Настройка минимально возможной защиты MacOS

Disclaimer

1. Ваш Mac никогда не будет безопасным. Как бы вы не старались во всем есть изъяны.
2. Общая производительность может упасть. Безопасность не бесплатна особенно шифрование, поэтому в некоторых случаях может незначительно снизиться скорость работы.
3. Это руководство не серебряная пуля. Безопасность требует комплексных подходов, и если вы записываете пароли на стикерах - то никакие средства шифрования вам не помогут.

Установка с нуля

Примечание: этот шаг не является обязательным, но настоятельно рекомендуется, лучше начинать с чистой системы, чтобы избежать возможной неправильной конфигурации.

1. Создайте устновочный USB
2. Установите пароль прошивки
3. Отформатируйте диск и установите систему

Первый запуск

1. Сбросьте NVRAM/PRAM память: сразу после включения нажмите и удерживайте следующие четыре клавиши одновременно: Option, Command, Pи R.
2. Когда система предложит создать пользователя - создайте пользователя с надежным паролем и без подсказки. Этот пользователь предназначен только для администрирования.
3. При финальной загрузке системы перейдите в Системные настройки > Пользователи и группы и создайте непривилегированного пользователя для повседневного использования.
4. Перейдите в Системные настройки > Пользователи и группы > Гость и уберите галку Разрешить гостям входить в систему этого компьютера.
5. Перейдите в Системные настройки > App store и включите автоматическое обновление Устанавливать системные файлы и обновления системы безопасности, другие настройки обновлений установите как считаете нужным.
6. Перейдите в Системные настройки > Защита и безопасность > Основные и установите Запрашивать пароль сразу при выходе из сна или заставки.
7. Перейдите в Системные настройки > Защита и безопасность > Основные и установите Разрешить использование программ, загруженных из App Store для Mac и от установленных разработчиков.
8. Перейдите в Системные настройки > Защита и безопасность > Брандмауэр и включите его.
9. Перейдите в Системные настройки > Защита и безопасность > Брандмауэр > Параметры брандмауэра … и установите Блокировать все входящие подключения.
10. Перейдите в Системные настройки > Защита и безопасность > Конфиденциальность > Службы геолокации и снимите флажок Включить службы геолокации.
11. Перейдите в Системные настройки > Защита и безопасность > Конфиденциальность > Диагн. и использов. и снимите флажок Отправлять данные диагностики и использования в Apple.
12. Перейдите в Системные настройки > Защита и безопасность > FileVault и включите FileVault, дождитесь пока завершится операция перед перезагрузкой.
13. Перейдите в Системные настройки > Общий доступ и отключите все службы.
14. Перейдите в Системные настройки > Сеть > Дополнительно… > DNS и добавьте две записи в DNS-серверы 1.1.1.1 и 1.0.0.1 и все остальные. Подробнее об этих серверах можно узнать здесь.
15. Перейдите в Системные настройки > Основные и снимите флажок Разрешить Handoff между этим Mac и Вашими устройствами iCloud.
16. Перейдите в Системные настройки > Bluetooth и выключите его. Если вы используете Bluetooth включайте и выключайте его по мере потребности.
17. Перейдите в Finder > Настройки > Дополнительно и установите Показать все расширения имен файлов.
18. Отключите Captive Portal, для этого откройте Terminal в введите:

    sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.captive.control Active -bool false
    

19. Отключить Crash Reporter, для этого откройте Terminal в введите:

    sudo defaults write com.apple.CrashReporter DialogType none
    

20. По возможности используйте StevenBlack/hosts.
21. Рассмотрите возможность использовани стороннего брандмауэра для исходящего трафика такие как Little Snitch или LuLu.

По завершении перезагрузить Mac и войдите под пользователем, который был создан с пункте 3. Не забывайте, что для повседневной работы необходимо использовать именно этого пользователя.

Второй запуск

1. Перейдите в Системные настройки > Защита и безопасность > Конфиденциальность > Контакты/Календарь и тп и удалите все приложения, которые не должны иметь доступ к данным.
2. Установите веб-браузер, если нужно. Независимо от браузера рассмотрите возможность:
   • Блокировки third-party кук (сторонних кук)
   • Отключение Flash (обязательно)
   • Установки блокировщика рекламы
   • Отключение передачи диагностических данных
   • Использование поиска отличного от Google
3. Рассмотрите возможность покупки VPN или настройки своего собственного.
4. Рассмотрите возможность использования от PGP/GPG шифрования для месенджеров Keybase и почты ProtonMail.
5. Полное отключение Spotlite или через безопасный режим или через терминал, в зависимости от версии Mac OS.
6. Рассмотрите возможность отказаться от сервисов Google - No More Google.

Продолжая работать

1. Следите и устанавливайте важные обновления для всех программ, которые вы установили в обход App Store.
2. Делайте резервные копии данных и держите их на внешних устройствах.
3. Не давайте использовать ваш Mac никому, подчеркиваю никому.

Дополнительная информация

• MacOS Security Overview
• MacOS Security and Privacy Guide