macOS Big Sur是由蘋果公司研發的macOS桌面作業系統。北京時間2020年06月23日,在2020蘋果全球開發者大會上,蘋果正式發布了macOS的下一個版本:macOS 11.0,正式稱為macOS Big Sur。macOS Big Sur將世界上的臺式機作業系統提升到了新的功能和水平。
為了利用Big Sur中macOS帶來的變化,你當然需要兼容的Apple硬體。macOS Big Sur共有7條受支持的產品線,最早的受支持型號可以追溯到2013年:
Mac Pro,2013年及更高版本;
MacBook Air,2013年及更高版本;
MacBook Pro,2013年及更高版本;
Mac Mini,2014年及更高版本;
iMac,2014年及更高版本;
MacBook,2015年及更高版本;
iMac Pro,2017年及更高版本。
Big Sur版本號:是macOS 10.16還是11.0?
macOS Big Sur beta的第一版引起了巨大的震撼,周一在Apple的Keynote中都沒有明確提及這兩個版本。現在,Big Sur將成為第一個macOS 11.0!
甚至Apple自己的軟體更新檢查也可能需要10秒鐘的時間,而第一個測試版的發布時間是10.16(也可能是其餘的Beta;實際上,有很多內部文檔引用「 10.16」)。
Kexts暫時中止執行
另一個令人驚訝的事實是,儘管蘋果確實已經設置了足夠的障礙,使開發人員和用戶希望儘快從kext過渡並遷移到使用System Extensions和Linux。
儘管如此,對於具有關鍵依賴性的企業來說,kext仍然是一個開放的可能性,並且有一個新的kmutil工具可以管理Big Sur上的kext和「kext collections」的加載,卸載和診斷。
企業將能夠升級到macOS Big Sur,而不必擔心依賴內核擴展的軟體會失去功能。但是,應該注意,kextutil和kextload現在已被kmutil取代,並且對它們的工作方式進行了更改和限制。
蘋果公司已經明確表示,要讓開發人員遠離kexts,建議如下:
SentinelOne客戶可以放心,即將推出的macOS 4.4代理程序不使用kexts,並且將與macOS 10.15 Catalina和macOS Big Sur兼容。
使用Rosetta 2,兼容Apple晶片和通用二進位文件
蘋果將為macOS採用基於arm的晶片組,在2020年全球開發者大會上被稱為「蘋果晶片」。雖然目前還沒有基於ARM的硬體,但開發人員過渡工具包也已提供,蘋果公司表示希望在2020年末開始交付ARM Mac。
為了促成這一轉變,蘋果重新啟用了一位熟悉的老朋友:Rosetta。被重新命名為Rosetta 2的這種軟體層技術將允許在英特爾架構上編譯的某些軟體在arm驅動的設備上運行。
然而,Rosetta 2有幾個問題。首先,轉換不可避免地要花費時間,而且再聰明的優化也改變不了這樣一個事實:一些依賴於Rosetta 2的應用程式的啟動或運行速度會比它們在Intel架構上編譯時慢。為了避免這個問題,蘋果還引入了一種新的多架構、通用(又名Fat)二進位格式。這允許開發者將現有macOS應用移植到蘋果晶片上運行。對於Xcode 12或更高版本,開發人員可以構建一個包含兩種設備架構的「胖」二進位文件:不需要基於arm的Mac來編譯這些通用二進位文件。
Rosetta 2的第二個問題是,它無法將所有在英特爾架構上編譯的軟體轉換成可以在蘋果晶片上運行的東西。特別是,不支持Windows虛擬化軟體和內核版本。目前還不清楚macOS上的Windows虛擬機的未來是什麼,不過VMWare至少似乎仍然對一切都還抱有希望。
蘋果公司預計將在2年內實現向ARM的廣泛過渡,這不會對企業產生任何直接影響,但是從中長期來看,IT團隊將需要清點哪些應用程式可以使用通用二進位文件在本機上運行,它們在Rosetta 2轉換下正在工作,這是不兼容的。
正如本文前面所述,影響企業的最大選擇可能是決定何時升級硬體,以及在進一步購買之前等待ARM驅動的Mac是否符合你的企業的最大利益。
除了我們已經介紹的重大更改之外,還有一些重要的更改。其中包括macOS 11將密碼籤名帶入系統卷。在Catalina中,Apple已經進行了體系結構更改,將根卷分為兩個:只讀的System卷和其他所有的Data卷。
現在,系統卷通過加密驗證得到了額外的保護,以防止脫機攻擊和惡意篡改。
自從Apple在macOS El Capitan 10.11中引入系統完整性保護方法以來,這種系統容量的強化應該不會給IT和安全團隊帶來太多挑戰。
但是,有一些結果。一種是FileVault不再需要在macOS 11上的靜止狀態下對系統卷進行加密。如果已打開FileVault加密,則數據卷仍將受到保護。
其次,嘗試通過關閉系統完整性保護來引導作業系統的「實時」版本(即,可寫文件系統)將不再起作用。可以在未引導時禁用保護並進行修改,但是「實時」修改現在不在macOS 11中。
首先,據macrumors報導,這款存在已久的Network Utility已經被「棄用」了,儘管從我們的判斷來看,它實際上現在完全無法運行。
Network Utility包含許多有用的工具,例如Netstat,Ping,Traceroute和埠掃描。
蘋果還向Safari添加了一個有用的「隱私跟蹤器」和「阻止器」,它使用戶可以查看網站正在使用的跟蹤cookie以及Safari已阻止的跟蹤器。「隱私」工具欄按鈕在此處公開報告,可通過彈出窗口提供詳細的見解,以及從內部訪問的更多其他彈出窗口。
鑑於所有流行瀏覽器中都廣泛使用擴展名,安全團隊將希望注意macOS Big Sur中的新Web擴展功能。這使現有的Chrome和Firefox擴展可以輕鬆地轉換為通過xcrun工具與Safari 14結合使用。蘋果希望通過繼續堅持必須通過其App Store分發瀏覽器擴展來緩解有關安全的擔憂,還有一些用於管理瀏覽器擴展的新用戶控制項。
據報導,Safari 14默認也會啟用HTTP / 3。根據Apple的發行說明,Big Sur通過「開發人員」菜單中的「實驗功能」在Safari中啟用了實驗HTTP / 3支持。可以使用以下終端命令在系統範圍內啟用它:
由於我們討論的是命令行,macOS 11中的另一個網絡更改與networksetup實用程序有關,即/usr/sbin/networksetup。從Big Sur開始,此工具將不再允許標準用戶更改網絡設置。標準用戶將能夠打開和關閉Wifi並閱讀網絡設置,但是修改將需要管理員用戶名和密碼。
總體而言,這些更改應有助於增強網絡安全性。對networksetup命令行工具的更改符合標準用戶在System Preferences.app中擁有的權限,很高興看到Apple在各個工具之間保持一致。
只要蘋果的App Store能夠及時有效地監視和刪除惡意或濫用行為,我們也不會認為瀏覽器擴展的增加會帶來更大的攻擊面。當然,這是蘋果的責任,而企業安全團隊可能會感到,考慮到惡意擴展的歷史以及我們有多少私有擴展,通過MDM或類似配置工具來鎖定瀏覽器擴展的安裝是值得考慮的事情。敏感數據通過瀏覽器應用程式傳遞。在此基礎上,新的隱私報告工具是Big Sur中Safari 14的受歡迎補充。
最後,在網絡上,刪除Network Utility應用程式不會在IT團隊之間引起很大的困擾。你可能已經在使用與其提供GUI包裝器的工具等效的命令行,因此我們不希望太多人會錯過它。
證書信任:有根證書是遠遠不夠的
在macOS Catalina和更早版本中,如果有效用戶通過add-trusted-cert標誌以root身份運行,則可以使用命令行安全工具來更改證書信任設置,如Catalina安裝工具手冊頁中所示:
在macOS Big Sur中,僅以UID 0運行將不再足以進行此更改:需要使用管理員密碼進行確認。
為了對託管企業環境表示感謝,Apple將允許進行更改而無需確認是否使用配置文件將證書有效載荷與根證書一起部署。
這對企業意味著,如果你使用安全命令行工具來更改信任設置或調用SecTrustSettingsSetTrustSettings函數的特權進程,則這種對證書信任設置的歡迎強化可能會影響你的工作流程。
配置文件得到優先處理
通過命令行配置文件工具或「配置文件系統偏好設置」窗格管理的配置配置文件已經被macOS惡意軟體濫用了一段時間。其中最主要的是試圖操縱瀏覽器主頁和搜索設置的廣告軟體感染,儘管也有惡意配置DNS設置的。在蘋果採取措施鎖定OS先前版本中的Safari瀏覽器首選項之後,配置文件開始成為廣告軟體的首選目標。
在macOS Big Sur中,Apple承認濫用配置文件,現在提高了其安裝標準。除非設備已註冊到MDM程序中,否則安裝配置文件現在將要求用戶在「系統偏好設置」應用中手動完成配置文件的安裝,其中還會有一個窗口描述概要文件的實際行為。
有點奇怪的是,此操作有8分鐘的超時:如果用戶未在該時間內完成安裝,則macOS Big Sur會將其從系統偏好設置中刪除。
這意味著,你的企業很可能僅通過MDM解決方案使用配置文件,因此這種更改不會產生很大影響。如果由於某種原因要手動編寫概要文件的安裝腳本,則需要進行用戶培訓,教他們如何完成這些步驟(在8分鐘內完成!)。
儘管毫無疑問,廣告軟體和其他macOS惡意軟體供應商將嘗試通過社會工程手段惡意使用個人資料,但這一變化對減少一些最嚴重的違法者將產生重要的影響。
令人驚訝的是,在應用程式安全方面沒有什麼令人驚訝的表現。雖然WWDC 2020遠未結束,但我們還沒有看到任何關於蘋果將改變macOS 11應用程式安全方法的聲明或建議。由於如此多的幕後變化都集中在安全性上,企業安全團隊可能一直希望有一些重大的發展,但這仍有待觀察。
在macOS 11中,蘋果似乎將繼續依賴在macOS 10.x多年中一直在緩慢發展的模型,但是在依靠靜態籤名進行阻止和檢測方面,該模型仍然落後於其他程序應用程式的安全模型仍然是這樣的:
保護:通過Gatekeeper進行代碼籤名,公證和系統策略檢查;
檢測:通過XProtect中的靜態Yara規則阻止惡意軟體;
刪除:通過MRT.app中的靜態檢測籤名刪除已知惡意軟體。
這對企業意味著,儘管蘋果公司非常重視安全性,並且Big Sur的一些變化令人歡迎,但它確實在某些方面與眾不同。甚至Windows現在都具有一些基本的行為檢測功能,並且Apple對Gatekeeper,XProtect和MRT.app的使用也開始顯得過時了。
攻擊者從10.14開始使用簡單的社會工程手段發起攻擊,讓Gatekeeper和Notarization的安全能力看起來像是擺設一樣,但這種情況只是有所改善。XProtect的靜態YARA規則依賴於Apple已知的惡意軟體。即,某些用戶或企業必須先被感染,然後Apple才能更新籤名,而MRT.app僅在更新後運行,用戶登錄或重新啟動MRT.app。意味著在Mac實際使用的大部分時間內,它是無能為力進行防護的。
此外,對於企業安全團隊而言,這些工具正在執行或已執行的操作沒有可見性。即使使用Apple的最新macOS版本、新名稱、新版本號和許多新功能,仍然需要通過行為安全平臺保護Mac,該行為安全平臺可以檢測、保護和報告已知和未知的惡意活動。
參考及來源:https://www.sentinelone.com/blog/macos-big-sur-9-big-surprises-for-enterprise-security/