高级macOS防护与Microsoft Intune – 超越基础
嘿,安全爱好者和Mac管理员们!还记得我们把CIS Level 1当作标杆的时候吗?好吧,准备好你的终端窗口,握紧你的MDM配置文件,因为Level 2要来震撼你的配置了。在我之前的博客文章《使用Intune实现macOS安全 – 从基础到坚固》中,我们已经为接下来的工作奠定了基础。现在,我们准备筑起高墙,安装监控,是的,也许还要加上那些比喻性的激光束。因为在当今的威胁形势下,基本的安全措施已经不够用了。
什么是CIS Level 2(以及你为什么需要关心它?)
想象一下,CIS Level 1就像在你房子上挂一个“请不要抢劫我”的牌子。高级macOS防护和Level 2则更像是安装一个充满激光制导鲨鱼的护城河。它专为那些“足够好”的安全远远不够的组织设计。我们谈论的是政府机构、金融机构、医疗保健提供商,以及任何喜欢他们的数据像喜欢他们的咖啡一样——安全地封装好,而不是洒得到处都是的人。
专业提示: 在你对生产机器施展“安全忍者”手段之前,先创建一个测试组。相信我,没有什么比周一早上收到300条关于Mac被锁定的Teams消息更能毁掉你的咖啡时光了!
是的……我已经受够了macOS设备卡在登录界面的情况……
重点安全配置
让我们深入了解一些我们正在实施的最有趣的高级macOS防护措施。别担心;我会在讲解技术内容时尽量保持趣味性。虽然我们没有涵盖每一个配置(相信我,那样会把这篇博文变成一本小说),但我挑选了一些能展示Level 2精髓的亮点。这些例子应该能让你对完整Github仓库里的内容有个初步了解。
1. 浏览器历史管理:你的数字版“怦然心动”整理时刻
还记得冰箱里的剩菜吗?浏览器历史记录完全就是那样——它需要一个过期日期!这个配置确保用户的浏览历史不会变成一个数字考古遗址。以下是我们正在做的事情:
|
|
专业提示: 反正谷歌什么都记得,而且它可能比你2015年的书签更新!
2. 让Siri保持沉默
抱歉Siri,但在高安全环境中,你就像图书馆里的踢踏舞大象一样不受欢迎。我们的配置确保Siri保持安静。原因如下:
- 语音助手就像那个守不住秘密的朋友
- 总是在听,总是在处理
- 可能会捕捉敏感对话
- 可能暴露命令历史
实现说明:
|
|
Github: 完全禁用Siri
3. 定位服务:谁在看?
我们创建了一个比男孩乐队还要和谐的三脚本组合:
EnableLocationServiceIcon.sh(主唱)audit_apps_using_Locationservices.sh(贝斯手)report_apps_using_Locationservices.sh(鼓手)
这套工具帮助你追踪哪些应用试图对你的设备进行GPS跟踪。这里有篇完整博文解释它的功能:谁在看?使用Intune审计macOS定位服务
4. Safari IP隐私:因为没人需要知道你在购物
Safari中一项高级macOS防护和关键的隐私功能是它能够向跟踪器和网站隐藏IP地址。此脚本实现了针对macOS的CIS基准建议6.3.5,该建议配置了Safari针对跟踪器和网站的IP地址隐藏设置。CIS基准文档引用了一些可能导致Safari崩溃的值,其严重程度堪比周一早上缺乏咖啡的程序员。在测试过程中,我发现了基准之外的其他可配置值。通常你会通过图形界面在Safari中配置这些设置:
- 打开 Safari > 设置 > 隐私
- 调整“隐藏IP地址”设置
CIS的修复方法是通过图形界面或终端完成的。请注意你可以设置来配置此功能的值:
|
|
想自己仔细检查这些值吗?是时候对你的Safari设置玩一把数字考古了!方法如下:
- 打开终端并输入:
1defaults read /Users/$USER/Library/Containers/com.apple.Safari/Data/Library/Preferences/com.apple.Safari WBSPrivacyProxyAvailabilityTrafficCopy - 记下你得到的数字(就像当场抓住Safari的把柄!)
- 现在开始有趣的部分:
- 打开 Safari > 设置 > 隐私
- 调整“隐藏IP地址”设置,就像在调整时光机的温度一样
- 每次更改后,再次运行那个终端命令
- 记下这些值
把它想象成Safari的展示和讲述:你改变一个设置,终端告诉你Safari在幕后到底在做什么。信任,但要验证!
PS. 我在macOS Sequoia 15.3.1上运行Safari版本18.3 (20620.2.4.11.5)
以下是你可能看到并且实际上应该使用的值:
66976992- 禁用 (就像你在社交媒体上的前任一样)66976996- 仅限跟踪器 (“我有点偏执”选项)66977004- 跟踪器和网站 (“我绝对偏执”选项)
要通过Intune配置这个,我必须把东西用脚本组合起来。查看仓库获取完整信息!
5. 内容缓存:数字囤积者的困境
内容缓存可能看起来方便,但这就像让你的设备举办一场下载内容的庭院旧货甩卖。我们的配置对此说“不”:
|
|
Github: 禁用内容缓存
技术深度探讨:因为总会有人问
6. 电源管理安全
这是事情变得有趣的地方。我们正在实施一些严格的电源管理控制:
|
|
Github: 电源管理
影响评估:
- 用户可能需要更频繁地输入密码
- 但是,嘿,至少设备睡眠时他们的数据是安全的
- Touch ID 在睡眠后需要重新启用(惊喜吧!)
7. 热角:“非热角”配置
因为设置一个能禁用屏幕保护程序的热角,就像在登录屏幕上放一个“跳过安全”按钮。我们的配置确保:
- 左上角:启动屏幕保护程序
- 右上角:也启动屏幕保护程序
- 底部角落:我还需要重复吗?
Github: 热角
我是如何意外地把自己“诺克斯堡化”的
想象一下:那时的我,深入CIS基准领域,像打了鸡血的安全忍者一样部署高级macOS防护安全配置。每一个打勾的建议都感觉像是一场小胜利——直到它不是。
这么说吧,同时把所有安全旋钮调到11,教会了我一个关于测试的宝贵教训。在三台MacBook和一次无限登录循环之后,我实现了可能最安全的配置:一个完全无法访问的系统!
专业提示: 当访问你“超安全”Mac的唯一方法涉及恢复模式和好几杯咖啡时,你可能需要退一步,一次测试一个配置。
别担心,我最终如何重新获得访问权限的故事很快就会在另一篇博客文章中揭晓——一旦盯着登录屏幕数小时带来的创伤后应激障碍(PTSD)消退!)
这里的真正教训
单独。测试。每一个。配置。因为比不安全的Mac更糟糕的,只有一台完美安全但没人能用的Mac!了解并理解你所配置的东西!就这么简单…
- 从小处着手
- 从一个测试组开始
- 没有什么比周一早上收到300条关于Mac被锁定的Teams消息更能毁掉你的咖啡时光了!
- 创建一个由勇敢志愿者组成的“金丝雀”组
- 记录一切
- 像在写《指环王》的安全版一样记录你的更改
- 包含详细的日志
- 制定一个回滚计划(因为事情总会发生)
- 监控影响
- 像鹰盯着穿“吃我”T恤的老鼠一样密切关注那些服务台工单。
实施清单(“别忘了”清单)
- 先决条件
- Microsoft Intune (显然)
- macOS设备管理已配置
- 幽默感 (相信我,你会需要的)
- 咖啡 (大量的)
- 脚本部署设置
- 以登录用户身份运行:否
- 隐藏通知:是
- 频率:基于偏执程度
- 重试次数:3 (因为事不过三)
- 测试协议
- 先在一小群设备上测试
- 验证所有配置
- 制定回滚计划
- 准备好服务台的电话号码
结论:总结一切
实施高级macOS防护和CIS Level 2就像将你的安全从标准门锁升级为全套特工设置。当然,对于保护休息室里的三明治来说可能有点小题大做,但当你在保护敏感数据时,小题大做恰恰是刚刚好的程度。
后续步骤
- 查看GitHub仓库
- 在你的(测试)环境中测试这些配置
- 规划你的部署策略
- 让用户为变更做好准备
- 收藏此博客以获取更多安全冒险!
记住:安全是一段旅程,而不是一个目的地。而有了CIS Level 2,这是一段拥有真正优秀护栏、多重身份验证,并且沿途可能有一些困惑用户的旅程。
有问题吗?有意见吗?找到了让你心动的安全设置?请在下方评论中告诉我!