改善Mac系統安全防范能力

善用安全清倒功能

每次用戶執行傾倒廢紙簍操作時，Mac OS X系統就會按照標準方式將廢紙簍里的數據信息刪除掉，從而有效釋放垃圾文件占用的寶貴磁盤空間。不過這種刪除數據文件的方式不徹底，數據信息的實際內容在被重新寫入數據前仍然殘留在磁盤空間中，別有用心的人通過第三方數據恢復工具能完整找回重要的被刪數據。

為防止被刪除的隱私數據對外泄密，我們可以巧妙利用Mac OS X系統的安全清倒功能，將廢紙簍中的重要數據徹底清零，這樣隱私數據就無法輕易恢復成功了。只要按下Command鍵，從彈出菜單中點選“安全清倒廢紙簍”命令即可。當然，我們也能先進入特定Finder窗口，然后從應用程序菜單中，單擊“安全清倒廢紙簍”命令，來徹底刪除廢紙簍中的重要數據。

在對保密要求較高的環境下，我們可以設置Mac OS X系統，讓其始終執行安全清倒廢紙簍，只要進入特定Finder窗口，點擊“應用程序”菜單中的“偏好設置”選項，之后選擇“高級”標簽，同時勾選對應標簽頁面中的“安全清倒廢紙簍”復選項，確認后退出設置界面。

快速判斷系統感染

使用Mac OS X系統時，不小心就會遭到專門針對該系統的惡意程序Machook攻擊，這種攻擊會將系統桌面上常見應用程序刪除掉，同時替換為暗藏有木馬的打包程序。如果擔心自己的Mac OS X系統遭受到Machook攻擊時，可按如下操作步驟，快速判斷系統的感染狀態：

首先進入終端界面，輸入字符串命令“curl -O https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py”，下載專門用來判斷系統是否感染的腳本掃描程序。

執行“python WireLurker DetectorOSX.py”命令，開始運行腳本掃描程序，如果發現系統返回相關感染文件，則說明Mac OS X系統已處于感染狀態，這時必須刪除被感染文件。如果結果返回“Thank you！”之類提示，表示系統未遭木馬程序攻擊。

安全進行賬號登錄

雖然在高權限賬號狀態下進行各項操作，可能會比較順利，但是在安全性要求較高的場合下，使用高權限賬號容易帶來安全威脅。為了避免這種安全威脅，我們在平時使用Mac OS X系統的時候，盡量創建一個非管理員賬號，同時每天用這個帳戶登錄進入系統。在需要進行一些特權操作任務時，才用管理員賬號登錄系統。在Mac OS X系統環境下創建用戶賬號操作很簡單，只要先進入對應系統的偏好設置界面，點擊窗口中的“用戶和群組”圖標，在其后界面中就能按需創建好自己想要的用戶賬號了。

如果多人共用一臺Mac計算機系統，建議大家關閉該系統的自動登錄功能，以防止別有用心之人趁機而入。

要做到這一點，只要先在系統偏好設置界面中單擊“用戶與群組”圖標，切換到“用戶與群組”設置框，按下左下角區域的鎖圖標，在其后的密碼驗證對話框中輸入系統管理員密碼，再單擊“解鎖”按鈕。密碼驗證成功后，返回到“用戶與群組”設置框，單擊用戶列表下端的“登錄選項”，在對應選項設置區域的“自動登錄”列表處，選中“關閉”選項，再單擊“好”按鈕保存設置操作，之后將“顯示登錄窗口”選擇為“用戶名和密碼”登錄即可。

在局域網環境中，如果擔心自己的重要共享資源被他人輕易訪問時，建議大家關閉來賓賬戶與分享功能，避免局域網中的其他用戶隨意通過來賓賬號，偷偷對重要資源進行共享訪問。在進行這種設置操作時，先打開“用戶與群組”設置對話框，Mac OS X系統是默認鎖定修改的。此時請按左下角位置處的“鎖”圖標，彈出“密碼驗證”對話框，正確輸入管理員權限的賬號，同時點擊“解鎖”按鈕，返回到“用戶與群組”設置對話框。選中左側區域的“客人用戶”賬號選項，在對應選項設置區域，將“允許客人登錄到這臺電腦”、“允許客人用戶連接到共享文件夾”等選項前面的勾號取消掉，再單擊“好”按鈕保存設置操作即可。

關閉安全切入節點

雖然Mac計算機對IPv6、藍牙以及 Airport等有良好的支持，但這些常會成為黑客攻擊系統的安全切入節點，將它們關閉后還能有效避免某些網絡沖突，為用戶改善系統安全性。在Mac OS X系統環境下，禁用IPv6協議功能的方法比較多，既可以通過終端使用命令來關閉網絡對IPv6的支持，也可以從系統偏好設置界面中關閉網絡對IPv6的支持。

在終端窗口中關閉有線以太網對IPv6的支持時，只要輸入“networksetup-setv6off Ethernet”字符串命令即可，如果要關閉無線Wi-Fi網絡對IPv6支持時，只要輸入“networksetup-setv6off Wi-Fi”命 令 即可，當然我們也可以執行“networksetup -setv6off Ethernet && networksetup-setv6off Wi-Fi”命令，同時關閉有線網絡和無線網絡對IPv6協議的支持。日后需要重新啟用IPv6協議功能時，只要執行“networksetup-setv6automatic Wi-Fi && networksetup-setv6automatic Ethernet”字符串命令即可。

從系統偏好設置界面中關閉網絡對IPv6支持時，先要打開“系統偏好”設置界面，單擊“網絡”圖標，在其后彈出的網絡設置界面，按下“高級”按鈕，并選擇“高級設置”頁面中的“TCP/IP”標簽，在對應標簽頁面關閉“配置IPv6”即可。按照相同的操作方法，在系統偏好設置界面中，也可以設置關閉藍牙以及Airport等上網切入節點，確保Mac計算機不會輕易被黑客攻擊。

限制不明程序安裝

現在很多人圖方便，總喜歡從網上下載安裝特定應用程序，殊不知某些應用程序背后，暗藏有惡意攻擊代碼，輕易安裝這些程序到計算機系統中，很可能給系統的日后運行帶來安全麻煩。為了保護Mac OS X系統不遭受不明程序的攻擊，我們可以按照如下設置操作，強制Mac計算機只安裝Mac App store和被認可開發者程序，這些程序往往都已經過證明，不會威脅到計算機系統的安全。

圖1 解鎖身份驗證對話框

從系統桌面的“Dock”欄單擊“系統偏好設置”按鈕，進入“系統偏好”設置界面，選擇該界面中第一排的“安全性與隱私”圖標，切換到“安全與隱私”設置窗口。點選“通用”標簽，按下對應標簽頁面左下方的“鎖”標志，彈出“解鎖身份驗證”對話框，正確輸入管理員賬號與密碼后單擊“解鎖”按鈕，打開如圖6所示的“設置”對話框。在“允許從以下位置下載的應用程序”位置處，選中“Mac App store和被認可開發者”選項，確認后保存設置即可。

及時加密重要數據

如果擔心計算機丟失而引起重要數據外泄，可以巧妙使用Mac OS X系統自帶的快速加密文件夾功能對重要數據進行加密。

在對特定文件夾進行快速加密時，先通過Spotlight找到“磁盤工具”并打開對應程序界面，依次單擊其中的“文件”、“新建”、“文件夾的磁盤映像”命令，從其后界面中選擇并導入需要加密的特定文件夾，之后在設置對話框中設置好映像名稱、映像格式及加密方式，單擊“存儲”按鈕，在其后界面中設置

好具體的加密密碼內容，記得將下面的記住密碼的對號去掉，再單擊“好”按鈕。這樣，特定文件夾的加密鏡像任務就操作完成了，日后對特定文件夾中的數據文件進行了編輯，之后退出磁盤映像即可完成保存與加密。