Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La seguridad del sistema MacOS está diseñada para que tanto el software como el hardware estén
seguros en todos los componentes centrales de cada Mac. Esta arquitectura es fundamental para la
seguridad en macOS y nunca interfiere con la facilidad de uso del dispositivo.
UNIX
El núcleo macOS, el corazón del sistema operativo, se basa en Berkeley Software Distribution
(BSD) y en el microkernel Mach. BSD proporciona un sistema de archivos básico y servicios de
red, un esquema de identificación de usuarios y grupos, y muchas otras capacidades
fundamentales. BSD también impone restricciones de acceso a los archivos y recursos del sistema
en función de las ID de usuarios y grupos.
La seguridad del núcleo es esencial para la seguridad de todo el sistema operativo. La firma de
código protege el kernel y las extensiones de kernel de terceros, así como otras bibliotecas de
sistemas y ejecutables desarrollados por Apple.
MacOS controla los permisos en muchos niveles, incluidos los componentes Mach y BSD del
kernel. Para controlar los permisos de las aplicaciones en red, macOS utiliza protocolos de red.
CONTROLES DE ACCESO OBLIGATORIOS
MacOS también usa controles de acceso obligatorios, políticas que establecen restricciones de
seguridad creadas por el desarrollador, que no se pueden anular. Este enfoque es diferente de los
controles de acceso discrecional, que permiten a los usuarios anular las políticas de seguridad de
acuerdo con sus preferencias. Los controles de acceso obligatorios no son visibles para los
usuarios, pero son la tecnología subyacente que ayuda a habilitar varias características importantes,
como el sandboxing, los controles parentales, las preferencias administradas, las extensiones y la
protección de integridad del sistema.
Antes de que se incorporara la protección de integridad del sistema, el usuario raíz no tenía
restricciones de permiso, por lo que tenía acceso a todas las carpetas o apps del sistema en la Mac.
El software obtenía acceso a nivel de raíz cuando ingresabas tu nombre de administrador y
contraseña para instalarlo. Al hacer esto, se permitía que el software modificara o sobrescribiera
las carpetas o apps del sistema.
La protección de integridad del sistema brinda protección para las siguientes partes del sistema:
/Sistema
/usr
/bin
/sbin
Las apps y los instaladores de proveedores independientes pueden escribir a las siguientes rutas y
apps:
/Aplicaciones
/Biblioteca
/usr/local
La protección de integridad del sistema está diseñada para permitir modificaciones de estas partes
protegidas solo mediante los procesos firmados por Apple y que cuentan con autorizaciones
especiales para escribir a archivos del sistema, como las actualizaciones de software de Apple y
los instaladores de Apple. Las apps descargadas de Mac App Store ya funcionan con la protección
de integridad del sistema. Es posible que, si un software de proveedores independientes entra en
conflicto con la protección de integridad del sistema, se desestime cuando actualizas a
OS X El Capitan o versiones posteriores.
La protección de integridad del sistema también ayuda a impedir que cierto software seleccione
un disco de arranque. Para seleccionar un disco de arranque, selecciona Preferencias del Sistema
en el menú Apple y, a continuación, haz clic en Disco de arranque. O bien puedes mantener
presionada la tecla Option cuando reinicies la computadora y, luego, seleccionar un disco de
arranque de la lista.
EXTENSIONES DE KERNEL
MacOS proporciona un mecanismo de extensión del kernel para permitir la carga dinámica de
código en el kernel sin la necesidad de volver a compilarlo o volver a vincularlo. Debido a que
estas extensiones de kernel (KEXT) proporcionan modularidad y carga dinámica, son una opción
natural para cualquier servicio relativamente autónomo que requiera acceso a las interfaces
internas del kernel, como controladores de dispositivos de hardware o aplicaciones VPN.
Para mejorar la seguridad en Mac, se requiere el consentimiento del usuario para cargar las
extensiones de kernel instaladas con o después de instalar macOS High Sierra. Carga de extensión
de kernel aprobada por el usuario. Cualquier usuario puede aprobar una extensión del kernel,
incluso si no tiene privilegios de administrador.
CONTRASEÑA DE FIRMWARE
Nota: el chip Apple T2 en iMac Pro evita que los usuarios puedan restablecer la contraseña del
firmware, incluso si obtienen acceso físico a la Mac. En una Mac que no tenga el chip T2, se deben
tomar precauciones adicionales para evitar que los usuarios obtengan acceso físico a las partes
internas de la Mac.
RECUPERACIÓN DE INTERNET
Las computadoras Mac intentan iniciarse automáticamente desde MacOS Recovery a través de
Internet cuando no pueden iniciarse desde el sistema de recuperación integrado. Cuando eso
sucede, aparece un globo giratorio en lugar de un logotipo de Apple durante el inicio. La
recuperación de Internet permite a un usuario reinstalar la última versión de macOS o la versión
que se envió con su Mac. Las actualizaciones de macOS se distribuyen a través de la App Store y
las realiza el instalador de macOS, que aprovecha las firmas de código para garantizar la integridad
y autenticidad del instalador y sus paquetes antes de la instalación. De manera similar, el servicio
de recuperación de Internet es la fuente autorizada para el sistema operativo que se envió con una
Mac en particular.
Apple File System (APFS) es un nuevo y moderno sistema de archivos para macOS, iOS, tvOS y
watchOS. Optimizado para almacenamiento Flash / SSD, cuenta con cifrado sólido, metadatos de
copia en escritura, espacio compartido, clonación de archivos y directorios, instantáneas, tamaño
rápido de directorios, primitivas de seguridad de almacenamiento atómico y fundamentos de
sistemas de archivos mejorados, así como también diseño exclusivo de copia y escritura que utiliza
la unión de E / S para ofrecer el máximo rendimiento y garantizar la fiabilidad de los datos.
APFS asigna espacio en disco a pedido. Cuando un solo contenedor de APFS tiene varios
volúmenes, el espacio libre del contenedor se comparte y puede asignarse a cualquiera de los
volúmenes individuales según sea necesario. Cada volumen utiliza solo una parte del contenedor
general, por lo que el espacio disponible es el tamaño total del contenedor, menos el espacio
utilizado en todos los volúmenes en el contenedor.
Para macOS High Sierra, un contenedor de APFS válido debe contener al menos tres volúmenes,
los dos primeros de los cuales están ocultos para el usuario:
• Volumen de prearranque: contiene los datos necesarios para iniciar cada volumen del sistema en
el contenedor.
FILEVAULT
Cada Mac proporciona una capacidad de cifrado incorporada, llamada FileVault, para asegurar
todos los datos en reposo. FileVault utiliza el cifrado de datos XTS-AES-128 para proteger los
datos en una Mac en reposo. Esto se puede aplicar a la protección total del volumen en dispositivos
de almacenamiento internos y extraíbles. Si un usuario ingresa un ID de Apple y una contraseña
durante el Asistente de configuración, el asistente sugiere habilitar FileVault y almacenar la clave
de recuperación en iCloud.
Se le pide a un usuario que habilita FileVault en una Mac que proporcione credenciales válidas
antes de continuar con el proceso de inicio y que obtenga acceso a modos de inicio especializados,
como el Modo de disco de destino. Sin credenciales de inicio de sesión válidas o una clave de
recuperación, todo el volumen permanece encriptado y está protegido contra el acceso no
autorizado, incluso si el dispositivo de almacenamiento físico se quita y se conecta a otra
computadora.
Para proteger los datos en una configuración empresarial, el departamento de TI debe definir y
hacer cumplir las políticas de configuración de FileVault a través de MDM. Las organizaciones
tienen varias opciones para administrar volúmenes encriptados, incluidas las claves de
recuperación institucional, las claves de recuperación personal (que se pueden almacenar
opcionalmente con MDM para la custodia) o una combinación de ambas. La rotación de claves
también se puede establecer como una política en MDM.
IMÁGENES DE DISCO ENCRIPTADAS.
En macOS, las imágenes de disco cifradas sirven como contenedores seguros en los que los
usuarios pueden almacenar o transferir documentos confidenciales y otros archivos. Las imágenes
de disco cifradas se crean usando la Utilidad de Disco, ubicada en / Aplicaciones / Utilidades /.
Las imágenes de disco se pueden cifrar utilizando el cifrado AES de 128 bits o de 256 bits. Debido
a que una imagen de disco montada se trata como un volumen local conectado a una Mac, los
usuarios pueden copiar, mover y abrir archivos y carpetas almacenados en ella. Al igual que con
FileVault, el contenido de una imagen de disco se cifra y descifra en tiempo real. Con las imágenes
de disco cifradas, los usuarios pueden intercambiar documentos, archivos y carpetas de manera
segura guardando una imagen de disco cifrada en un medio extraíble, enviándola como un archivo
adjunto de mensaje de correo o almacenándola en un servidor remoto.
GESTIÓN DE LA MEMORIA
Al igual que con la mayoría de los sistemas operativos modernos, Mach proporciona
direccionamiento a espacios de direcciones virtuales grandes y dispersos. El acceso en tiempo de
ejecución se realiza a través de direcciones virtuales que pueden no corresponder a ubicaciones en
la memoria física en el momento inicial del intento de acceso. Mach es responsable de tomar una
dirección virtual solicitada y asignarle una ubicación correspondiente en la memoria física. Lo
hace a través de la paginación por demanda.
Un rango de un espacio de direcciones virtuales se llena con datos cuando un objeto de memoria
se asigna a ese rango. Todos los datos en un espacio de direcciones se proporcionan finalmente a
través de objetos de memoria. Mach le pregunta al dueño de un objeto de memoria
(un buscapersonas) para el contenido de una página al establecerla en la memoria física y devuelve
los datos posiblemente modificados al buscapersonas antes de reclamar la página. OS X incluye
dos buscapersonas incorporados, el buscapersonas predeterminado y el vnode buscapersonas.
A partir de OS X v10.1, la EMMIEl sistema fue mejorado para soportar EMMI "sin puerto". En la
EMMI tradicional, se crearon dos puertos Mach para cada región de memoria, y también dos
puertos para cada nodo en caché. La EMMI sin puerto, en su implementación inicial, reemplaza
esto con referencias de memoria directas (básicamente punteros). En una versión futura, los
puertos se utilizarán para la comunicación con buscapersonas fuera del kernel, mientras que se
usarán referencias directas para la comunicación con paginadores que residen en el espacio del
kernel. El resultado neto de estos cambios es que las versiones anteriores de EMMI sin puerto no
admiten paginadores que se ejecutan fuera del espacio del kernel. Se espera que este soporte se
restablezca en una versión futura.
Los rangos de direcciones del espacio de memoria virtual también se pueden completar mediante
la asignación directa (usando vm_allocate). El objeto de memoria virtual subyacente es anónimo
y está respaldado por el paginador predeterminado. Los rangos compartidos de un espacio de
direcciones también se pueden configurar a través de la herencia. Cuando se crean nuevas tareas,
se clonan de un padre. Esta clonación también pertenece al espacio de direcciones de memoria
subyacente. Las porciones asignadas de los objetos se pueden heredar como una copia, o como
compartidas, o no en absoluto, según los atributos asociados con las asignaciones. Mach practica
una forma de copia retrasada conocida como copia en escritura para optimizar el rendimiento de
las copias heredadas en la creación de tareas.
BIBLIOGRAFÍA