Jamf Blog
November 9, 2020 op Jesus Vigo

Wat is er nieuw in macOS Big Sur Security

Het nieuwste besturingssysteem van Apple is er bijna en er is genoeg reden om opgewonden te zijn. Het nieuwe besturingssysteem brengt grote veranderingen voor Mac-beveiliging met zich mee.

Onder de kenmerkende nieuwe look van macOS Big Sur bevinden zich veranderingen in de beveiligingsarchitectuur die voortbouwen op die in Catalina: de bestaande verdeling van het opstartvolume in twee wordt verbeterd door een nog betere bescherming van het systeem; notarization wordt strenger afgedwongen zonder het gebruik van niet-ondertekende code te blokkeren; en macOS verschuift van extensies die in de kernelruimte worden uitgevoerd naar extensies voor gebruikersruimte, inclusief speciale Endpoint Security-extensies.

Het systeem afdichten

De grootste verandering in macOS 11 is het nieuwe Sealed System Volume (SSV), dat het afzonderlijke systeemvolume vervangt dat is geïntroduceerd in macOS 10.15. Dit vergroot de systeembescherming tegen het bestaande alleen-lezen volume dat wordt gedekt door System Integrity Protection (SIP).

Tijdens de installatie van macOS, zodra het systeemvolume is geïnstalleerd, worden cryptografische hashes berekend voor elk onderdeel op dat volume en samengevoegd tot een boomstructuur (zoals eenMerkle Tree), resulterend in een enkele, master-hash genaamd de Seal. Deze hashes worden opgeslagen als metadata en er wordt een snapshot van het bestandssysteem van het volume gemaakt. In plaats van dat macOS het systeemvolume als alleen-lezen koppelt zoals in Catalina, wordt alleen die verzegelde momentopname gemount, waardoor onveranderlijke systeembestanden nog meer robuuste beschermingslagen tegen sabotage en fouten krijgen. Dit mechanisme beschermt ook tegen mislukte systeemupdates, waarvan de Seal niet overeenkomt met wat voorgeschreven is.

Tijdens het begin van het opstarten controleert macOS Big Sur de Seal op het systeem. Als dat kapot is, zal het besturingssysteem niet opstarten en moet het opnieuw worden geïnstalleerd. De herstelmodus biedt een optie om die controle uit te schakelen, waardoor het mogelijk wordt om een systeemvolume aan te passen en het niet-verzegeld uit te voeren. Dat opzetten is ingewikkeld en niet triviaal.

Eenmaal ontzegeld, kunnen gebruikers het systeem niet opnieuw verzegelen, en de enige manieren om een verzegeld systeem te maken, zijn door een macOS Big Sur-installatieprogramma of updater te gebruiken, of met de Apple Software Restore-opdrachttool asr. Eerdere methoden voor het kopiëren of klonen van het systeemvolume leveren niet langer een opstartbaar resultaat op, en compatibele hulpprogramma's van derden moeten ook gebruikmaken van asr om succesvol te zijn.

macOS Big Sur biedt een Sealed System Volume dat de bescherming van belangrijke systeembestanden verhoogt tot buiten het bereik van alle huidige malware en die de meest vastberaden aanvaller kan weerhouden van het veranderen ervan nadat het besturingssysteem is opgestart. Het beschermt ook tegen onbedoelde corruptie en garandeert de systeemintegriteit.

Extensies

Veranderlijke systeembestanden worden nog steeds opgeslagen op het beschrijfbare datavolume en zijn niet beschermd door verzegeling of andere maatregelen die op het grootste deel van het systeem worden toegepast. Onder die aanpasbare bestanden zijn door de gebruiker geïnstalleerde kernel-extensies waarvan sommigen hadden verwacht dat deze zouden worden geblokkeerd in macOS Big Sur. Hoewel macOS Big Sur een aantal oudere extensies meer een beetje overbelast, heeft Apple een volledig verbod uitgesteld om ontwikkelaars meer tijd te geven om te migreren van hun afhankelijkheid van extensies die in de kernelruimte draaien en te vervangen door systeemextensies in de gebruikersruimte.

Extensies zijn nodig voor apps die functies wijzigen of uitbreiden die in de kernel zijn geïmplementeerd en de meer dan 300 standaard kernelextensies in macOS. Klassieke doeleinden zijn onder meer stuurprogramma's ter ondersteuning van randapparatuur, netwerkbewaking inclusief softwarefirewalls, DNS-proxy's en VPN-clients, het bijhouden van wijzigingen in het bestandssysteem en ondersteuning voor aanvullende bestandssystemen.

Wanneer de kernel en de kernel-extensies van Big Sur tijdens het opstarten zijn geladen, worden de geheugenpagina's in de kernel vergrendeld door Kernel Integrity Protection (al gebruikt in iOS) om wijziging ervan te voorkomen. Aangezien systeemextensies in de gebruikersruimte worden uitgevoerd, wordt hun toegang tot de kernel en zijn functies strikt gecontroleerd. Een System Extension-klasse met een bijzondere waarde in beveiliging is de Endpoint Security-extensie, die gebeurtenissen zoals procesuitvoering en forking, bestandssysteemgebeurtenissen, waaronder bestandsmanipulatie, toegang tot metagegevens van het bestandssysteem en de verbinding van sockets, kan controleren en autoriseren. Zoals bij alle systeemextensies, vereisen deze een speciaal recht dat exclusief door Apple wordt verleend, en hun installatie en controle wordt beheerd door hun bijbehorende app.

Het Endpoint Security-framework is al waardevol gebleken voor het implementeren van proactieve beveiligingstools die niet afhankelijk zijn van het zoeken naar bekende malware, maar potentieel kwaadaardig gedrag kunnen detecteren en kwetsbare delen van het systeem kunnen bekijken die nog op het datavolume moeten worden geïnstalleerd.

Door afstand te nemen van extensies die in de kernelruimte worden uitgevoerd, wordt het aanvalsoppervlak aanzienlijk verkleind en wordt de systeembetrouwbaarheid verbeterd doordat het risico op conflicten met kernelextensies van derden wordt geëlimineerd.

App-beveiliging

Hoewel er geen algemene verandering in de beveiligingsvereisten voor apps en andere software van derden is, wordt de notarization strenger toegepast, waarbij gebruikers een reeks van twee dialogen moeten onderhandelen voordat de nieuwe apps die niet worden notarized, kunnen worden geopen. In Catalina hebben sommige gebruikers geleerd dat het openen van een nieuwe app in de Finder die app vanaf één enkele dialoog uitvoert, zelfs wanneer het niet wordt notarized. Binnen macOS Big Sur wordt deze actie bewuster gemaakt, aangezien gebruikers het Open-commando een tweede keer moeten gebruiken voordat ze worden gevraagd of ze de app echt willen draaien, ondanks het gebrek aan notarization.

Niet-ondertekende code kan nog steeds worden uitgevoerd op Intel-modellen, maar Apple Silicon Macs vereisen dat alle uitvoerbare code (behalve scripts) wordt ondertekend. Dit kan echter gewoon gebeuren met een lokaal gegenereerde ad hoc-handtekening.

Het nieuwe Sealed System Volume van Apple is een grote stap voorwaarts in het beveiligen van het macOS-systeem en heeft significante gevolgen voor sommige gebruikers. In combinatie met een verbeterde bescherming van kernelruimte door gebruikersextensies naar gebruikersruimte te verplaatsen, wordt macOS 11 aanzienlijk veerkrachtiger.

Speciaal gebouwd voor de beveiliging van Apple

Probeer Jamf Protect

Ben je klaar voor je Mac upgrades?

Maak van dit OS-upgrade-seizoen het beste upgrade-seizoen ooit.

Schrijf je in voor het Jamf blog

Krijg markttrends, Apple updates en Jamf nieuws direct in je inbox.

Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we je gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.