi sistema v deviško stanje ter pri predaji računalnika v druge roke je Mac brez gesla Firmware Password domala nemogoče usposobiti za delovanje. Nekaj (zapletenih) načinov sicer je na voljo, a so zgodba zase in presegajo okvire tokrat zastavljene teme nasvetov za Applove naprave.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji