Нещодавній випуск macOS Ventura від Apple додає додатковий захист для аксесуарів USB і Thunderbolt, вставлених у ваш комп’ютер.
У 2008 році співробітник Міністерства оборони США підібрав нешкідливий на вигляд USB-накопичувач на парковці одного з їхніх закладів. Цей пристрій було під’єднано до ноутбука, підключеного до мережі Центрального командування Сполучених Штатів, звідки він непомітно розповсюджував зловмисне програмне забезпечення у військових системах США, що містило як несекретну, так і секретну інформацію. Знадобилося понад рік, щоб видалити бекдор, який дозволяв іноземним організаціям читати дані США, що призвело до повного перегляду політики кібербезпеки уряду США.
Очевидно, що фальшивий аксесуар може завдати шкоди навіть найдосконалішим системам. Попри загальний перехід до хмарного програмного забезпечення та сховища, безпека аксесуарів обладнання все ще є актуальною проблемою сьогодні для нас і наших організацій; апаратні аксесуари все ще використовуються як засіб для експлойту. Ось чому macOS Ventura включає ще один рівень додаткової безпеки.
Що таке додаткова безпека з macOS Ventura?
Простіше кажучи, допоміжний засіб безпеки відкриває ворота, коли пристрої USB або Thunderbolt під’єднані до вашого комп’ютера. Після схвалення користувача пристрій зможе отримати доступ до вашого Mac. Існує кілька налаштувань того, як Ventura обробляє аксесуари, коли комп’ютер розблоковано:
• Щоразу запитувати дозвіл (найбезпечніше)
• Запитувати нові пристрої (налаштування за замовчуванням)
• Автоматично надавати дозвіл при розблокуванні
• Ніколи не питати (найменш безпечний)
Коли Mac заблоковано, вам потрібно розблокувати його, щоб підтвердити будь-які нові аксесуари, тоді як раніше схвалені зберігають дозвіл до 3 днів. Ця функція стосується ноутбуків Mac із процесором Apple Silicon. Адаптери живлення, автономні дисплеї та підключення до попередньо схваленого концентратора не потребують схвалення. Аксесуари, підключені, але не схвалені, все одно можуть заряджатися.
Використання обмеженого режиму USB у macOS Ventura
Для ваших особистих пристроїв може не вимагати дозволу кожного разу, коли вставляється пристрій — натомість ви можете зберегти налаштування за замовчуванням, вимагаючи дозволу лише для нових пристроїв. Для корпоративних пристроїв, зареєстрованих у рішенні MDM, цю функцію можна ввімкнути за допомогою обмеження allowUSBRestrictedMode.
Це обмеження також можна використовувати з пристроями iOS і доступне для iOS з iOS 12.
Як завжди, Jamf пропонує підтримку в той же день для найновіших операційних систем Apple. Оновіть свій флот техніки Apple до Ventura, щоб скористатися цією новою функцією безпеки