高级macOS防护与Microsoft Intune——超越基础

嘿，安全爱好者和Mac管理员们！还记得我们曾以为CIS Level 1是安全界最酷的标杆吗？好吧，准备好你的终端窗口，抓紧你的MDM配置文件，因为Level 2要来彻底改变你的配置了。在我之前的博客文章《使用Intune实现macOS安全——从基础到固若金汤》中，我们已经为接下来的工作奠定了基础。现在，我们准备筑起高墙，安装监控摄像头，是的，甚至可能还要加上那些隐喻中的激光束。因为在当今的威胁环境中，基础安全已经远远不够了。

什么是CIS Level 2（以及你为什么应该关心？）

想象一下，CIS Level 1就像在你家房子上贴个“请勿抢劫我”的告示牌。而高级macOS防护和Level 2更像是安装一个充满激光制导鲨鱼的护城河。它是为那些“足够好”的安全水平远远不够的组织设计的。我们谈论的是政府机构、金融机构、医疗保健提供商，以及任何喜欢他们的数据像喜欢咖啡一样——被安全地封装好而不是洒得到处都是的人。

专业提示：在你对生产机器进行“安全忍者”式的全面改造之前，先创建一个测试组。相信我，没有什么比周一早上收到300条关于Mac被锁定的Teams消息更能毁掉你的咖啡时光了！

是的……我已经遇到过不少macOS设备卡在登录界面的情况了……

特色安全配置

让我们深入了解一些我们正在实施的最有趣的高级macOS防护措施。别担心；在讲解技术内容的同时，我会尽量让它保持趣味性。虽然我们不会涵盖每一个配置（相信我，那样会让这篇博客变成一本小说），但我挑选了一些能展示Level 2精髓的重点内容。这些例子应该能让你对完整Github仓库中的内容有个初步了解。

1. 浏览器历史管理：你的数字“怦然心动”整理时刻

还记得冰箱里那些剩菜吗？浏览器历史记录就是那样的——它需要一个保质期！这个实现确保用户的浏览记录不会变成一个数字考古遗址。以下是我们正在做的：

1
2
3
4
5
6
7
8
9


# 配置配置文件详情
PayloadType: com.apple.Safari
Key: HistoryAgeInDaysLimit

值（选择你的保留期限）:
1天 - 适合“每一天都是新开始”的人
7天 - 一周的数字记忆
31天 - 月度清理小组
365天 - 年度数字大扫除

Github: 浏览器历史管理

专业提示：反正谷歌什么都记得，而且可能比你2015年的书签更新鲜！

2. 让Siri保持沉默

抱歉了Siri，但在高安全环境中，你就像图书馆里一只跳踢踏舞的大象一样不受欢迎。我们的配置确保Siri保持安静。原因如下：

语音助手就像那个守不住秘密的朋友
总是在监听，总是在处理
可能捕捉到敏感对话
可能暴露命令历史

实现说明：

1
2


# “闭嘴吧Siri”配置
allowAssistant: false # 简单，有效，让Siri变得像哑剧演员一样沉默

Github: 完全禁用Siri

3. 定位服务：谁在看着你？

我们创建了一个比男孩乐队更和谐的三脚本组合：

EnableLocationServiceIcon.sh (主唱)
audit_apps_using_Locationservices.sh (贝斯手)
report_apps_using_Locationservices.sh (鼓手)

这套工具帮助你追踪哪些应用试图对你的设备进行GPS跟踪。这里有一篇完整的博客文章解释它的功能：谁在看着你？使用Intune审计macOS定位服务

4. Safari IP隐私：因为没人需要知道你在购物

Safari中一个高级macOS防护和关键隐私功能是它能够向追踪器和网站隐藏IP地址。这个脚本实现了macOS CIS基准建议6.3.5，该建议配置了Safari针对追踪器和网站的IP地址隐藏设置。CIS基准文档引用了一些可能会导致Safari比周一早上缺咖啡的程序员崩溃得更厉害的值。在我测试时，我发现了与基准中不同的其他配置值。通常你会通过图形界面在Safari中配置这些设置：

打开 Safari > 设置 > 隐私
调整“隐藏IP地址”设置

CIS修复此问题的方法是通过图形界面或终端完成的。请注意你可以设置来配置此选项的值：

1

/usr/bin/sudo -u firstuser /usr/bin/defaults write /Users/firstuser/Library/Containers/com.apple.Safari/Data/Library/Preferences/com.apple.Safari WBSPrivacyProxyAvailabilityTraffic -int 33422560

想自己仔细检查这些值吗？是时候扮演数字考古学家，研究你的Safari设置了！方法如下：

启动终端并输入：

1

defaults read /Users/$USER/Library/Containers/com.apple.Safari/Data/Library/Preferences/com.apple.Safari WBSPrivacyProxyAvailabilityTraffic

记下你得到的数字（这就像当场抓住Safari在干什么！）
现在开始有趣的部分：
- 打开 Safari > 设置 > 隐私
- 像调整时间机器的温度一样，摆弄“隐藏IP地址”设置
- 每次更改后，再次运行那个终端命令
- 记下这些值

把它想象成Safari的展示和讲述：你改变一个设置，终端告诉你Safari在幕后真正做了什么。信任，但要验证！

PS. 我在macOS Sequoia 15.3.1上运行Safari版本18.3 (20620.2.4.11.5)

以下是你很可能看到并实际上应该使用的值：

66976992 - 已禁用 (像你在社交媒体上的前任)
66976996 - 仅限追踪器 (“我有点偏执”选项)
66977004 - 追踪器和网站 (“我绝对偏执”选项)

要通过Intune配置这个，我必须用脚本将它们组合起来。查看仓库获取完整信息！

5. 内容缓存：数字囤积者的困境

内容缓存可能看起来方便，但这就像让你的设备运营一个下载内容的庭院旧货甩卖。我们的配置对此说“不”：

共享缓存 > 已禁用
- 因为分享并不总是关爱 Github: 禁用内容缓存

技术深度探讨：因为总会有人问

6. 电源管理安全

这部分变得有趣起来。我们正在实施一些严格的电源管理控制：

1
2
3
4


# “睡个好觉”协议
Destroy FileVault Key on Standby > 已启用

# 警告：这会让Touch ID在睡眠后变得像巧克力茶壶一样没用

Github: 电源管理

影响评估：

用户可能需要更频繁地输入密码
但至少，设备休眠时他们的数据是安全的
Touch ID在睡眠后需要重新启用（惊喜吧！）

7. 热角：“非热角”配置

因为有一个能禁用屏幕保护程序的热角，就像在登录屏幕上放一个“跳过安全验证”按钮。我们的配置确保：

左上角：启动屏幕保护程序
右上角：也启动屏幕保护程序
底角：还需要我重复吗？ Github: 热角

我是如何意外地把自己“诺克斯堡化”的

想象一下：那时的我，深入CIS基准领域，像个喝了咖啡因的安全忍者一样部署高级macOS防护安全配置。每勾选一项建议都感觉像是一场小胜利——直到它不再是胜利。

这么说吧，同时将每一个安全旋钮调到11，给我上了一堂关于测试的宝贵课程。在三台MacBook和一次无限登录循环之后，我实现了可能的最安全配置：一个完全无法访问的系统！

专业提示：当访问你“超级安全”的Mac的唯一方法涉及到恢复模式和好几杯咖啡时，你可能需要退一步，一次测试一个配置。

别担心，关于我最终如何重新获得访问权限的故事将在另一篇博客文章中讲述——一旦从盯着登录界面数小时的心理创伤中恢复过来！)

这里的真正教训

单独测试。每一个配置。因为比不安全的Mac更糟糕的，是一台完全安全但没人能用的Mac！了解并理解你配置的内容！就这么简单……

从小处着手
- 从一个测试组开始
- 没有什么比周一早上收到300条关于Mac被锁定的Teams消息更能毁掉你的咖啡时光了！
- 创建一个由勇敢志愿者组成的“金丝雀”组
记录一切
- 像撰写安全版的《指环王》一样记录你的更改
- 包含详细的日志
- 制定一个回滚计划（因为事情总会发生）
监控影响
- 像鹰盯着一只穿着“吃我”T恤的老鼠一样盯着那些服务台工单。

实施检查清单（“别忘了”列表）

先决条件
- Microsoft Intune (显然)
- 配置好的macOS设备管理
- 幽默感 (相信我，你会需要的)
- 咖啡 (大量的)
脚本部署设置
- 以登录用户身份运行：否
- 隐藏通知：是
- 频率：基于偏执程度
- 重试次数：3 (因为事不过三)
测试协议
- 首先在小范围内测试
- 验证所有配置
- 准备好回滚计划
- 把服务台的号码放在手边

总结：收尾工作

实施高级macOS防护和CIS Level 2就像将你的安全从标准门锁升级到全套特工装备。当然，用它来保护休息室里的三明治可能有点大材小用，但当你要保护敏感数据时，大材小用恰恰是恰到好处。

后续步骤

查看GitHub仓库
在你的（测试）环境中测试这些配置
规划你的部署策略
让你的用户为变更做好准备
收藏这篇博客，获取更多安全探险故事！

记住：安全是一段旅程，而不是一个目的地。而有了CIS Level 2，这是一段拥有很好护栏、多重身份验证，以及沿途可能有些困惑用户的旅程。

有问题吗？有评论吗？找到了一个让你心动的安全设置？请在下方评论中告诉我！