25、Mac安全防护全攻略

Mac安全防护全攻略

1. Mac安全风险概述

Mac并非完全不受恶意软件威胁，虽然相较于Windows PC，Mac OS X受攻击的目标较小，但仍存在针对Mac的恶意软件。同时，用户错误操作和网络钓鱼也是常见的安全威胁。

1.1 恶意软件威胁

病毒编写者会针对Mac OS X创建恶意软件，因此需要在Mac上运行杀毒软件进行防护。常见的杀毒软件包括McAfee的VirusScan for Mac、Symantec的Norton AntiVirus for Mac、Kaspersky的Kaspersky Anti - Virus for Mac等，还有免费的ClamXav。

1.2 用户错误操作

即使Mac具备UNIX系统的优势，也无法抵御用户的不当操作。可以通过加强Mac的安全设置，移除系统偏好设置中不希望用户尝试的项目，来减少用户出错的可能性。

1.3 网络钓鱼

无论你的电子邮件过滤功能有多强大，网络用户几乎不可避免地会收到试图获取他们重要信息的邮件。需要教育用户识别钓鱼邮件并删除，同时劝阻或阻止用户连接未经授权的媒体设备，如iPods或USB驱动器。

2. 设置Open Firmware密码

在Mac开机时，按下不同的按键可以改变启动方式，如按OPTION显示启动管理器、按C从光驱启动等。为防止未经授权的人进行这些操作，需要设置Open Firmware密码。

2.1 设置步骤

1. 将Mac OS X DVD插入Mac的光驱。
2. 重启Mac。
3. 在开机铃声响起时按C从DVD启动。
4. 在Mac OS X屏幕上选择语言，然后点击箭头按钮继续。
5. 在“安装Mac OS X”（或“安装Mac OS X Server”）屏幕上，从菜单栏选择“实用工具”|“固件密码实用工具”来启动该工具。
6. 在第一个屏幕上，点击“新建”按钮。
7. 选中“从其他源启动此计算机时需要密码”复选框。
8. 在“密码”文本框和“验证”文本框中输入强密码（只能使用字母和数字，至少10 - 12个字符）。
9. 点击“确定”按钮。
10. 点击“退出”按钮退出固件密码实用工具。
11. 选择“Mac OS X安装程序”|“退出Mac OS X安装程序”或按a - Q，安装程序会询问是否确认退出。
12. 点击“重新启动”按钮重启Mac。
13. 在开机铃声响起时按OPTION显示可用启动设备列表，验证Mac是否会提示输入Open Firmware密码。

2.2 按键启动功能列表

按键	功能
OPTION	显示启动管理器，列出所有可用的启动设备供选择
C	从光驱启动（如果有合适的CD或DVD）
N	从NetBoot服务器启动（如果有可用的服务器）
T	以目标磁盘模式启动，将Mac作为外部驱动器挂载到通过FireWire连接的另一台Mac上
a - V	以详细模式启动，显示操作系统尝试执行的命令和结果，用于排查启动问题
a - S	以单用户模式启动，以文本模式进入根账户进行故障排除，输入exit并按RETURN重启Mac
a - OPTION - O - F	以Open Firmware模式启动，可修改启动和硬件设置
a - OPTION - P - R	重置参数RAM（PRAM），用于解决Mac启动异常问题

3. 锁定系统偏好设置

Open Firmware密码在Mac运行时无法提供保护，因此需要锁定系统偏好设置，确保潜在入侵者需要提供登录密码。

3.1 选择一般安全设置

1. 打开系统偏好设置，点击“安全”图标，再点击“通用”选项卡。
2. 如果左下角的锁图标是关闭的，点击该图标，输入用户名和密码，点击“确定”按钮解锁并启用选项。
3. 选择以下设置：
   • 睡眠或屏幕保护程序开始后需要密码 ：选中此复选框，选择“立即”或较短的时间（如5秒或1分钟），并在“节能器”面板设置较短的计算机睡眠时间，在“桌面与屏幕保护程序”面板设置较短的屏幕保护程序启动时间，在“Exposé与空间”面板设置热角方便启动屏幕保护程序。
   • 禁用自动登录 ：选中此复选框，防止用户设置自动登录。
   • 解锁每个系统偏好设置面板需要密码 ：选中此复选框可进一步锁定系统偏好设置，适用于公共场合共享的Mac。
   • 闲置N分钟后注销 ：选中此复选框，设置闲置时间，自动注销用户。
   • 使用安全虚拟内存 ：选中此复选框，加密用于虚拟内存的临时文件，启用后需重启Mac。
   • 禁用定位服务 ：选中此复选框，防止Mac使用Wi - Fi信号确定位置。
   • 禁用远程控制红外接收器 ：选中此复选框，防止他人使用Mac的红外接收器进行远程控制。

3.2 选择FileVault安全设置

如果Mac有丢失或被盗的风险，应使用FileVault功能加密用户的主文件夹。

3.2.1 设置主密码

如果显示“此计算机未设置主密码”，按以下步骤设置：
1. 点击“设置主密码”按钮。
2. 在“主密码”文本框和“验证”文本框中输入强密码，可点击钥匙图标使用密码助手。
3. 若需要，可在“提示”文本框中输入密码提示，但不建议这样做。
4. 点击“确定”按钮。

3.2.2 开启FileVault

1. 点击“开启FileVault”按钮，输入用户账户密码。
2. 确保“使用安全擦除”和“使用安全虚拟内存”复选框被选中。
3. 点击“开启FileVault”按钮，FileVault会注销当前用户，加密主文件夹并安全擦除未加密版本。

3.3 设置客户端Mac的防火墙

为保护客户端Mac，可设置Mac OS X自带的防火墙。

3.3.1 操作步骤

1. 在系统偏好设置的“安全”面板中，点击“防火墙”选项卡。
2. 查看左上角的防火墙状态显示，点击“启动”按钮启动防火墙，此时“高级”按钮可用。
3. 点击“高级”按钮，选择以下设置：
   • 阻止所有传入连接 ：选中此复选框，除重要网络服务外，阻止所有连接，但会影响屏幕共享或远程管理。
   • 允许和阻止连接列表 ：若未选中“阻止所有传入连接”，可在列表框中创建允许和阻止的连接列表，点击“+”按钮添加应用程序，选择“允许传入连接”或“阻止传入连接”。
   • 自动允许签名软件接收传入连接 ：若未选中“阻止所有传入连接”，选中此复选框，允许由有效证书颁发机构签名的软件接受传入连接。
   • 启用隐身模式 ：选中此复选框，防火墙将丢弃Internet控制消息协议（ICMP）数据包，适用于暴露在互联网上的机器。
4. 选择完毕后，点击“确定”按钮关闭对话框。

3.4 关闭共享功能

Mac OS X的共享功能在家庭或对等网络中很有用，但在其他情况下会降低安全性，建议关闭大部分共享功能，仅保留远程管理功能，并限制其使用权限。

操作步骤：点击系统偏好设置中“互联网与无线”区域的“共享”图标，清除“共享”面板左侧列表框中的复选框。

3.5 防止CD和DVD自动运行

通常，插入CD或DVD时Mac OS X会自动打开，为提高安全性，可设置Mac忽略CD或DVD，直到用户手动打开。

操作步骤：点击系统偏好设置中“硬件”区域的“CD与DVD”图标，在“插入音乐CD时”“插入图片CD时”和“插入视频DVD时”的弹出菜单中选择“忽略”。

3.6 加强账户偏好设置的安全性

在系统偏好设置的“账户”面板中，点击“登录选项”，进行以下设置：
1. 将“自动登录”设置为“关闭”。
2. 选择“名称和密码”选项按钮，强制用户输入用户名。
3. 清除“显示重新启动、睡眠和关机按钮”复选框，简化登录窗口。
4. 清除“显示密码提示”复选框，关闭密码提示显示。
5. 清除“显示快速用户切换菜单”复选框，关闭快速用户切换功能。

设置完成后，按a - Q退出系统偏好设置。

4. 安装杀毒软件

尽管Mac能轻松抵御大多数针对Windows PC的恶意软件，但仍需运行杀毒软件来防范针对Mac OS X的恶意软件。常见的杀毒软件及厂商如下：
| 厂商 | 软件名称 | 官网 |
| ---- | ---- | ---- |
| McAfee | VirusScan for Mac | www.mcafee.com |
| Symantec | Norton AntiVirus for Mac | www.symantec.com |
| Kaspersky | Kaspersky Anti - Virus for Mac | www.kaspersky.com |
| Intego | VirusBarrier X6 | www.intego.com |
| 免费软件 | ClamXav | www.clamxav.com |

5. 保护Safari浏览器

5.1 选择一般偏好设置

打开Safari偏好设置窗口（按a - ,或选择“Safari”|“偏好设置”），在“常规”面板中，通常将主页设置为有用或有教育意义的网站，并确保“下载后打开‘安全’文件”复选框未选中。

5.2 选择自动填充偏好设置

在“自动填充”面板中，清除所有三个复选框，以降低无意中输入敏感数据的风险。

5.3 选择安全偏好设置

在“安全”面板中，进行以下设置：
| 设置 | 说明 |
| ---- | ---- |
| 访问欺诈网站时发出警告 | 选中此复选框，开启Safari的反钓鱼功能 |
| 启用插件 | 通常选中此复选框，使Safari能够播放多媒体内容 |
| 启用Java | 若需要网站的额外功能，选中此复选框，但恶意Java代码可能威胁Mac安全 |
| 启用JavaScript | 选中此复选框，允许Safari执行JavaScript脚本，但清除此复选框可能影响某些网站功能 |
| 阻止弹出窗口 | 选中此复选框，阻止网站的弹出窗口，若需要临时允许某个网站的弹出窗口，可选择“Safari”|“阻止弹出窗口”取消勾选 |
| 接受Cookie | 选择“仅来自我访问的网站”选项按钮，提高安全性 |
| 从安全网站发送非安全表单时询问 | 选中此复选框，Safari会在安全网站尝试以非安全方式发送数据表单时发出警告 |

设置完成后，关闭偏好设置对话框。

6. 限制用户账户

对于直接连接到网络的用户和Mac，可以使用Workgroup Manager限制账户偏好设置，帮助用户和计算机避免问题。

6.1 启动Workgroup Manager并打开偏好设置面板

1. 打开Workgroup Manager，如点击Dock中的图标。
2. 在“Workgroup Manager连接”对话框中，选择要连接的服务器，然后点击“连接”按钮。
3. 以目录管理员身份进行身份验证，以便进行更改。
4. 选择要影响的用户账户或计算机账户。
5. 点击工具栏上的“偏好设置”按钮，若显示的是“详细信息”面板，点击“概述”标签切换到“概述”面板。

6.2 限制Finder

1. 点击“概述”面板中的“Finder”图标，然后点击“命令”标签显示“命令”面板。
2. 选择“始终”选项按钮，选择是否在用户界面中包含“连接到服务器”、“重新启动”和“关机”等命令，清除要移除的命令的复选框。
3. 点击“立即应用”按钮应用更改，然后点击“完成”按钮返回“概述”面板。

6.3 限制媒体访问

1. 点击“概述”面板中的“媒体访问”图标，然后点击“光盘媒体”标签显示“光盘媒体”面板。
2. 清除“允许”复选框以防止用户使用特定媒体，或选中“需要身份验证”复选框要求用户在使用某些媒体前获得管理员批准，也可选中“注销时弹出所有可移动媒体”复选框。
3. 点击“其他媒体”标签显示“其他媒体”面板，选择“始终”选项按钮，选择用户可以使用的内部和外部磁盘，以及是否需要身份验证和媒体是否为只读。
4. 点击“立即应用”按钮应用更改，然后点击“完成”按钮返回“概述”面板。

6.4 限制系统偏好设置

1. 点击“概述”面板中的“系统偏好设置”图标，选择“始终”选项按钮。
2. 清除要隐藏的项目的复选框，可点击“全部不显示”按钮进行全部隐藏，但通常建议筛选出有害的偏好设置，保留对用户有用的设置。
3. 点击“立即应用”按钮应用更改，然后点击“完成”按钮返回“概述”面板。

通过以上一系列的安全设置和防护措施，可以有效提高Mac和网络的安全性，保护用户的数据和隐私。

7. 安全防护措施总结与对比

7.1 各项安全设置对比

安全设置	作用	适用场景	注意事项
Open Firmware密码	防止未经授权的启动方式更改	所有Mac，尤其是共享或公共环境中的Mac	密码只能使用字母和数字，至少10 - 12个字符
系统偏好设置锁定	确保潜在入侵者需要登录密码，限制用户不当操作	所有Mac	部分设置可能影响用户体验，如解锁每个系统偏好设置面板需要密码
FileVault加密	保护用户主文件夹，防止数据在Mac丢失或被盗时泄露	有丢失或被盗风险的Mac	开启前需保存所有未保存的工作，关闭所有应用程序
防火墙设置	阻止不必要的传入连接，保护Mac免受网络攻击	所有连接到网络的Mac	阻止所有传入连接会影响屏幕共享或远程管理
关闭共享功能	减少因共享功能带来的安全风险	非家庭或对等网络环境中的Mac	仅保留必要的远程管理功能，并限制使用权限
防止CD和DVD自动运行	避免自动运行可能带来的安全隐患	所有Mac
账户偏好设置加强	提高账户登录安全性，减少用户误操作风险	所有Mac
杀毒软件安装	防范针对Mac OS X的恶意软件	所有Mac	选择适合的杀毒软件
Safari浏览器设置	保护浏览器安全，减少网络钓鱼和恶意软件攻击风险	使用Safari浏览器的Mac	部分设置可能影响网站功能
用户账户限制	限制用户对Mac的操作，防止用户进行危险操作	直接连接到网络的用户和Mac

7.2 安全防护流程总结

graph LR
    A[Mac安全防护] --> B[设置Open Firmware密码]
    A --> C[锁定系统偏好设置]
    A --> D[设置FileVault加密]
    A --> E[设置防火墙]
    A --> F[关闭共享功能]
    A --> G[防止CD和DVD自动运行]
    A --> H[加强账户偏好设置]
    A --> I[安装杀毒软件]
    A --> J[保护Safari浏览器]
    A --> K[限制用户账户]
    B --> B1[插入Mac OS X DVD]
    B --> B2[重启Mac并从DVD启动]
    B --> B3[设置密码]
    C --> C1[选择一般安全设置]
    C --> C2[选择FileVault安全设置]
    C --> C3[设置防火墙]
    C --> C4[关闭共享功能]
    C --> C5[防止CD和DVD自动运行]
    C --> C6[加强账户偏好设置]
    D --> D1[设置主密码]
    D --> D2[开启FileVault]
    E --> E1[启动防火墙]
    E --> E2[选择防火墙设置]
    J --> J1[选择一般偏好设置]
    J --> J2[选择自动填充偏好设置]
    J --> J3[选择安全偏好设置]
    K --> K1[启动Workgroup Manager]
    K --> K2[选择账户]
    K --> K3[限制Finder]
    K --> K4[限制媒体访问]
    K --> K5[限制系统偏好设置]

8. 常见问题解答

8.1 关于Open Firmware密码

• 问 ：忘记Open Firmware密码怎么办？
  答 ：可以联系苹果客服或专业维修人员，他们可以帮助重置密码。
• 问 ：Open Firmware密码可以修改吗？
  答 ：可以，使用相同的设置步骤，在“固件密码实用工具”中选择修改密码即可。

8.2 关于FileVault加密

• 问 ：FileVault加密会影响Mac的性能吗？
  答 ：会有一定影响，因为加密和解密操作需要额外的计算资源，但通常不会对日常使用造成明显影响。
• 问 ：如果忘记主密码，还能恢复加密的数据吗？
  答 ：如果没有设置密码提示或备份，可能无法恢复数据，因此建议妥善保存主密码和相关提示。

8.3 关于防火墙设置

• 问 ：开启防火墙后，无法进行屏幕共享或远程管理怎么办？
  答 ：取消“阻止所有传入连接”的勾选，或者在允许和阻止连接列表中添加相关应用程序并选择允许传入连接。
• 问 ：隐身模式有什么作用？
  答 ：隐身模式会使防火墙丢弃Internet控制消息协议（ICMP）数据包，防止他人通过ICMP探测Mac的存在，提高安全性。

8.4 关于Safari浏览器设置

• 问 ：禁用Java和JavaScript会影响哪些网站功能？
  答 ：部分需要Java和JavaScript实现额外功能的网站，如在线游戏、动态表单等，可能无法正常使用。
• 问 ：如何临时允许某个网站的弹出窗口？
  答 ：选择“Safari”|“阻止弹出窗口”取消勾选，使用完毕后再次选择该选项恢复阻止。

9. 最佳实践建议

9.1 定期更新

• 定期更新Mac OS X系统和杀毒软件，以获取最新的安全补丁和病毒库。
• 及时更新Safari浏览器，确保其具备最新的安全功能。

9.2 强密码设置

• 使用包含字母、数字和特殊字符的强密码，并定期更换密码。
• 避免使用与个人信息相关的密码，如生日、电话号码等。

9.3 谨慎操作

• 不随意点击来自不明来源的链接和下载文件，避免遭受网络钓鱼和恶意软件攻击。
• 在连接外部设备时，先进行病毒扫描，确保设备安全。

9.4 定期备份

• 定期备份重要数据，以防数据丢失或损坏。可以使用Time Machine等工具进行备份。

9.5 员工培训

• 对使用Mac的员工进行安全培训，提高他们的安全意识和操作技能，减少因用户错误操作带来的安全风险。

通过遵循以上安全设置和最佳实践建议，可以有效保护Mac和网络的安全，确保用户的数据和隐私得到充分保障。在日常使用中，还应保持警惕，及时发现和处理安全问题，不断完善安全防护措施。