26、Mac 设备与网络安全及软件更新指南-优快云博客

本文链接：https://blog.youkuaiyun.com/wasm7browser/article/details/154725982

Mac 设备与网络安全及软件更新指南

1. 保障公司 iPhone 和 iPod touch 安全

在公司为员工配备 iPhone 和 iPod touch 以激发创新思维的情况下，尽可能锁定这些设备至关重要。这些设备容易丢失或被盗，因为人们通常随身携带，且体积小巧便于顺手牵羊。同时，它们能存储大量数据，可访问邮件和共享信息，甚至能通过 VPN 远程连接公司网络。因此，一旦设备丢失或被盗，需尽快使其失效。

1.1 设置密码锁

设置方式 ：可通过配置策略（参考相关设置方法）或手动设置。手动设置路径为：选择“设置”|“通用”|“密码锁”，进入“设置密码”屏幕。
密码要求设置 ：设置并确认密码后，在“密码锁”屏幕中，将“需要密码”设置为“立即”，确保设备关闭（进入睡眠状态）后立即锁定。若此设置过于严格，可选择“1 分钟后”或“5 分钟后”。较长时间（如“15 分钟后”“1 小时后”“4 小时后”）设置在设备丢失或被盗时，密码锁基本失去作用。
自动锁定设置 ：为使锁定更有效，需将“自动锁定”设置为较短时间，如 1 分钟或 2 分钟，而非 5 分钟或“永不”，以降低设备在未锁定状态下被盗的风险。
数据擦除设置 ：为防止他人多次尝试破解密码获取数据，需将“擦除数据”开关置于“开启”位置，使设备在 10 次输入密码失败后自动擦除所有数据。设置时，屏幕底部会弹出警告面板，点击“启用”按钮确认设置。

2. 网络安全保障

保障网络中的 Mac 设备和手持设备安全是良好开端，但还需确保网络整体安全。以下分别介绍无线网络、有线网络和互联网连接的安全措施。

2.1 无线网络安全

2.1.1 使用 Wi - Fi 受保护访问（WPA）

搭建无线网络时，应使用 WPA 防止未经授权的人员破解用户密码并登录网络。

2.1.2 限制允许连接的 MAC 地址

为确保只有授权计算机能访问无线网络，可设置无线接入点仅接受授权 MAC 地址的连接。以 AirPort Extreme 为例，操作步骤如下：
1. 打开 AirPort 实用工具。可点击菜单栏右端的 Spotlight 图标，输入“airp”，然后点击相应搜索结果。
2. 若有多个 AirPort 或 Time Capsule，选择要设置的设备。
3. 点击“手动设置”按钮，获取关键控制权限。
4. 若工具栏中的“AirPort”按钮未被点击，点击该按钮。
5. 点击标签栏中的“访问”标签，显示“访问”面板。
6. 在“MAC 地址访问控制”弹出菜单中，选择“定时访问”。
7. 在列表框中创建授权地址列表：
- 点击“+”按钮，显示“定时访问控制设置助理”对话框。
- 在“MAC 地址”文本框中输入允许连接的计算机的 MAC 地址。若在要添加的计算机上运行 AirPort 实用工具，可点击“此计算机”按钮自动填充地址。输入时可直接输入十六进制字符，Mac OS X 会自动在每对字符后插入冒号。
- 在“描述”文本框中输入用于识别计算机的名称，如“Alex Bly 的 MacBook”。
- 在对话框的列表框中设置该 MAC 地址的计算机可连接和不可连接网络的时间。第一个弹出菜单选择日期（如“每天”“周一”等，若不想允许连接可选择“无访问权限”），第二个弹出菜单可选择“全天”或“之间”（若选择“之间”，可设置开始和结束时间）。
- 若需添加另一组时间限制，点击列表框下方的“+”按钮，重复上述设置步骤。
- 设置完成后，点击“完成”按钮，AirPort 实用工具会将详细信息添加到“访问”面板的列表中。
8. 创建完授权 MAC 地址列表后，点击“更新”按钮，然后在 AirPort 实用工具显示的对话框中点击“继续”按钮。

2.1.3 使用虚拟专用网络（VPN）

若需要更严格的无线网络安全，可设置 VPN 传输网络流量。VPN 会对数据进行加密，使使用无线嗅探器捕获网络数据的人只能得到乱码。设置 VPN 的具体步骤可参考相关说明。

2.1.4 关于关闭 SSID 广播

关闭无线接入点的 SSID 广播（即不广播网络名称）虽不能提供太多安全保障，因为使用无线嗅探器仍可检测到网络名称，但可阻止一些随意蹭网的人。若他们看不到网络，就会尝试连接其他网络。

2.2 有线网络安全

与无线网络不同，有线网络不会无形地延伸到建筑物边界之外，因此在大多数情况下，物理安全问题相对较少。但仍需确保无人未经授权连接有线网络，以及无人将交换机或无线接入点连接到以太网端口。此外，普通有线网络的安全通常涉及防止不良流量在计算机之间传播，以及防止来自互联网连接或其他连接网络的恶意攻击。若有线网络中的流量特别敏感，可在网络上运行 VPN 进行保护。

2.3 互联网连接安全

保护网络免受互联网威胁的万无一失方法是不连接互联网，但如今这仅适用于极少数特殊网络。若不是军事网络或政府机构网络，通常需要为网络用户提供全面的互联网连接。为确保互联网连接安全，可使用一个或多个防火墙，防火墙可能位于以下四种设备上：
| 设备类型 | 防火墙配置方式 |
| ---- | ---- |
| 互联网路由器 | 大多数互联网路由器包含防火墙，可使用网页浏览器或制造商提供的自定义实用工具进行配置。 |
| 独立防火墙 | 为提供额外保护，可使用独立硬件防火墙，通过基于网页的界面或自定义实用工具进行配置。 |
| 无线接入点 | 许多无线接入点包含内置防火墙，如 AirPort Extreme 默认开启自动防火墙功能。 |
| 服务器 | 若服务器作为网络的互联网网关，可在服务器上运行 Mac OS X 防火墙保护网络免受互联网威胁。 |

若使用服务器上的防火墙保护网络，设置步骤如下：
1. 打开“服务器偏好设置”。例如，点击 Dock 中的“服务器偏好设置”图标。
2. 在“服务器偏好设置”窗口的“系统”区域，点击“安全”图标，显示“安全”面板。
3. 若主开关处于关闭状态，将其移至“开启”位置以打开防火墙。
4. 在“在我的防火墙上公开这些服务”列表框中，列出允许通过防火墙的服务。添加服务时，点击“+”按钮，在弹出对话框的“添加服务”弹出菜单中选择服务，然后点击“添加”按钮；移除服务时，点击列表框中的服务，然后点击“-”按钮。
5. 设置完成后，退出“系统偏好设置”。例如，按下“Command - Q”组合键。

3. 保持客户端 Mac 软件更新

为使客户端 Mac 上的 Mac OS X 和苹果应用程序保持最新状态，需运行“软件更新”。该工具可自动检查、下载更新，并引导用户完成安装过程。

3.1 选择软件更新源

Mac 设备的软件更新可从以下两个来源获取：
- 从苹果服务器下载 ：服务器可从苹果服务器下载可用更新并应用到自身。此方式不仅适用于主服务器，也适用于需独立运行的 Mac 设备（如大部分时间与公司网络断开连接的 MacBook），这些设备可像家庭环境中的独立 Mac 一样通过互联网连接下载更新。
- 从公司服务器下载 ：可设置公司服务器为网络中的 Mac 设备提供更新。此方式有两大优势：一是节省互联网连接带宽，因为每个更新只需下载一次到服务器，而非每个需要更新的 Mac 设备都单独下载；二是网络中的 Mac 设备可通过网络更快地获取更新。

3.2 设置服务器提供软件更新

若选择让服务器提供软件更新，可按以下步骤设置：
1. 打开“服务器管理”。例如，点击 Dock 中的“服务器管理”图标。
2. 在“服务器”列表中双击要连接的服务器，必要时进行身份验证。
3. 点击展开箭头，展开服务列表。
4. 若“软件更新”服务未显示在服务列表中，按以下步骤开启：
- 点击工具栏中的“设置”按钮，显示“设置”面板。
- 点击“服务”标签，显示“服务”面板。
- 在“选择要在此服务器上配置的服务”列表框中，选中“软件更新”复选框。
- 点击“保存”按钮，“软件更新”服务将显示在服务列表中。
5. 在服务列表中双击“软件更新”。
6. 点击工具栏中的“设置”按钮，显示“设置”面板。
7. 若要限制客户端消耗的带宽，选中“限制用户带宽为”复选框，在文本框中输入数值，并在弹出菜单中选择“KB/秒”或“MB/秒”。
8. 在“存储更新的位置”文本框中，输入存储更新的文件夹。默认文件夹为“/var/db/swupd/”，若系统卷空间不足，可点击“选择”按钮，使用“选择要存储软件更新的文件夹”对话框选择文件夹，然后再次点击“选择”按钮。
9. 在“使用端口提供更新”文本框中，输入要使用的端口。建议使用默认端口 8088，除非有特殊需求。
10. 若希望软件更新服务器自动从苹果软件更新服务器复制更新，选中“从苹果复制更新”复选框，并在弹出菜单中选择“全部”或“所有新更新”。若网络中的 Mac 设备配置基本标准化，可手动选择所需更新以节省空间。
11. 若选择自动下载更新，可选中“自动启用复制的更新”复选框，让服务器自动将更新提供给 Mac 客户端；也可手动启用更新，例如在检查更新的稳定性和安全性后再启用。
12. 若希望服务器在更新过期后自动删除，选中“删除过期的软件更新”复选框。只要确保客户端 Mac 设备及时从服务器获取更新，删除旧更新是节省服务器空间的好方法。
13. 点击“保存”按钮保存更改。
14. 点击“启动软件更新”按钮开始使用软件更新服务。

若选择自动下载更新，服务将开始下载，此过程需要一些时间，请耐心等待。若选择手动下载更新，点击“更新”标签显示“更新”面板，然后点击底部的“刷新”按钮。软件更新列表显示后（可能需要一些时间），选择要下载的更新，然后点击“服务器管理”窗口底部的“立即复制”按钮。下载更新后，“已复制”列会显示蓝色按钮，可选中“启用”复选框使更新对网络中的 Mac 设备可用。

此外，可设置多个服务器为不同客户端提供软件更新，但目前软件更新服务器之间无法相互通信（如共享文件），每个服务器都需单独下载更新文件，因此建议减少软件更新服务器的数量。

通过以上安全设置和软件更新管理，可有效保障公司 Mac 设备和网络的安全与稳定运行。

4. 软件更新流程总结与优化建议

4.1 软件更新流程总结

为了更清晰地展示软件更新的流程，下面用 mermaid 流程图呈现：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px

    A([开始]):::startend --> B{选择更新源}:::decision
    B -->|从苹果服务器下载| C(独立 Mac 设备通过互联网下载更新):::process
    B -->|从公司服务器下载| D(设置服务器提供更新):::process
    D --> E(打开服务器管理):::process
    E --> F(连接服务器并身份验证):::process
    F --> G{软件更新服务是否显示}:::decision
    G -->|否| H(开启软件更新服务):::process
    G -->|是| I(双击软件更新服务):::process
    H --> I
    I --> J(点击设置按钮显示设置面板):::process
    J --> K{是否限制带宽}:::decision
    K -->|是| L(设置带宽限制):::process
    K -->|否| M(设置存储更新文件夹):::process
    L --> M
    M --> N(设置更新端口):::process
    N --> O{是否自动复制更新}:::decision
    O -->|是| P(选择复制更新范围):::process
    O -->|否| Q(手动选择更新):::process
    P --> R{是否自动启用更新}:::decision
    R -->|是| S(自动启用更新):::process
    R -->|否| T(手动启用更新):::process
    Q --> T
    S --> U(保存设置):::process
    T --> U
    U --> V(启动软件更新服务):::process
    V --> W{自动还是手动下载}:::decision
    W -->|自动| X(等待下载完成):::process
    W -->|手动| Y(点击刷新获取更新列表):::process
    Y --> Z(选择更新并复制):::process
    X --> AA(更新完成):::process
    Z --> AA
    AA --> AB(启用更新供客户端使用):::process
    C --> AB
    AB --> AC([结束]):::startend

4.2 优化建议

带宽管理 ：在公司网络使用高峰期，可适当调整服务器的带宽限制，避免因软件更新占用过多带宽影响正常业务。例如，在工作日的 9:00 - 12:00 和 14:00 - 17:00 期间，将带宽限制设置为较低值，如 500KB/秒；在非工作时间，如晚上和周末，可取消带宽限制，让更新更快完成。
更新筛选 ：对于有大量 Mac 设备且配置较为统一的公司，手动筛选更新是节省服务器空间的有效方法。定期检查苹果发布的更新列表，只选择与公司设备相关的更新进行下载和部署。
更新时间安排 ：可以根据公司的业务需求和设备使用情况，合理安排软件更新时间。例如，对于一些对业务连续性要求较高的部门（如财务、销售），可选择在周末或节假日进行更新；对于普通办公设备，可在晚上自动进行更新。

5. 安全措施的综合评估与持续改进

5.1 安全措施综合评估

为了全面评估公司 Mac 设备和网络的安全状况，可从以下几个方面进行考量：
| 评估维度 | 评估内容 | 评估方法 |
| ---- | ---- | ---- |
| 设备安全 | iPhone 和 iPod touch 的密码锁设置是否合理，数据擦除功能是否启用 | 随机抽查设备设置，检查密码要求和数据擦除开关状态 |
| 无线网络安全 | WPA 是否启用，MAC 地址限制是否有效，VPN 是否正常运行 | 使用网络扫描工具检查网络连接情况，验证授权 MAC 地址列表 |
| 有线网络安全 | 是否存在未经授权的设备连接，流量是否异常 | 定期检查网络端口连接情况，使用网络监控软件分析流量 |
| 互联网连接安全 | 防火墙是否正常工作，允许通过的服务是否合理 | 模拟网络攻击测试防火墙防护能力，检查防火墙规则设置 |
| 软件更新 | 软件更新是否及时，更新源选择是否合理 | 检查设备的软件版本，统计更新下载和安装情况 |

5.2 持续改进

根据安全评估结果，制定相应的改进措施并持续执行。例如：
- 设备安全 ：若发现部分设备的密码要求设置过松，可通过配置策略统一调整密码复杂度和锁定时间。
- 无线网络安全 ：对于频繁出现未经授权连接尝试的情况，可增加 MAC 地址验证的严格性，或加强 VPN 的加密强度。
- 有线网络安全 ：若检测到异常流量，及时排查源头，可能需要更新网络设备的固件或调整网络拓扑结构。
- 互联网连接安全 ：根据网络攻击的类型和频率，定期更新防火墙规则，确保只允许必要的服务通过。
- 软件更新 ：若发现更新不及时的问题，优化更新策略，如增加自动更新的频率或调整更新时间安排。

6. 总结

保障公司 Mac 设备和网络的安全以及保持软件更新是一个系统性的工作，需要从设备端、网络端和软件端多个层面进行综合管理。通过设置合理的安全措施（如设备密码锁、网络访问控制、防火墙等）和有效的软件更新策略，能够降低安全风险，提高设备的稳定性和性能。同时，定期进行安全评估和持续改进，能够适应不断变化的网络环境和安全威胁，确保公司的 IT 系统始终处于安全可靠的运行状态。希望本文介绍的方法和建议能够帮助您更好地管理公司的 Mac 设备和网络。