לדלג לתוכן

macOS Overview

macOS היא מערכת הפעלה Unix שפותחה על ידי אפל עבור מחשבי ה-Mac שלהם. כדי לשפר את הפרטיות ב-macOS, אתה יכול להשבית את תכונות הטלמטריה ולהקשיח את הגדרות הפרטיות והאבטחה הקיימות.

מחשבי Mac ו-Hackintosh ישנים יותר מבוססי אינטל אינם תומכים בכל תכונות האבטחה ש-macOS מציעה. To enhance data security, we recommend using a newer Mac with Apple Silicon.

הערות פרטיות

יש כמה חששות בולטים של פרטיות עם macOS שכדאי לשקול. אלה נוגעים למערכת ההפעלה עצמה, ולא לאפליקציות ולשירותים האחרים של אפל.

נעילת הפעלה

Brand-new Apple Silicon devices can be set up without an internet connection. עם זאת, שחזור או איפוס ה-Mac שלך ידרשחיבור לאינטרנט לשרתים של אפל כדי לבדוק מול מסד הנתונים של נעילת ההפעלה של מכשירים שאבדו או נגנבו.

בדיקות ביטול אפליקציה

macOS מבצעת בדיקות מקוונות כאשר אתה פותח אפליקציה כדי לוודא אם אפליקציה מכילה תוכנה זדונית ידועה, והאם אישור החתימה של המפתח נשלל.

Apple's OCSP service uses HTTPS encryption, so only they are able to see which apps you open. They've posted information about their logging policy for this service. They additionally promised to add a mechanism for people to opt-out of this online check, but this has not been added to macOS.

While you can manually opt out of this check relatively easily, we recommend against doing so unless you would be badly compromised by the revocation checks performed by macOS, because they serve an important role in ensuring compromised apps are blocked from running.

תצורה מומלצת

החשבון שלך כשתגדיר לראשונה את ה-Mac שלך יהיה חשבון Administrator, בעל הרשאות גבוהות יותר מאשר חשבון משתמש רגיל. ל-macOS יש מספר הגנות שמונעות מתוכנות זדוניות ותוכניות אחרות לנצל לרעה את הרשאות המנהל שלך, כך שבדרך כלל בטוח להשתמש בחשבון זה.

However, exploits in protective utilities like sudo have been discovered in the past. אם ברצונך להימנע מהאפשרות שתוכניות שאתה מפעיל מנצלות לרעה את הרשאות המנהל שלך, תוכל לשקול ליצור חשבון משתמש שני סטנדרטי שבו אתה משתמש לפעולות יומיומיות. יש לזה יתרון נוסף בכך שהוא הופך את זה לברור יותר כאשר אפליקציה צריכה גישת מנהל, מכיוון שהיא תבקש ממך אישורים בכל פעם.

אם אתה משתמש בחשבון שני, אין צורך בהחלט להיכנס לחשבון המנהל המקורי שלך ממסך הכניסה של macOS. כאשר אתה עושה משהו כמשתמש רגיל הדורש הרשאות מנהל מערכת, המערכת אמורה לבקש ממך אימות, שם תוכל להזין את אישורי המנהל שלך כמשתמש הרגיל שלך באופן חד פעמי. אפל מספקת הנחיות להסתרת חשבון המנהל שלך אם אתה מעדיף לראות רק חשבון בודד במסך ההתחברות שלך.

iCloud

כאשר אתה משתמש בשירותי אפל כמו iCloud, רוב המידע שלך מאוחסן בשרתים שלהם ומאובטח באמצעות מפתחות שאלם יש לאפל גישה כברירת מחדל. This is called Standard Data Protection by Apple.

לכן, אם אתה משתמש ב-iCloud, עליך להפעיל את הגנת נתונים מתקדמת. זה מצפין כמעט את כל נתוני ה-iCloud שלך עם מפתחות המאוחסנים במכשירים שלך (הצפנה מקצה לקצה), ולא בשרתים של אפל, כך שנתוני ה-iCloud שלך מאובטחים במקרה של הפרת נתונים, ומוסתרים אחרת מאפל.

If you want to be able to install apps from the App Store but don't want to enable iCloud, you can sign in to your Apple Account from the App Store instead of System Settings.

הגדרות מערכת

ישנן מספר הגדרות מובנות שאתה צריך לאשר או לשנות כדי להקשיח את המערכת שלך. פתח את אפליקציית הגדרות:

Bluetooth

  • Turn off Bluetooth (unless you are currently using it)

רשת

תלוי אם אתה משתמש בWi-Fi או בEthernet (מסומן בנקודה ירוקה ובמילה "מחוברים"), לחץ על הסמל המתאים.

לחץ על כפתור "פרטים" לפי שם הרשת שלך:

  • Select Rotating under Private Wi-Fi address

  • Turn on Limit IP address tracking

חומת-אש

חומת האש שלך חוסמת חיבורי רשת לא רצויים. ככל שהגדרות חומת האש שלך מחמירות יותר, כך ה-Mac שלך מאובטח יותר. עם זאת, שירותים מסוימים ייחסמו. עליך להגדיר את חומת האש שלך כך שתהיה קפדנית ככל האפשר מבלי לחסום שירותים שבהם אתה משתמש.

  • Turn on Firewall

לחץ על הלחצן אפשרויות:

  • Turn on Block all incoming connections

אם תצורה זו קפדנית מדי, אתה יכול לחזור ולבטל את הסימון. עם זאת, macOS בדרך כלל ינחה אותך לאפשר חיבורים נכנסים עבור אפליקציה אם האפליקציה מבקשת זאת.

כללי

כברירת מחדל, שם המכשיר שלך יהיה משהו כמו "ה-iMac של [השם שלך]". Because this name is publicly broadcast on your network, you'll want to change your device name to something generic like "Mac".

לחץ על אודות והקלד את שם המכשיר הרצוי בשדה שם.

עדכוני תוכנה

עליך להתקין באופן אוטומטי את כל העדכונים הזמינים כדי לוודא שה-Mac שלך מכיל את תיקוני האבטחה האחרונים.

לחץ על הסמל הקטן ליד עדכונים אוטומטיים:

  • Turn on Download new updates when available

  • Turn on Install macOS updates

  • Turn on Install Security Responses and system files

Apple Intelligence & Siri

If you do not use these features on macOS, you should disable them:

  • Turn off Apple Intelligence
  • כבה את Siri

Apple Intelligence is only available if your device supports it. Apple Intelligence uses a combination of on-device processing and their Private Cloud Compute for things that take more processing power than your device can provide.

To see a report of all the data sent via Apple Intelligence, you can navigate to Privacy & SecurityApple Intelligence Report and press Export Activity to see activity from the either the last 15 minutes or 7 days, depending on what you set it for. Similar to the App Privacy Report which shows you the recent permissions accessed by the apps on your phone, the Apple Intelligence Report likewise shows what is being sent to Apple's servers while using Apple Intelligence.

By default, ChatGPT integration is disabled. If you don't want ChatGPT integration anymore, you can navigate to ChatGPT:

  • Turn off Use ChatGPT

You can also have it ask for confirmation every time if you leave ChatGPT integration on:

  • Turn on Confirm Requests

Warning

Any request made with ChatGPT will be sent to ChatGPT's servers, there is no on-device processing and no PCC like with Apple Intelligence.

פרטיות& אבטחה

בכל פעם שאפליקציה מבקשת הרשאה, היא תופיע כאן. אתה יכול להחליט אילו יישומים ברצונך לאפשר או לדחות הרשאות ספציפיות.

שירותי מיקום

אתה יכול לאפשר בנפרד שירותי מיקום לכל אפליקציה. אם אינך זקוק לאפליקציות כדי להשתמש במיקום שלך, כיבוי שירותי מיקום לחלוטין היא האפשרות הפרטית ביותר.

  • כבה את שירותי מיקום
ניתוח & שיפורים

Decide whether you want to share analytics data with Apple and app developers.

פרסום של אפל

החלט אם אתה רוצה מודעות מותאמות אישית על סמך השימוש שלך.

  • כבה את מודעות מותאמות אישית
FileVault

On modern devices with a Secure Enclave (Apple T2 Security Chip, Apple Silicon), your data is always encrypted, but is decrypted automatically by a hardware key if your device doesn't detect it's been tampered with. Enabling FileVault additionally requires your password to decrypt your data, greatly improving security, especially when powered off or before the first login after powering on.

במחשבי Mac ישנים יותר מבוססי אינטל, FileVault היא הצורה היחידה של הצפנת דיסקים הזמינה כברירת מחדל, וצריכה להיות מופעלת תמיד.

  • לחץ על הפעל
מצב נעילה

Lockdown Mode disables some features in order to improve security. Some apps or features won't work the same way they do when it's off. For example, Javascript Just-In-Time (JIT) compilation and WebAssembly are disabled in Safari with Lockdown Mode enabled. We recommend enabling Lockdown Mode and seeing whether it significantly impacts daily usage.

  • לחץ על הפעל

כתובת MAC אקראית

macOS uses a randomized MAC address when performing Wi-Fi scans while disconnected from a network.

You can set your MAC address to be randomized per network and rotate occasionally to prevent tracking between networks and on the same network over time.

Go to System SettingsNetworkWi-FiDetails and set Private Wi-Fi address to either Fixed if you want a fixed but unique address for the network you're connected to, or Rotating if you want it to change over time.

Consider changing your hostname as well, which is another device identifier that's broadcast on the network you're connected to. You may wish to set your hostname to something generic like "MacBook Air", "Laptop", "John's MacBook Pro", or "iPhone" in System SettingsGeneralSharing.

הגנות אבטחה

macOS משתמשת בהגנה לעומק על ידי הסתמכות על שכבות מרובות של הגנות מבוססות תוכנה וחומרה, עם מאפיינים שונים. זה מבטיח שכשל בשכבה אחת לא פוגע באבטחה הכוללת של המערכת.

אבטחת תוכנה

Warning

macOS מאפשר לך להתקין עדכוני בטא. These are unstable and may come with extra telemetry since they're for testing purposes. בשל כך, אנו ממליצים להימנע מתוכנות בטא באופן כללי.

נפח מערכת חתומה

macOS's system components are protected in a read-only signed system volume, meaning that neither you nor malware can alter important system files.

הנפח של המערכת מאומתת בזמן שהיא פועלת וכל נתון שלא חתום בחתימה קריפטוגרפית תקפה מאפל יידחה.

הגנת שלמות המערכת

macOS מגדיר מגבלות אבטחה מסוימות שלא ניתן לעקוף. These are called Mandatory Access Controls, and they form the basis of the sandbox, parental controls, and System Integrity Protection on macOS.

הגנת שלמות המערכת הופכת מיקומי קבצים קריטיים לקריאה בלבד כדי להגן מפני שינויים מקוד זדוני. זה נוסף על הגנת Kernel Integrity מבוססת החומרה שמונעת מהליבה להשתנות בזיכרון.

אבטחת יישומים

ארגז חול לאפליקציה

On macOS, whether an app is sandboxed is determined by the developer when they sign it. The App Sandbox protects against vulnerabilities in the apps you run by limiting what a malicious actor can access in the event that the app is exploited. The App Sandbox alone can't protect against Supply Chain Attacks by malicious developers. For that, sandboxing needs to be enforced by someone other than the developer themselves, as it is on the App Store.

Warning

תוכנה שהורדה מחוץ לחנות האפליקציות הרשמית אינה חייבת להיות בארגז חול. If your threat model prioritizes defending against Passive Attacks, then you may want to check if the software you download outside the App Store is sandboxed, which is up to the developer to opt in.

You can check if an app uses the App Sandbox in a few ways:

You can check if apps that are already running are sandboxed using the Activity Monitor.

Warning

Just because one of an app's processes is sandboxed doesn't mean they all are.

Alternatively, you can check apps before you run them by running this command in the terminal:

codesign -dvvv --entitlements - <path to your app>

If an app is sandboxed, you should see the following output:

    [Key] com.apple.security.app-sandbox
    [Value]
        [Bool] true

If you find that the app you want to run is not sandboxed, then you may employ methods of compartmentalization such as virtual machines or separate devices, use a similar app that is sandboxed, or choose to not use the non-sandboxed app altogether.

Hardened Runtime

The Hardened Runtime is an extra form of protection for apps that prevents certain classes of exploits. It improves the security of apps against exploitation by disabling certain features like JIT.

You can check if an app uses the Hardened Runtime using this command:

codesign -dv <path to your app>

If Hardened Runtime is enabled, you will see flags=0x10000(runtime). The runtime output means Hardened Runtime is enabled. There might be other flags, but the runtime flag is what we're looking for here.

You can enable a column in Activity Monitor called "Restricted" which is a flag that prevents programs from injecting code via macOS's dynamic linker. Ideally, this should say "Yes".

אנטי וירוס

macOS comes with two forms of malware defense:

  1. הגנה מפני הפעלת תוכנות זדוניות מלכתחילה מסופקת על ידי תהליך הבדיקה של App Store עבור יישומי App Store, או אישור נוטריוני (חלק מ Gatekeeper), תהליך שבו יישומי צד שלישי נסרקים לאיתור תוכנות זדוניות ידועות על ידי אפל לפני שהם מורשים לפעול. Apps are required to be signed by the developers using a key given to them by Apple. This ensures that you are running software from the real developers. Notarization also requires that developers enable the Hardened Runtime for their apps, which limits methods of exploitation.
  2. הגנה מפני תוכנות זדוניות אחרות ותיקון מתוכנות זדוניות קיימות במערכת שלך מסופקת על ידי XProtect, תוכנת אנטי-וירוס מסורתית יותר המובנית ב-macOS.

We recommend against installing third-party antivirus software as they typically do not have the system-level access required to properly function anyway, because of Apple's limitations on third-party apps, and because granting the high levels of access they do ask for often poses an even greater security and privacy risk to your computer.

גיבויים

macOS comes with automatic backup software called Time Machine, so you can create encrypted backups to an external drive or a network drive in the event of corrupted/deleted files.

אבטחת חומרה

Many modern security features in macOS—such as modern Secure Boot, hardware-level exploit mitigation, OS integrity checks, and file-based encryption—rely on Apple Silicon, and Apple's newer hardware always has the best security. We only encourage the use of Apple Silicon, and not older Intel-based Mac computers or Hackintoshes.

חלק מתכונות האבטחה המודרניות הללו זמינות במחשבי Mac ישנים יותר מבוססי אינטל עם שבב האבטחה של Apple T2, אך השבב הזה רגיש לניצול checkm8 שעלול לסכן את האבטחה שלו.

If you use Bluetooth accessories such as a keyboard, we recommend that you use official Apple ones as their firmware will automatically be updated for you by macOS. שימוש באביזרים של צד שלישי זה בסדר, אך עליך לזכור להתקין עבורם עדכוני קושחה באופן קבוע.

Apple's SoCs focus on minimizing attack surface by relegating security functions to dedicated hardware with limited functionality.

אתחול ROM

macOS prevents malware persistence by only allowing official Apple software to run at boot time; this is known as secure boot. Mac computers verify this with a bit of read-only memory on the SoC called the boot ROM, which is laid down during the manufacturing of the chip.

ROM האתחול הוא שורש האמון של החומרה. This ensures that malware cannot tamper with the boot process, since the boot ROM is immutable. כאשר ה-Mac שלך מאתחל, ROM האתחול הוא הדבר הראשון שפועל, ויוצר את החוליה הראשונה בשרשרת האמון.

Mac computers can be configured to boot in three security modes: Full Security, Reduced Security, and Permissive Security, with the default setting being Full Security. You should ideally be using Full Security mode and avoid things like kernel extensions that force you to lower your security mode. הקפד לבדוק שאתה אתה משתמש במצב אבטחה מלאה.

Secure Enclave

The Secure Enclave is a security chip built into devices with Apple Silicon which is responsible for storing and generating encryption keys for data at rest as well as Face ID and Touch ID data. It contains its own separate boot ROM.

אתה יכול לחשוב על ה-Secure Enclave כמרכז האבטחה של המכשיר שלך: יש לו מנוע הצפנה AES ומנגנון לאחסון מאובטח של מפתחות ההצפנה שלך, והוא מופרד משאר המערכת, כך שגם אם המעבד הראשי נפגע, הוא צריך עדיין להיות בטוח.

טביעת אצבע Touch ID

תכונת Touch ID של אפל מאפשרת לך לפתוח את המכשירים שלך בצורה מאובטחת באמצעות ביומטריה.

Your biometric data never leaves your device; it's stored only in the Secure Enclave.

ניתוק מיקרופון של החומרה

All laptops with Apple Silicon or the T2 chip feature a hardware disconnect for the built-in microphone whenever the lid is closed. זה אומר שאין שום דרך לתוקף להאזין למיקרופון של ה-Mac שלך גם אם מערכת ההפעלה נפגעת.

שימו לב שלמצלמה אין ניתוק חומרה, מכיוון שהנוף שלה מעורפל כאשר המכסה סגור בכל מקרה.

Secure Camera Indicator

The built-in camera in a Mac is designed so that the camera can't turn on without the camera indicator light also turning on.

אבטחת מעבד היקפי

Computers have built-in processors other than the main CPU that handle things like networking, graphics, power management, etc. למעבדים אלו יכולה להיות אבטחה לא מספקת ולהיפגע, לכן אפל מנסה למזער את הצורך במעבדים אלו בחומרה שלהם.

כאשר יש צורך להשתמש באחד מהמעבדים הללו, אפל עובדת עם הספק כדי לוודא שהמעבד

  • מריץ קושחה מאומתת מהמעבד הראשי בעת האתחול
  • יש לו שרשרת אתחול מאובטח משלו
  • עומד בסטנדרטים קריפטוגרפיים מינימליים
  • מבטיח כי קושחה פגומה ידועה מבוטלת כהלכה
  • ממשקי ניפוי הבאגים שלו מושבתים
  • חתום במפתחות ההצפנה של אפל

הגנות גישה ישירה לזיכרון

Apple Silicon separates each component that requires direct memory access. לדוגמה, יציאת Thunderbolt לא יכולה לגשת לזיכרון המיועד לליבה.

Terminal Secure Keyboard Entry

Enable Secure Keyboard Entry to prevent other apps from detecting what you type in the terminal.

אתה צופה בעותק העברי של מדריכי הפרטיות, שתורגם על ידי צוות השפה הפנטסטי שלנו ב- Crowdin. אם אתה מבחין בשגיאה, או רואה קטעים לא מתורגמים בדף זה, אנא שקול לעזור! בקרו ב-Crowdin

You're viewing the עברית copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out!