Apple Mac安全：如何保护苹果商用机安全

　　作者: 独自等待, 　出处:IT专家网,　责任编辑: 张帅,　 2008-08-20 10:00

　　现在IT安全人员都把主要精力放在保护Windows操作系统上，也许现在同样也需要对苹果机操作系统引起重视了。随着苹果机在企业中越来越广泛的使用，我们不能坐以待毙。

　　【IT专家网独家】苹果机对于安全风险是免疫的吗？我们是否仅需要的担心Windows操作系统的安全性？对于苹果机这种不且实际的盲目乐观，我们需要保持冷静的头脑。微软在安全上作出了很大的努力。与此同时，苹果也需要为系统的安全性而做出自己的努力。

　　现在IT安全人员都把主要精力放在保护Windows操作系统上，也许现在同样也需要对苹果机操作系统引起重视了。随着苹果机在企业中越来越广泛的使用，我们不能坐以待毙。

　　现在苹果操作系统上的一些漏洞已经暴露出来了，譬如说未修复的ARDAgent漏洞，但这并不是苹果机的主要安全风险。根据对IT安全管理人员的调查，现在人们几乎忽略了苹果机面临的潜在风险。IT人员对于苹果机知之甚少，因为很少有人去关注它们的安全问题。

　　现在是时候找出安全漏洞了，等到企业机密开始泄露的时候就太迟了。以下的六个方面是苹果机用户亟需关注的：

　　No.1 升级管理

　　根据调查，IT管理人员认为苹果公司最大的缺陷就在于补丁和升级管理。问题不是苹果公司不发布补丁，bug修复和功能升级。相反，是因为苹果公司在升级流程中的四个漏洞：

　　1. 与微软在每周二发布补丁不同的是，苹果公司发布关键补丁没有一个固定的预期时间

　　2. 卸载程序复杂

　　3. 许多升级不能记录下设置的改变

　　4. 苹果公司并不支持第三方软件管理补丁安装，尽管现在出现了这样的软件

　　Gartner的一位资深的安全咨询专家说，没有谁知道苹果公司什么时候发布补丁，补丁是什么。

　　这表明了苹果公司对于使用苹果机操作系统企业环境的陌生，尽管这种操作系统已经上市多年，并且越来越得到人们的认可。对于单个的或中等企业来说，这些补丁政策足以，但是对于大型企业来说，显然是不够的。

　　现在已经出现了为Mac OS X制定的第三方补丁管理软件，但是很少是专为Mac OS X设置的——这样就使得其很难同时管理Windows和MAC机补丁管理。

　　这样做的风险就是允许个人管理补丁，就会导致系统——特别是笔记本——与补丁之间的不兼容，从长远来看，不利于修复漏洞。

　　解决方案：

　　为苹果软件安装内网代理服务器

　　除此之外，检查以苹果为导向的补丁管理;这些软件可能还会用于其它的操作系统的升级管理。如果你的补丁管理软件不支持MAC操作系统，可以与零售商联系。一旦苹果发布新的补丁，马上通知使用苹果机的员工。

　　最后，在办公室之外使用的笔记本要提供固定的升级日期，因为笔记本很容易就通过无线网络或是蓝牙被攻击，还有来自于不信任的网站上的攻击。

　　NO.2 修复严重的第三方安全漏洞反应速度过慢

　　苹果的绝大多数最严重的安全升级，实际上可执行代码或是模糊代码的执行还是可能的，很多都是与第三方软件相关——多数是看开源或是免费软件。(Safari和QuickTime算是例外，苹果开发的产品虽然有漏洞，但是每次在攻击之前漏洞就被修复了。)

　　尽管这些软件开发商会及时提供补丁，但是苹果在发布升级的时候总是慢半拍。以2007年的Apache网络服务器2.2.6版本为例。Apache在2008年1月就升级到了2.2.8版本填补安全漏洞，但是苹果公司直到当年3月才发布升级。

　　但是有时候，苹果反应速度又很迅速。譬如，苹果的研究人员发现了Ruby语言及其应用环境中的一系列漏洞，这次，苹果公司只用了10天时间就完成了补丁的发布。

　　在两个案例中，我们注意到不管是Apache还是Ruby都是在Mac OS X系统中默认使用的。Apache的使用要么是通过“共享”喜好控制面板上的网络共享服务或是根据命令行运行。Ruby不能直接在本地的苹果产品上使用，它必须根据命令行或是通过第三方软件运行。

　　锁定这种连接就可以防止安全漏洞，但是却与现行的操作系统相冲突。配置管理软件确实可以帮助实现这样的锁定，但是MAC机可能不支持这款软件。

　　这种状况需要得到改变，现在我们已经看到有些配置管理系统支持MAC机平台的迹象。

　　解决方案：

　　考虑使用第三方软件的有限配置，通过管理员限制配置。

　　作者: 独自等待, 　出处:IT专家网,　责任编辑: 张帅,　 2008-08-20 10:00

　　现在IT安全人员都把主要精力放在保护Windows操作系统上，也许现在同样也需要对苹果机操作系统引起重视了。随着苹果机在企业中越来越广泛的使用，我们不能坐以待毙。

　　No.3 管理员界限模糊不清

　　在调试系统设置，根据命令行访问unix架构，安全软件的时候，苹果公司采取了二元态度：要么是管理员，要么不是。

　　从家庭用户和小型企业的角度来看，这种区分当然足以。通过家长控制的方式限制普通用户权限，使普通用户不能创建用户账号，使用文件共享服务或是安装某种软件。从这点上来说，管理员账号是必须的。

　　但是拥有管理权限的用户可以自由选择系统喜好设置，譬如说，允许Samba功能，或是使用终端应用程序激活数以千计的Unix邮件收发后台程序。

　　即使Windows上也有这些选项设置，但是要实现起来很困难。因为这些设置要么过于模糊，要么就过于复杂，普通用户不知道如何设置。与此相反，在Mac OS X上，轻轻地点击一下就足以。

　　解决方案：

　　限制管理员账号

　　NO.4 无知地使用“Back to My Mac”

　　Mac OS X操作系统上有一项咋看起来令人担忧的服务，也确实是一个真正的安全漏洞。那就是Back to My Mac，这个内置到Mac OS X 10.5中的远程访问系统既需要MobileMe账号，还需要管理员权限。它有点类似Windows管理员熟悉的GoToMyPC功能。

　　尽管苹果使用的是IPv6通道，IPsec加密和Kerberos协议确保连接安全，要想从任何地方连接到MobileMe账号都需要密码。由于密码的使用，所有使用Back to My Mac功能的用户有可能会导致文件的检查或是屏幕被远程控制。

　　在一个管理良好的企业中，管理人员根本不认为Back to My Mac功能的使用会导致任何风险，尽管有这样的功能设置。只有在使用VPN(虚拟个人网络)的时候，企业才回允许Back to My Mac功能的使用。如果员工单独使用Back to My Mac功能，防火墙就会开始工作。

　　以后企业会逐渐禁止Back to My Mac功能的使用。现在企业员工不允许在工作场所中使用Gmail或是 YahooMail，不久的将来，Back to My Mac也需要类似的禁止。

　　解决方案：保证Back to My Mac不在企业环境中使用，建立相关政策禁止其使用。

　　No.5 放任恶意软件

　　最近一种新的工具包的出现动摇了人们对于MAC机坚不可摧的印象，因为这种工具包可以让恶意方在合法软件中安装木马从而获取MAC机的根访问权。

　　但是这种密码并不满足嗅觉测试：正如其它概念攻击一样，这种攻击需要下载和安装软件，尽管这些恶意软件的运行不需要密码来运行。

　　但是事实是MAC机已经被恶意软件盯上了，但是还是比Windows操作系统安全一些。但是这恰恰就是风险发生的原因：正是由于MAC机的相对安全，致使人们缺乏对其关注而导致MAC机正成为感染Windows操作系统的通道。

　　在不久的将来当这一切真的来临的时候，我们会措手不及。

　　现在，绝大多数使用MAC的人们都不使用杀毒软件。实际上，在企业中杀毒软件的使用是必须的，特别是当兼容性成为一个问题的时候。但是对于个人用户一些专家并不是太建议使用杀毒软件，因为现在的很多杀毒软件并不能应对Mac OS X操作系统的风险。

　　还有一些专家认为，针对苹果的恶意软件还是少数，这仍然是一个相对安全的平台，在很多情况下比Windows安全。但是这种情形正在日益改变。最坏的情况现在还没有发生，并不是说MAC机本身抗拒病毒的能力很强，而是它现在还没有引起黑客很大的兴趣。随着MAC机在企业中使用的增多，将来很可能会出现专门针对MAC机病毒将其转化为僵尸计算机。

　　尽管MAC操作系统本身很安全，至少现在看来是这样的，但是其默认的Safari浏览器却不然。

　　那些对于操作系统层面恶意软攻击毫不关注的安全专家现在也开始担心基于浏览器的威胁了。担心的焦点集中于Safari浏览器未发现的漏洞，以及Webkit的使用，Webkit是一款不仅能在OS X操作系统上使用，还能供第三方软件开发商使用的搜索引擎。这些不再是理论上关注的焦点了，而是实实在在发生的。iPhone上Safari浏览器上的一个漏洞直接导致iPhone在浏览网页的时候失去了根控制。(这是很典型破坏iPhone安装第三方软件的方法。)

　　解决方案：及时下载有关MAC机的安全更新。使用防火墙监控MAC平台和其它平台查找劫持系统的痕迹。

　　作者: 独自等待, 　出处:IT专家网,　责任编辑: 张帅,　 2008-08-20 10:00

　　现在IT安全人员都把主要精力放在保护Windows操作系统上，也许现在同样也需要对苹果机操作系统引起重视了。随着苹果机在企业中越来越广泛的使用，我们不能坐以待毙。

　　No.6 苹果的安全只是半罐子

　　有关Mac OS X在系统最强烈的关注当属Mac OS X10.5(Leopard)在改进之后依然差强人意。Leopard实际上根本没有什么改进，只不过是获取市场份额的花招而已。

　　Leopard的构架中加入了更多的企业元素，以及更大程度的整合和供个人用设置的攻击抗拒设置。譬如，苹果在Mac OS X 10.5中加入了图书馆随机选择，这样就防止了病毒写手每次在同一时间同一地点找到代码。尽管如此，与Vista不同的是，只有受保护的子集才能得到真正地保护。

　　很多人觉得苹果会在下一代操作系统Snow Leopard(估计2009年发布)上构建企业级的安全层级。但是苹果目前很少透露有关Snow Leopard的详细情况，我们期待，正如其CEO乔布斯所述，安全和企业支持将会成为两大亮点。

　　解决方案：随着Snow Leopard来年的问世，关注安全的企业可能会在清楚知道苹果的安全改进之后才会选择部署MAC机。

　　总结：我们不要对Mac的安全抱太大的期望。关键是未雨绸缪，御敌于大门之外。那些知晓Windows, Unix和Linux操作系统区别的IT管理人员将能更加适应Mac OS X带来的变化。最大的威胁就是我们骄傲自满的安全意识，“这是一套MAC机，我们可以安枕无忧了”。不要以为Mac OS的安全是万无一失。

　　IT专家网原创文章，未经许可，严禁转载！