Zo werken de nieuwe beveiligingsfuncties in macOS Catalina
In macOS Catalina heeft Apple een aantal nieuwe beveiligingsfuncties geïntroduceerd. Apps moeten bijvoorbeeld je toestemming vragen voordat ze toegang krijgen tot het delen van de schijf waar documenten en persoonlijke bestanden worden bewaard.
In dit artikel gaan verder in op de beveiligingsfuncties van macOS Catalina. Sommige van deze beveiligingsfuncties zijn direct zichtbaar voor de gebruikers. Andere zullen regelmatig een melding op het scherm laten zien.
Beveiligingsfuncties
Apps vereisen toestemming voor toegang tot je bestanden
Apps moeten toestemming vragen voor toegang tot bepaalde delen van het bestandssysteem. Dit heeft betrekking op de document-mappen, bureaublad, iCloud-drive en alle externe volumes die zijn aangesloten op je Mac (USB Sticks, geheugenkaarten, etc).
Apple pusht al een tijdje de 'op toestemming gebaseerde toegang' onder iOS en steeds meer elementen van dit beveiligingsbeleid vinden hun weg naar macOS. Wanneer je voor het eerst Catalina gaat gebruiken na installatie of upgrade, maak je direct kennis met de nieuwe beveiligingsfuncties. Er zullen vanaf dat moment namelijk dialoogvensters met allerlei verschillende machtigingsverzoeken verschijnen.
Uit oogpunt van veiligheid zijn de verzoeken tot machtiging een prima aanvulling, ook al moet je waarschijnlijk wel even wennen aan al deze verzoeken die vaak plotseling op je scherm verschijnen. Via de macOS systeemvoorkeuren kun je een overzicht bekijken aan welke apps toestemming zijn gegeven, ga hiervoor naar: ▸ Systeemvoorkeuren ▸ Beveiliging en privacy ▸ Privacy. Selecteer in de linkerkolom 'Bestanden en Mappen'. In de rechterkolom verschijnen de apps en zie je tot welke mappen deze toegang hebben.
Het is ook mogelijk om een app toegang te verlenen tot de gehele schijf door op "Volledige schijftoegang" te klikken in de linkerkolom. Dit kan noodzakelijk zijn als je bijvoorbeeld een app gebruikt om bestanden te zoeken op je harddisk.
Als je wijzigingen wilt aanbrengen in de beveiligingsfuncties, klik dan eerst op het slotje linksonder in het venster en vul vervolgens je beheerderswachtwoord in (of gebruik eventueel Touch ID). Je kunt vervolgens het vakje naast de betreffende app aan- of uitvinken om de toegangsrechten aan te passen.
Invoer vastleggen, Scherm opnames en Safari
Schijftoegang is niet de enige functie die gebruik maakt van machtigingen in macOS Catalina. Apple vereist vanaf nu ook dat apps toestemming vragen om de toetsenbordinvoer te loggen en schermopnamen te maken. Je vind de opties hiervoor terug onder "Invoer vastleggen" en "Scherm opname" in ▸ Systeemvoorkeuren ▸ Beveiliging en privacy ▸ Privacy.
Invoer vastleggen verwijst naar elke tekstinvoer die niet door het besturingssysteem wordt verwerkt. Dit werkt zoals de instelling "Volledige toegang toestaan" onder iOS voor toetsenborden van derden. Dit kan helpen je te beschermen tegen geïnstalleerde keyloggers.
Beperkingen voor schermopname voorkomt dat apps zonder toestemming je scherm kan opnemen. Deze beperking is van invloed op apps zoals Apple's eigen QuickTime Player. Dergelijke apps vragen je om via de Systeemvoorkeuren toestemming te geven.
In Safari wordt je vanaf nu gevraagd of je bestanden vanaf een specifiek domein wilt downloaden. Tevens zal Safari je toestemming vragen voor schermdeling. Je kunt per website de keuzes aanpassen via: Safari ▸ Voorkeuren ▸ Websites. Je kunt websites permanent toestemming verlenen, volledig weigeren of per bezoek laten vragen wat te doen.
macOS geïnstalleerd op een apart schijfvolume
Tijdens het installatieproces van macOS Catalina wordt het hoofdsysteemvolume in tweeën gesplitst: een alleen-lezen volume voor de systeembestanden (het besturingssysteem) en een tweede volume voor gegevens die zowel lees- als schrijftoegang mogelijk maakt. Je hoeft hiervoor zelf niets te doen, het macOS installatieprogramma regelt dit allemaal.
De belangrijkste bestanden van het besturingssysteem worden op het alleen-lezen volume geplaatst. Deze kan niet door door de gebruiker of apps worden gewijzigd. Dit volume is niet zichtbaar in Finder. Maar de aangemaakte volumes kunnen wel bekeken worden met behulp van het Schijfhulpprogramma dat je terug vind in de map Apps ▸ Hulpprogramma's.
Start het Schijfhulpprogramma, in de zijbalk zie u twee volumes - een gewone oude "Macintosh HD" (het besturingssysteem) en een "Macintosh HD - Gegevens" voor alle andere gebruikersdata.
Deze wijziging zullen de meeste macOS gebruikers waarschijnlijk niet opmerken. Het heeft geen invloed op de dagelijkse werking van je Mac en de enige keer dat het alleen-lezen volume door iets wordt beïnvloed, is wanneer je een software-update uitvoert.
Het opsplitsen van het systeemvolume maakt het voor kwaadaardige apps (malware) lastiger om het deel van je schijf te benaderen waar de meest gevoelige gegevens van het besturingssysteem worden opgeslagen.
Verbeteringen voor Gatekeeper
Gatekeeper is een technologie die wordt gebruikt wanneer je een app probeert uit te voeren die niet uit de Mac App Store komt en niet is ondertekend met een geautoriseerd Apple ontwikkelaars-certificaat. In dat geval stopt Gatekeeper het uitvoeren van onbetrouwbare apps op je Mac, in macOS Catalina zijn extra beveiligingsfuncties toegevoegd.
Apps worden nu elke keer als ze worden uitgevoerd gecontroleerd op malware met behulp van Gatekeeper. Voorheen gebeurde dit alleen de eerste keer dat je de app probeerde te openen. Om het proces te versnellen, heeft Apple een nieuw goedkeuring process 'Notarizing' gelanceerd waarbij ontwikkelaars hun apps bij Apple moeten indienen om ze vooraf als veilig te laten goedkeuren.
Als Gatekeeper ziet dat een app via Notarizing is geregistreerd, wordt deze niet elke keer gescand op malware. Sinds macOS Catalina moet elke ontwikkelaar die zijn app heeft ondertekend met een Apple Developer ID-certificaat, zijn apps ook indienen voor notarizing door Apple om de controles van Gatekeeper zonder verdere meldingen te doorstaan. Voor de ontwikkelaars van apps is dit natuurlijk een hoop gedoe.
Je kunt echter nog steeds apps installeren en uitvoeren die niet zijn ondertekend met ontwikkelaarscertificaten. Hoe lees je in het onderstaande artikel:
Activeringsslot voor Macs voorzien van een T2-chip
Activation Lock werd voor het eerst toegevoegd aan de beveiligingsfuncties van de iPhone om dieven af te schrikken. De functie koppelt een iOS-apparaat aan je Apple ID. Hierdoor moet je je aanmelden met je inloggegevens als je het apparaat naar de fabrieksinstellingen wilt herstellen.
Hiermee wordt voorkomen dat de dief een iPhone of iPad naar de fabrieksinstellingen kan herstellen, en vervolgens opnieuw kan verkopen als een gebruikt apparaat.
Deze zelfde technologie is nu ook aanwezig in macOS Catalina. Het werkt alleen als je Mac voorzien is van een Apple T2-chip, een speciale chip die zorg draagt voor de SSD controller. De T2-chip is aanwezig in de omderstaande Macs:
- MacBook Pro 2018 of nieuwer
- MacBook Air 2018 of nieuwer
- iMac Pro (alle modellen)
- Mac mini 2018 of nieuwer
Zorg ervoor dat "Zoek mijn Mac" is ingeschakeld onder ▸Systeemvoorkeuren ▸ Apple ID ▸ iCloud. Dit noodzakelijk om gebruik te maken van Activation Lock. Als je van plan bent je Mac te verkopen, zorg er dan voor dat je "Zoek mijn Mac" uitschakelt voordat je dit doet.
Weet je niet zeker welke Mac je hebt? Klik op het Apple-logo in de linkerbovenhoek en kies vervolgens 'Over deze Mac' om het jaar, het model en andere technische specificaties te bekijken.
Auteur | Richard IJzermans | |
Datum | 12/02/2020 19:56 | |
Categorie | macOS, Uitleg | |
Reacties
Maar hoe kan ik nu zelf een programma toevoegen aan Invoer Vastleggen, zodat het programma ook naar behoren werkt. Het gaat hier om Discord.
De partitie met de systeembestanden is bij mij ook zichtbaar in Finder , evenals de partitie met de gegevens. Je kan de prtitie wel desactiveren via schijfhulpprogramma.