Privacy & Security / Adatvédelem és biztonság panel | System Settings / Rendszerbeállítások cikksorozat @ MacMag.hu Magyar Apple és Macintosh Magazin

Az Apple különösen nagy figyelmet fordít arra, hogy a macOS operációs rendszer a lehető legbiztonságosabb legyen, és a felhasználók adataihoz illetéktelenek ne férhessenek hozzá, a gép esetleges eltulajdonítása esetén az ne legyen használható, illetve a rendkívül kritikus biztonsági igényű ügyfelek számára drámai mértékben korlátozható legyen mindenféle kommunikáció.

Ennek a biztonsági törekvésnek több elemét is tetten érhetjük már a rendszer üzembe helyezésekor: a Mac alapból felajánlja a FileVault bekapcsolását, amely egy lemez titkosítási megoldás szigorú XTS-AES 128-bites kódolási eljárással, amely gyakorlatilag feltörhetetlen. A Finder felületen továbbá bármely felcsatolt külső lemezt lehetőségünk van titkosítani, amelyik a macOS által támogatott fájlrendszerben, és GUID partíciós táblával lett formázva. A másik látványos biztonsági megoldás az iCloud Keychain és a hozzá tartozó szolgáltatások: a kulcskarika rendszer révén jelszóink titkosítva kerülnek eltárolásra olyan formában, hogy csak a kulcskarika jelszót ismerő felhasználó férhet hozzájuk, az iCloud szolgáltatás révén pedig a jelszók az Apple szerverein kerülnek lementésre, így a további eszközeinkre szinkronizálódnak. A rendszer mélyebb rétegének része az operációs rendszer szintű Kerberos titkosítási mechanizmus támogatása, amely az olyan technológiák biztonságos és zavartalan működését segíti, mint a Bonjour protokoll vagy az AirDrop adatcsere megoldás. Ez a cikk a System Settings / Rendszerbeállítások alkalmazás Privacy & Security / Adatvédelem és biztonság felületével foglalkozik, de a további, bevezetőben érintett témák egy részéről elérhető külön cikk, amelyből részletesebben megismerhetők az érintett technológiák.

Az iCloud szolgáltatás, és benne az iCloud Keychain…
A Keychain Access / Kulcskarika elérés alkalmazás, kulcskarikáink gyűjtőhelye…
Az AirDrop konfiguráció nélküli Wi-Fi Direct adaptáció…
A MacFixit.com 10 biztonsági tippje…

Privacy / Adatvédelem
A nevének megfelelően a panel első része az adatvédelemmel foglalkozik. Az Apple ezt a területet akkor kezdte előtérbe tolni, amikor is botrány kerekedett abból, hogy az App Store-ból letöltött alkalmazások mindenféle engedélykérés nélkül feltöltik a címtárunkat az alkalmazás használata közben. Ezt követően előbb engedélykérés történt, és csak a jóváhagyásunkkal töltik fel az alkalmazások a címtárunkat. Az adatvédelem kapcsán vannak jó és szerencsétlen megoldások: például az Apple által biztosított iMovie számára jóvá kell hagyni, hogy az Apple által biztosított Photos / Fotók alkalmazás tartalmához hozzáférjen, vagy hogy használja a mikrofonunkat. Az Apple-nek különbséget kellene tenni a felhasználói interakció és a program váratlan működési eseményei között, és amikor a felhasználó szeretne hangfelvételt készíteni, akkor nyilván nem kell külön engedélyt kérni a mikrofon használatához, viszont minden más esetben le kellene tiltani a hozzáférést. Ehhez képest a megoldást inkább zavaró és értelmetlennek tűnő udvariaskodások jellemzik, ráadásul ha egyszer felhatalmaztunk egy programot, utána nem zártuk ki annak lehetőségét, hogy kártékony módon működjön például egy frissítést követően. Mindenesetre az adatvédelmi párbeszédablakok sokasága, ami a rendszerben felbukkan, sokkal inkább szolgálja azt a show-t, hogy érezzük, hogy az adatvédelem körülvesz minket és fontos az Apple számára, mint valódi védelmet az adatainknak.

Alapvető irányelv, hogy gyanús forrásból származó alkalmazásokat nem érdemes elindítani és semmire felhatalmazni. Ugyanakkor az Apple elképesztő hosszúságú adatvédelmi panelje sem szabad, hogy hamis biztonságérzettel töltsön el, mert manapság a hackerek nem a számítógépet fogják feltörni, ha kíváncsiak valamilyen adatra, hanem a hagyományosan biztonsági hézagokkal teli WiFi routereket, az internetszolgáltató által biztosított kábelmodemet, amiken keresztül sokkal könnyebb dolguk van, mint egy jól védett operációs rendszer feltörésével.

Természetesen nem kritikai észrevételekkel kívánjuk bemutatni az adatvédelmi panelt, de néhány hét Mac használat után érzékelhetjük, hogy sok esetben ezek az adatvédelmi párbeszédek a rendszer részéről nem mindig az életszerű napi használat igényei szerint működnek.

• Helymeghatározás
A felület első eleme a helymeghatározás. A helyzetünkkel kapcsolatos adatokat számos alkalmazás használja, még ha ebbe alap esetben nem is gondolunk bele. Amikor megnyitjuk a Google Maps weboldalt, azt a térséget látjuk, ahol tartózkodunk. Amikor ellenőrizzük a Weather / Időjárás alkalmazás előrejelzését, az is a pontos helyünket közli. Ennek az a módja, hogy a számítógép a WiFi hálózat adatai alapján nagyjából be tudja határolni, hogy hol található. Emellett számos alkalmazás használja a helyszínünket, például a Calendar / Naptár képes az alapján jelezni, hogy egy adott helyen tartózkodunk-e, és így nem csak idő alapú, hanem helyszín alapú értesítésre is képes. De természetesen az Apple Maps / Térképek alkalmazása is képes az aktuális helyzetünk alapján útvonaltervet készíteni, illetve az iránytű mutató gombra kattintva az aktuális helyzetünknek megfelelő térképcikkre ugrik. Hasznos dolog a Home / Otthon alkalmazás részéről is, hogy tudja, hogy éppen melyik helyszínnek az eszköztárát kell megjelenítenie.

A rendszer engedélykéréssel fordul felénk a helymeghatározással kapcsolatosan, amelyet jóváhagyhatunk állandó jelleggel, vagy arra az időszakra, amikor az adott alkalmazás fut. Továbbá arra is képes, hogy a felső menüsoron egy iránytű mutatója jelenjen meg, amikor éppen valamely szolgáltatás igényli a helyzetünket. Vagyis vizuális visszajelzést kapunk arról, hogy éppen használatban van a helymeghatározás.

A Find My Mac / A Mac gép keresése funkció is használja a helyszínt, és egy eltűnt Mac esetén akár kikapcsolt állapotban is lehetőség van alacsony teljesítményű helyzet adatok begyűjtésére Bluetooth eszközök közelségi információja alapján, amely révén elvben könnyedén lokalizálható lenne egy ellopott Mac.

Végül pedig a rendszerszolgáltatások kapcsán szabályozhatjuk, hogy milyen céllal figyelheti a Mac a helyzetünket. Itt például lehetnek hely alapú értesítések (Location-based alerts), hely alapú javaslatok - például keresésnél vagy Siri használatakor (Location-based suggestions), helyzetünk alapján automatikusan történhet az időzóna beállítása, illetve egyéb rendszer testreszabások - például az önműködő váltás időzítése a világos és sötét módok között az Appearance / Megjelenés panelen, az említett Findy My Mac / Mac gépem keresése funkció, a HomeKit (például bizonyos eszközök ki- és bekapcsolása okán), hálózati és vezeték nélküli szolgáltatások, Mac elemzés.

Itt, az utolsó elemen tudjuk bekapcsolni, hogy a macOS kijelezze, ha valamilyen szolgáltatás igényli a helyzetünkről szóló információt. Ekkor jelenik meg az iránytű mutató a felső menüsoron.

• Címtár
Egyes alkalmazások hozzá kívánnak férni a Contacts / Kontaktok programban tárolt címtárunkhoz. Ennek célja például a Pages program esetén a Mail Merge / Körlevél funkció használata. Itt megfigyelhetjük az egyik olyan jelenséget, amely miatt némi kritika érte az Apple-t. Az illusztráció legfelső eleme a gamed nevű folyamat. Felmerül a kérdés, hogy ez pontosan mi lehet, és miért kell tudnia egy átlagfelhasználónak, hogy a game daemon nevű folyamat miért akar hozzáférni a kapcsolatainkhoz. Természetesen aki lelkes olvasónk, tudja, hogy a Game Center nevű szolgáltatás feltérképezi az ismerőseinket, és a gamed egy ehhez tartozó folyamat, de erről a beállítási felület egyetlen gondolatot sem szól, pedig legalább az egérkurzor név fölé mozgatására lehetőség lenne kiírni, hogy a Game Center szolgáltatáshoz tartozik a funkció. Az efféle jelenségek okán egészen mély Apple hívők is kritizálják az Apple-t, ugyanis egyáltalán nem felhasználóbarát az, hogy egy ijesztő Terminal ikonnal ellátott, kisbetűs írásmóddal megjelenő folyamat kíváncsiskodik a címtárunk iránt. Természetesen azonban rendszerfolyamatról van szó, amelyet más helyen hagytunk jóvá más formában, és itt csak annak az eredményét látjuk.

• Caneldars / Naptárak
Ezen alkalmazás adatbázisához olyan más alkalmazások kérnek hozzáférést, amelyek általában valamilyen időhöz kötött emlékeztetőt kívánnak közölni velünk. A MacTracker alkalmazás például tud jelezni a számítógépünkkel kapcsolatos bizonyos információk kapcsán, mint a garancia vége vagy a támogatottság megszűnése.

• Reminders / Emlékeztetők
Az emlékeztetőket szintén olyan alkalmazások használják, amelyek valamely időpont elérésekor kell hogy jelezzenek a számunkra.

• Photos / Fotók
Némileg abszurd az a helyzet, amikor az Apple kínálta Final Cut Pro vagy Motion engedélyt kér ahhoz, hogy hozzáférjen az Apple kínálta Photos / Fotók alkalmazás képeihez. Az Apple azonban fontosnak tartotta az adatvédelmet ilyen módon is érvényesíteni. A bevezető gondolatokban említett túlburjánzás példája az, amikor az egyik alkalmazásunkat korlátozzuk a másik alkalmazásunk kulcs fontosságú adatainak elérésében. Mintha a saját lakásunk fürdőszobájába kulcsra zárt ajtón keresztül járnánk csak be. Az iMovie esetén még korlátozhatjuk is a hozzáférést. Természetesen ezekkel az alkalmazásokkal a saját kontónk alatt tipikusan saját magunk alkotunk, tehát az efféle korlátozások e szempontból értelmetlenek. Nyilván a gépen lévő más felhasználó nem fér hozzá a fényképeinkhez semmilyen módon.

A sor végén itt is megjelenik egy átlagfelhasználó számára ismeretlen folyamat: a sharedfilelistd nevű daemon egy olyan rendszerszolgáltatás, amely a megosztások közt jeleníti meg az adott képet.

• Bluetooth, Microphone / Mikrofon, Camera / Kamera, HomeKit
A következő négy eleme az adatvédelmi felületnek a gép hardverelemei, amelyekhez korlátozhatjuk és engedélyezhetjük a hozzáférést. A HomeKit esetén olyan alkalmazások kerülnének listázásra, amelyek hozzá kívánnak férni bizonyos okos otthon kiegészítőink által biztosított adatokhoz.

• Speech Recognition
A rendszer diktálás útján megszerzett szövegfelismerési képességét használó alkalmazásokat engedélyezhetjük és tilthatjuk.

• Media & Apple Music / Média és Apple Music
A Music / Zene alkalmazásban tárolt és azon keresztül elérhető tartalmakhoz való hozzáférést engedélyezhetjük vagy korlátozhatjuk ezen a felületen. Például alternatív lejátszóprogramok, mint a VOX kérhetnek hozzáférést ezekhez a tartalmakhoz.
Bővebben a VOX lejátszóról…

• Files & Folders / Fájlok és mappák; Full Disk Access / Teljes lemez hozzáférés
A két felület részint összefügg. Az egyik esetben csak a megkívánt alapvető fájlokhoz és mappákhoz adunk hozzáférést, míg a másik esetben a teljes lemezhez. Utóbbi eset csak olyan programok számára indokolt, mint a DiskWarrior lemezkezelő, amelynek működési jellegéből adódóan hozzá kell férnie a teljes lemezhez. Más programokat nem indokolt ilyen joggal felruházni.

• Focus / Fókusz
Azon alkalmazások listája, amelyek a System Settings / Rendszerbeállítások program Focus / Fókusz panelén megadottakhoz hozzáférnek. Ilyen például a Messages / Üzenetek alkalmazás, amely képes kifelé jelezni a beállításunkat, hogy egy üzenetküldő tisztában legyen vele, hogy az adott időben a gép csak csendesen kézbesíti az üzeneteket, vagyis ne várjon gyors választ.
Bővebben a Focus / Fókusz panelről és beállításairól…

• Accessibility / Kisegítő lehetőségek
Néhány alkalmazás igénybe veszi a rendszer kisegítő lehetőségeit, mint a zárt feliratok, illetve az onnan származtatott beállításokat, amelyet e felületen tudunk engedélyezni és tiltani.
Bővebben az Accessibility / Kisegítő lehetőségek panelről és beállításairól…

• Input Monitoring / Bemenet figyelés (bevitel megfigyelés)
Ez a paraméter a billentyűzeten bevitt tartalmakat rögzítő alkalmazások számára ad engedélyt, ha ilyet igénybe veszünk. Itt természetesen nem kémprogramra kell gondolni, ami rögzíti, hogy miket írunk be a billentyűzeten, hanem például olyan külső alkalmazást, amely szeretné használni a médiavezérlő gombokat, amiket az Apple a saját alkalmazásaihoz engedélyez megcímezni, de külső programoknak hozzáférést kell kérniük a vissza-lejátszás-előre gombok használatához. Itt az ilyen alkalmazások kerülnek felsorolásra.

• Screen Recording / Képernyőfelvétel
A képernyőt nem csak a QucikTime és a ScreenShots / Képernyőfotók alkalmazás tudja rögzíteni, hanem más megoldások, például a Screen Sharing / Képernyőmegosztás és a külön letölthető Team Viewer is ezt a technológiát használja a működéséhez. Erre külön engedélyt kérnek, amelyet ezen a felületen utólag szabályozhatunk.

• Automation / Automatizálás
A System Settings / Rendszerbeállítások program Keyboard / Billentyűzet paneléről szóló írásban esik bővebben szó a Services / Szolgáltatások kategóriában lévő billentyűparancsokról. Ezek célja, hogy több lépésből álló műveletsorokat gyorsítsanak fel, tegyenek rövidebbé több alkalmazáson keresztülnyúló képességeikkel.

Hogy mely alkalmazások szolgáltatásait engedélyezzük, azt ezen a felületen tudjuk szabályozni.

• App Management / App felügyelet (Alkalmazás kezelés)
Olyan alkalmazásokat listázhatunk, amelyeknek joga van más alkalmazásokat módosítani, törölni, frissíteni, telepíteni. Alaphelyzetben a Terminal ilyen, amely képes lenne akár klasszikus alkalmazást is telepíteni, de számos parancssoros alkalmazást telepítünk is vele, amennyiben aktívan használjuk.

• Developer Tools / Fejlesztőeszközök
A fejlesztők számára olykor speciális jogosultságokkal rendelkező alkalmazások használata is indokolt, amelyek működését ezen a felületen szabályozhatjuk.

Végül pedig kettő, valóban személyes adatokat az Apple irányába védelmező megoldást találunk a felület listája alatt.

• Analytics & Improvements / Elemzés és javítások
Lehetőségünk van arra, hogy az Apple-lel és/vagy a külső fejlesztőkkel megosszuk a Mac használati statisztikákat, hibaüzeneteket, naplókat és diagnosztikát, illetve a Siri értelmezést és diktálást, melyhez a rendszer elküldi az Apple számára a hanganyagokat, ahol gépek vagy élő személyek hallgatják azt vissza, hogy javítsanak a technológia működésén.

Az Apple ígérete szerint anoním dologról van szó, de mint kaptilista amerikai cég, nyilván érdemes átgondolni, hogy elküldjük-e az adatainkat, hiszen a rendszer profil alapján a sorozatszámot vissza tudja követni az Apple, a sorozatszám alapján pedig az első garanciás javításnál azonosítható a felhasználó is. Az Apple tudhatja, hogy milyen programokat használunk, mennyi ideig, vagy akár azt is, hogy milyen tartalmakat nézünk meg az interneten, milyen WiFi hálózatokra csatlakozunk fel, stb. A szolgáltatást az óvatosabb felhasználóknak így praktikus kikapcsolni.

• Apple Advertising / Apple-hirdetések
Lehetőség van arra, hogy az Apple személyre szabott hirdetésekkel bombázzon, vagyis az eszközeink típusával és a felhasználói szokásainkkal harmonizáló hírleveleket kapunk, nem pedig az általános hírlevelet. Az Apple emellett figyeli az App Store keresőmezőt, a letöltött alkalmazásokat, a Stocks / Részvények alkalmazásban elolvasott cikkeket, az Apple News érdeklődést (ahol az elérhető), a földrajzi helyzetünket.

Alkalmazásbiztonsági irányelvek

A System Settings / Rendszerbeállítások program Privacy & Security / Adatvédelem és biztonság felületének következő eleme a Gatekeeper / Kapuőr fantázianevű biztonsági szolgáltatás. Ez is egy hatékony védelmi megoldás, amely révén nem tud bármilyen alkalmazás elindulni a Mac-en. Ezzel a módszerrel az Apple a napjainkban leggyakoribbá váló, felhasználói központú támadások esélyét igyekszik csökkenteni. (A szakkifejezéssel man-in-the-middle támadásnak nevezett betörés révén a felhasználóval elhitetik, hogy ha letölt egy alkalmazást, akkor az valamilyen hasznos és ingyenes tudással egészíti ki a gépét, miközben csak ajtót nyit a betörők, adathalászok, tolvajok számára.)

A Gatekeeper funkció alapértelemezés szerint csak az App Store-ból letöltött programokat engedi futtatni, és persze azokat az alkalmazásokat, amelyek gyárilag a Mac-en vannak. A másik lehetőség, hogy az Apple által azonosított, hitelesített fejlesztőktől származó, de nem az App Store-ból letöltött alkalmazások futtatására is mód van.

Egy alkalmazás futtatásához tehát két feltétel valamelyike szükséges: vagy a App Store-on keresztül terjesszék, amely az Apple minőség ellenőrzésén átfut, és közvetlenül az Apple szervereiről töltődik le, biztosítva azt, hogy letöltés közben nem sérül vagy módosul. Vagy pedig a fejlesztőnek rendelkeznie kell Apple Developer Connection regisztrációval, amely révén az Apple-től tanúsítványt kap arra vonatkozóan, hogy programja megbízható. Ekkor a telepítő programban megtekinthető tanúsítvány is található. Ez utóbbi programokat az Apple nem ellenőrzi, de ha valami visszaélést tapasztal, akkor azonnal megvonja a tanúsítványt a fejlesztőtől, amely révén a program nem lesz telepíthető semelyik Mac-re.

Ez természetesen nem jelenti azt, hogy nem tudunk elindítani olyan programot, amelyről tudjuk, hogy megbízható, de a fejlesztő nem az App Store-ban terjeszti az alkalmazást, és nem is rendelkezik Apple Developer Connection azonosítóval. Amennyiben olyan programmal találkozunk, amelyről tudjuk, hogy nem adathalász alkalmazás, hanem ismert, megbízható program, akkor a következőképpen tudjuk elindítani: a Finder felületen a program ikonjára Control-kattintva az Open / Megnyitás parancsot választjuk. Ekkor a Finder rákérdez, hogy biztosan el akarjuk-e indítani az adott programot, amelyet az Open / Megnyitás gombra kattintva tehető meg. Ezzel a lépéssel a Gatekeeper rögzíti, hogy a szoftvernek ez a verziója jóvá lett hagyva, és többször nem akadályozza az elindítását.

Perifériakapcsolatok

Néhány éve kapott hírverést, hogy ügyes hackereknek sikerült feltörnie a Mac-et WiFin keresztül. A világsajtót fútótűzként bejárta a főcím, el is terjedt a hír, hogy már a Mac sem a régi. Az a 7%, aki a cikket is elolvasta, megtudhatta, hogy a feltörés módja az volt, hogy egy módosított meghajtóprogrammal és firmware-rel csatlakoztatott USB alapú WiFi adaptert használtak az ügyes hackerek a művelethez.

Ezen nincs igazi meglepetés: míg az Apple általában valóban fejlett biztonsági szabványokat alkalmaz, adataink mozgásának legvédtelenebb eleme, amikor olcsó hálózati eszközökön fut keresztül az adat. Ha mindehhez eleve olyan meghajtóprogram van írva, amelynek célja az, hogy kaput nyisson a behatolóknak, akkor még egyszerűbb a belépés a gépre.

Ez az eset inspirálta az Apple-t arra, hogy korlátozza a külső perifériák csatlakoztatását. Az ötlet egyébként nem volna rossz, de az elején ez is kissé túl lett tolva: például engedélyt kért az operációs rendszer az évek óta használt kijelző csatlakoztatásához. Szerencsére a System Settings / Rendszerbeállítások program lehetőséget ad a funkció finomhangolására, hogy az valóban a szolgálatunkra legyen, és ne megutáltassa velünk a biztonság iránti fogékonyságot.

A perifériák csatlakoztatásának négy beállítása lehet: az egyik opció, hogy mindig minden csatlakozhat (Always). Tehát ha valaki egy óvatlan pillanatban rádug egy USB eszközt a gépre, akkor az lefuttathat kártékony alkalmazást, és hozzáférést adhat a géphez.

A másik, kényelmi opció, hogy a gép csak akkor enged kérdés nélkül perifériákat csatlakoztatni, ha a fel van oldva, tehát vélhetőleg a gép előtt ülünk, és látjuk, hogy csatlakozik hozzá egy hardver (Automatically when unlocked). Ez talán a legésszerűbb és kényelmesebb megoldás, hiszen tiltja a kapcsolatot akkor, amikor a gép zárolva van, viszont nem akadékoskodik, ha a felhasználó maga szeretne csatlakoztatni valamilyen kiegészítőt.

További lehetőség, hogy az új, addig még nem használt kiegészítők esetén kérjen engedélyt a rendszer (Ask for new accessories). Ez is hasznos, hiszen egy megbízható eszközt nyugodtan és kérdés nélkül újracsatlakoztathatunk, míg egy idegen eszköznél mindenképpen kérdést dob fel a rendszer.

Végül pedig az Apple azokra is gondolt, akik szeretik az irritáló és felesleges párbeszédablakokat: lehetőségünk van arra, hogy akár jóváhagytuk az eszközt, akár nem, akár a gép előtt vagyunk, akár nem, mindig engedélyt kérjen a Mac a kiegészítő csatlakoztatására (Ask every time).

Ezzel a beállítással találhatunk olyan módszert, amellyel kellően biztonságossá tehetjük a Mac-et a bevezetőben felvázolt káros hardveregység csatlakoztatásának eshetőségére is, és megóvhatjuk a gépet attól, hogy egy ilyen kémhardver esetén a Mac egyáltalán kommunikáljon a kiegészítővel.

FileVault: Visszaállítási kulcs és Iratszéf titkosítás

Hosszú évek óta alapvető biztonsági szolgáltatás a Mac gépeken a FileVault 2 nevű titkosítási technológia, amely révén az egész meghajtó XTS-AES 128 szabványú kódolás alá kerül 256-bites kulccsal titkosítva. Minden újonnan üzembe helyezett Mac esetén a rendszer felajánlja a FileVault titkosítás aktiválását, amely a teljes lemez tartalmát titkosítja. Ezáltal a gépen lévő adatokhoz csak az fér hozzá, aki a jelszó birtokában van: a rendszert csak jelszóval lehet elindítani.

Az Apple Silicon alapú rendszerek a Data Protection Class C típusú, hardveres titkosítást használják, és minden újonnan létrehozott fájlt 256-bites, fájl alapú kulccsal titkosítják. Egyes utolsó sorozatú Intel alapú gépek, amelyek tartalmazzák az Apple T2 Security Chip nevű komponenst, szintén dedikált segédprocesszorral titkosítják az adatokat. A kulcsok minden esetben a processzoron vagy segédprocesszoron belüli biztonságos enklávéban kerülnek eltárolásra, tehát azok nem kerülnek feltöltésre az Apple szervereire, illetve kívülről nem hozzáférhetőek.

A FileVault bekapcsolásakor kettő lehetőségünk van a jelszó elfelejtés esetén bekövetkező esetleges visszaállításra: elsőként az iCloud fiókunk képes feloldani a FileVault segítségével lezárt lemezt (Allow my iCloud account to unlock my disk / iCloud fiók engedélyezése a lemez felnyitásához), a másik lehetőség, hogy a gép létrehoz egy visszaállítási kulcsot (recovery key), amely arra a célra szolgál, ha a fiókunk jelszavát elfelejtenénk, vagy azt valamilyen okból nem fogadná el a rendszer, akkor tudjunk új jelszót megadni, bejelentkezni a kontóra, és szabadon ki tudjuk kapcsolni a titkosítást (Create a recovery key and do not use my iCoud account / Visszaállítási kulcs létrehozása és az iCloud fiók kihagyása).

(Amennyiben a FileVault aktív, nem tudjuk a helyreállítási módban elindítható Reset Password / Jelszó visszaállítás eszközzel törölni a régi jelszót és újat megadni, mert olyankor a telepítőlemez nem látja a FileVaulttal titkosított kontót.)

Fontos, hogy a visszaállítási kulcsot (recovery key) tároljuk el valami biztonságos helyen, akár papírra felírva, a géptől külön, vagy szöveges dokumentumba kimentve, és azt valami internetes tárhelyre feltöltve. A visszaállítási kulcs lehetőséget ad arra, hogy a fiók jelszó elfelejtése esetén be tudjunk lépni a gépbe, és ne veszítsük el örökre a Mac tartalmát. Ha a belépési jelszót elfelejtjük és a visszaállítási kulcs sem áll rendelkezésünkre, akkor nem férünk hozzá a gépen lévő tartalomhoz.

A FileVault 2 nem használ külön jelszót, minden felhasználó a maga kontó jelszavával tudja kinyitni a titkosított tartalmat, tehát nem kell egy közös jelszót ismerni.

Lockdown Mode / Zárt mód - Brutális korlátozások kybercélpontok számára

A macOS által kínált Lockdown Mode / Zárt mód azt a különleges esetet hivatott kezelni, amikor egy adott személy ellen kybertámadás indul, és mindenféle digitális fenyegetés éri.

Elsőre úgy tűnhet, hogy a koronavírus lezárás (lockdown) alatt valamely Apple fejlesztők túl sok Mission Impossible-t néztek, ám tény, hogy olykor befolyásos üzletemberek vagy éppen keresett bűnözők számítógépét minden lehetséges módon próbálják feltörni. Mint az fentebb említésre került, a feltörésnek egyszerűbb módja egy hotel WiFi hálózatát vagy az otthoni internetkapcsolat gyenge pontjait használni, de az Apple alkotott egy olyan módot, amelyben szinte minden, internet alapú használati élménye elvész a Mac-nek, ám elvileg kívülről a legkisebb az esély a behatolásra és az érzékeny adatokhoz való hozzáférésre.

A Lockdown Mode / Zárt mód bekapcsolása után újra kell indítani a gépet, és gyakorlatilag minden funkció sokkal gyérebben működik majd: a weblapok lassabban töltődnek be, bizonyos tartalmak nem úgy jelennek meg, néhány webes funkció nem működik biztonsági okokból, FaceTime hívást csak attól fogadhatunk, akit korábban hívtunk, a Photos / Fotók felületéről eltűnnek a megosztott albumok, a Mac nem érzékeli a csatlakoztatott perifériákat, csak ha feloldjuk (lásd a fentebb részletezett funkciót), konfigurációs profilok nem telepíthetőek és a távoli elérés is megszűnik, az üzenetekben pedig csak néhány típusú fájlt kaphatunk meg csatolmányként.

Megjegyzés: A konfigurációs profilokkal üzemelő gépeken a már telepített profilok működésben maradnak, és a rendszer adminisztrátorok képesek frissíteni a profilokat vagy törölni azokat, a felhasználó azonban csak a Lockdown Mode / Zárt mód kikapcsolásával telepíthet profilt.

Bővítmények szabályozása

Az Extensions / Bővítmények fogalma ismerős lehet a klasszikus Mac felhasználók számára, akik már a Mac OS 9-es időkben vagy az előtt használtak Mac-et. A rendszerinduláskor a Mac-es ismerőseink csodálták, hogy mennyi bővítmény töltődik be, és hasznos beszélgetések folytak azzal kapcsolatosan, hogy melyik kiegészítő pontosan miért is nagyszerű.

Sok időnek kellett eltelnie: a 11. macOS operációs rendszer verzió hozta vissza ezt a funkciót abban a tálalásban, amely talán a legközelebb áll a Mac OS Classic világához. Az Apple persze újdonságként adta el a szolgáltatást, de akik elég régóta használnak Mac-et, bizony élő emlékként idézhetik fel és hasonlíthatják össze a régi Extensions / Bővítmények felületet a mostanival.

Mi is volt az Apple célja ezzel a képességgel? Nos, elsősorban az, hogy „legális” utat mutasson a fejlesztőknek a rendszerszintű bővítmények készítéséhez. Az Apple nagyon kötött dolognak tart sok paramétert, és egy olyan lehetőség, amely révén egy védett memóriával futó, a sandboxing szolgáltatás révén szigorúan körbekerített alkalmazás bizonyos funkciója átnyúlik egy másik alkalmazásba, nem volt megengedett bárkinek, gyakorlatilag csak az Apple-nek. Az Extensions / Bővítmények révén olyan Mac App Store-ban terjesztett alkalmazások számára nyílik meg ez a képesség, amelyek tartalmaznak olyan elemeket, melyek más programokban vagy felületeken is hasznosak lehetnek, nem csak a programablakukban, esetleg tudásukat úgy is szeretnénk használni, hogy maga a program nem is fut.

Az Extensions / Bővítmények felületen ennek megfelelően - a már telepített bővítményeket külön listázó felső szakasz (Added extensions / Hozzáadott bővítmények) alatt - öt kategóriába vannak gyűjtve a bővítményeink: Actions / Műveletek, Photos / Fotók editing / szerkesztés, Quick Look / Gyorsnézet, Sharing / Megosztás és Finder.

Az Actions / Műveletek alatt található a gyárilag biztosított Markup / Korrektúra, amely révén például kiemelhetünk bizonyos részleteket egy képen, beleírhatunk egy PDF iratba, aláírást hozhatunk létre szabad kézzel a Mac ujjkövetőjét használva - azaz sokféle olyan műveletet végezhetünk el egy képen vagy egy PDF-en, amelynek elvégzésére az adott program nem lenne alkalmas, de a bővítmény segítségével azzá válik.

Az Apple alapból a Mail levelezőprogrammal példázza a funkció használatát, hiszen ott remek módunk van arra, hogy például egy PDF-ben érkezett szerződést anélkül írjunk alá, hogy kinyomtatnánk és szkennelnénk. Elég csak a Markup / Korrektúra funkciót használni, és akár a beépített ujjkövetővel, akár a beépített kamera fényképező képességével létre is tudjuk hozni az aláírásunkat. Módunkban áll képek bizonyos részét bekarikázni, magyarázó szöveget írni valamihez, például egy látványtervet véleményezni ilyen formában, és azon feltüntetni az észrevételeinket is.

Az Extensions / Bővítmények funkció Actions / Műveletek tudástára a kép jobb felső sarkában lévő, kis nyíllal jelzett menüből érhető el. Erre bökve alapból a Markup / Korrektúra és a More… / Továbbiak… opció jelenik meg, de ha van telepítve olyan programunk, amely képes beépülni egy bővítmény formájában a rendszerbe, akkor azt is elérhetjük innen. Ahhoz, hogy ebben a menüben az megjelenjen - például a képen látható, Pixelmator programhoz tartozó Repair Tool / Javító eszköz -, előbb akár a More… / Továbbiak… menüelemre kattintva a System Settings / Rendszerbeállítások program Privacy & Security / Adatvédelem és biztonság felületének Extensions / Bővítmények részén a megjelenő kiegészítőket aktiválnunk szükséges.

Vissza is kanyarodtunk a fentebb említett négy elemhez, amelyek közül most az Actions / Műveletek funkcióit taglaltuk. Itt megtalálható alapértelmezés szerint a rendszer által biztosított Markup / Korrektúra funkció, valamint alatta, inaktívan más programok bővítményei, így a külön megvásárolható Pixelmator grafikus szerkesztő alkalmazás által kölcsönözött Repair Tool. Ezt pipával bekapcsolva máris élni fog az összes olyan programban, amely támogatja a bővítményeknek ezt a fajtáját.

Amennyiben sokat foglalkozunk fényképekkel és vannak a gépen grafikus alkalmazások, akkor a Photos editing / Fotók szerkesztése felületen bizonyosan több bővítményt is találunk. A Filters for Photos képességeiről a Photos / Fotók programot bemutató cikksorozatban is esett szó, illetve a Photos / Fotók programot bemutató magyar nyelvű ekönyv is nagy részletességgel taglalja a témát.

A Quick Look / Gyorsnézet alatt nem azokat a hasznos képességeket találjuk, amelyek a Finder felületén elérhetőek szerkesztésre és egyéb feladatokra, hanem olyan bővítményeket találunk, amelyek révén egyes alkalmazások lehetővé teszik, hogy speciális fájlformátumaikat a rendszer meg tudja jeleníteni Quick Look / Gyorsnézet esetén. Itt például a Pixelmator Pro helyez el bővítményeket, de számos speciális videó feldolgozó hardver meghajtóprogramja is rak a rendszerbe Quick Look / Gyorsnézet bővítményt, hogy a kamera által rögzített speciális kódolási eljárás eredményébe bele tudjunk így pillantani, és ne csak egy ikon jelenjen meg a gyorsnézet ablakban.

Az operációs rendszer több felületén található megosztást célzó menü. Ez lehet egy gomb vagy egy tényleges menüelem, ám mindkét esetben közös tulajdonsága, hogy a System Settings / Rendszerbeállítások Extensions / Bővítmények panel Sharing / Megosztás felületén tudjuk szabályozni a tartalmát, az egyes elemeinek jelenlétét vagy hiányát.

Néhány elem is alapvető és nem módosítható, mint a Mail, Messages / Üzenetek vagy AirDrop - ezeket a szolgáltatásokat azonnal tudjuk használni, csak email fiók, valamely üzenetváltóra való regisztráció, illetve a közelben lévő Mac vagy iOS eszköz szükséges.

A Sharing / Megosztás további eleme az Add to Photos / Hozzáadása a Fotókhoz parancsok, amelyek akkor jelennek meg, ha egy kép kiválasztása mellett nyitjuk meg a megosztás menüt. A parancs segítségével a fotóprogramba importálhatjuk az adott képet vagy képek sorozatát.

A Finder lista alatt találhatóak azok a bővítmények, amelyek a macOS grafikus felhasználói felületének alap alkalmazását, a Finder felületet érintik. Itt számos olyan grafikai képesség is elérhető, amelyek elképesztő tudással bővítik ki a Finder felületén pusztán a Quick Look / Gyorsnézet formájában megnyitott tartalmakat - például el tudjuk távolítani egy kép hátterét (Remove Background), levághatjuk egy videó elején és végén lévő felesleges másodperceket (Trim), vagy elforgathatjuk a tartalmakat (Rotate).

Ezekről a képességekről nagy részletességgel a Finder felületét bemutató magyar nyelvű ekönyv számol be…

Profilok kezelése - Központilag menedzselt beállítások alkalmazása a Mac-en

A vállalatok és intézmények világában alapvető megoldás az MDM (Mobile Device Management), azaz egy olyan központosított szolgáltatás, amellyel meghatározhatunk a cég vagy intézmény dolgozói számára kiosztott eszközökön bizonyos beállításokat, valamint egyes országokban akár a céges Apple ID-vel vásárolt alkalmazásokat, könyveket. Az MDM megoldások konfigurációs profilok segítségével működnek, amelyek bizonyos beállításokat tömegesen és központilag meghatároznak a Mac gépen.

Mik azok a konfigurációs profilok?
Az iOS eszközök terjedésével az Apple a Mac gépeknél is meghonosította az XML alapú konfigurációs profilok létrehozását és terjesztését a menedzselt eszközök számára, amely egyszerűbbé teszi nagy számú eszköz beállítását, illetve segíti a céges vagy intézményi politikához illeszkedő beállítások terjesztését. A profil tulajdonképpen egy beállítás gyűjtemény, amely a céleszközön különféle beállításokat hajt végre azonnal, ahogy telepítjük.

Vannak olyan beállítások, például tipikusan intézményeknél használt 802.11X titkosítású hálózati hozzáférést leíró fájlok, amelyeket csak konfigurációs profilban tudunk telepíteni.

Konfigurációs profilt az Apple Configurator nevű ingyenes alkalmazással hozhatunk létre és például weblapról vagy emailben kiküldve terjeszthetünk. A konfigurációs profilok úgynevezett rakományokban gyűjtik a beállításokat. Egy rakomány (payload) egy-egy tematikát ölel fel, így külön rakomány „szállítja” a WiFi beállításokat, a felhasználói jogokat, az alapértelmezett böngészőt vagy éppen speciális hálózati használati lehetőségeket. A rakományok tehát különböző konfigurációs paramétereket rögzítő elemek: általános információk a profilról, jelszó politikát állíthatunk be a gépre, előre konfigurálhatjuk a céges email címet, hogy utólag ne kelljen, hasonlóképpen a céges vagy intézményi WiFi kapcsolatokat is előre meghatározhatjuk, így nem szükséges jelszókat kiadnunk.

Ezeken kívül a Dock, a bejelentkezéssel induló programok és megnyíló iratok, a Finder használata, a nyomtatók elérése és kezelése, valamint a szülői felügyeletek is konfigurálhatók. Telepíthetünk betűcsaládokat, tanúsítványokat, konfigurálhatjuk az AirPlay működést és a VPN-t, beállíthatjuk a Calendar / Naptár és a Contacts / Kontaktok (címtár) hálózati forrásait.

Ha mindent megfelelően konfiguráltunk, akkor létrejön egy összefoglaló felület, ahol áttekinthetjük a profil tartalmát, illetve menthetjük a változásokat. A profilt letölthetjük és magát a fájlt terjeszteni is tudjuk, így ha a beállítások megfelelőek több Mac-re is, akkor módosítás nélkül, csoportosan elküldve.

Amennyiben nem minden megfelelő - például a Mail beállítások vélhetőleg eltérőek -, akkor a létrehozott profilt megnyitva, sokszorosítva a különböző felhasználók számára lehetőségünk van azt eltérő paramétereket módosítva terjeszteni.

Tipp: Praktikus lehet a mindenki számára azonos anyagokat egy profilba menteni, és az eltéréseket egy másik profilban tárolni.

Profilok telepítése
A létrehozott profilokat a fent megjelölt módokon küldhetjük el a kliensek számára. A legpraktikusabb, ha bejelentkeznek egy céges vagy intézményi User Portal felületére a szerver.hu/mydevices cím használatával. Itt mindig a legfrissebb konfigurációs profilokat érhetik el, és letöltést követően dupla kattintással telepíteni is tudják a tartalmukat.

A telepítéskor a System Settings / Rendszerbeállítások ablak rákérdez, hogy valóban telepíteni kívánjuk-e a profilt, és felsorolja, hogy milyen tartalmakkal rendelkezhet egy profil. A telepítést követően kiírja pontosan, hogy mennyi beállítást tartalmaz (16 settings / 16 beállítás), amelyeket fel is sorol részletesen.

A profilt alapértelmezés szerint törölhetjük, de lehetőség van ennek tiltására is.

Két haladó beállítás a programablak külön felületén

A Security & Privacy / Biztonság és Adatvédelem panel jobb alsó részén található egy Advanced… / Haladó… gomb, amelyre kattintva további beállításokat érhetünk el. Itt megadhatjuk, hogy az adott felhasználói fiók valamennyi idő után automatikusan kijelentkezzen (Log out automatically after inactiviy). Ennek előnye lehet, hiszen egy munkahelyi számítógép, amelyet egy dolgozó ott hagyott valamilyen okból, így nincsen kitéve adatvédelmi veszélynek, viszont ha egy másik dolgozó ugyanazon a gépen a saját kontójával szeretne dolgozni, nem kell kikapcsolnia a számítógépet erővel, hanem elég csak megvárni, amíg az automatikus kijelentkezés megtörténik, és utána beléphet a saját kontójával a gépre. Így elkerülhetőek az adatvesztések és az esetleges fájlrendszeri hibák az erőszakos kikapcsolás miatt.

Ugyanitt, az Advanced… / Haladó… gombra kattintva megjelenő kis ablakban van mód azt is megadni, hogy a System Settings / Rendszerbeállítások program minden rendszer szintű panel módosításánál jelszót kérjen. A System Settings / Rendszerbeállítások program biztonságát növeli az a paraméter, amely révén a rendszer jelszót kér bármely panel olyan beállításainak módosításához, amely a felhasználói fiókon kívül is érvénybe lép.

© MacMag.hu | Cikk: Birincsik József 2011. 05. 07. (Privacy & Security); 2015. V. 24. (Profiles); 2015. V. 25-26. (Extensions)

Frissítve: 2011. 07. 23.
Retina, macOS Yosemite, FileVault 2: 2014. 09. 13-14.
2023. február 21. (macOS Ventura)

Keresés a lap tartalmában a Google motorja segítségével: