查看「 Apple 专题」获取更多相关内容
前言
与 Windows 不同,F-Secure 在 macOS 上的 DeepGuard 前身是由 Jonathan Zdziarski 开发的 Little Flocker。
Jonathan Zdziarski 正是越狱社区中的 NerveGas,曾发现不少 iOS 的安全漏洞,在 Oreilly 上出版了《Hacking and Securing iOS Applications》等书籍。
2017 年 3 月 Jonathan Zdziarski 表示将加入 Apple 的安全工程和架构团队,而 4 月 Little Flocker 被 F-Secure 收购,在收购后整合成为 F-Secure XFence 并提供测试,后来进一步成了现在的 DeepGuard。
对于个人用户,可以参考之前的文章 如何申请免费的 FS Protection 安全软件 中免费获取 F-Secure Protection 来使用 DeepGuard。
DeepGuard 是什么?
DeepGuard 可提供额外的安全保护层,保护您的个人数据免遭有害应用程序删除、勒索或窃取。
DeepGuard 确保您仅使用安全的应用程序。应用程序的安全性通过可信云端服务来验证。如果没有可用的信息,DeepGuard 会显示权限对话框,询问您是要拒绝还是允许应用程序。
通过检查文件信誉,DeepGuard 可提高对系统泄露的检测。此外,它还可确保不尊重隐私的应用程序无法使用您的摄像头、安装新启动程序、控制其他程序、窃听互联网连接,或进行其他此类影响隐私的活动。
我是否需要 DeepGuard
如果想知道应用程序在 macOS 上的行为并进行控制,那么 DeepGuard 会是一个选择,但同时即便是「简化模式」也需要用户了解一定的系统知识,这是一个为资深用户和系统管理员而准备的工具。
如果你忍受不了例如 Windows 上的 UAC,那么这个工具大概率不适合你,而如果你之前有了解过 HIPS 那么相信 DeepGuard 会让你得心应手。
设置 DeepGuard
进入到「DeepGuard 设置」有 3 种方法:
- 在「系统偏好设置」的底部进入「fs protection」进入设置;
- 打开 fs protection for Mac 窗口时选择左上角「fs protection」然后点击「首选项」;
- 在 fs protection for Mac 主页点击「病毒和威胁」,在「工具」下点击「首选项」;
接着切换到「DeepGuard」选项卡
此处默认已经开启了 DeepGuard,注意这里的「使用高级模式以获得提示」,之后会用上。
点击「高级」进入到 DeepGuard 的设置。
点击右上角的下拉选项框,将「安全级别」选择至「经典」
DeepGuard 的「安全级别」主要分三档:
- 默认:此级别允许大部分内置 macOS 应用程序和进程正常工作。它不监控计算机上的读取操作,但检查写入或运行文件的尝试。
- 经典:此级别允许大部分内置 macOS 应用程序和进程正常工作。它监控读取、写入或运行文件的尝试。
- 严格:此级别只允许访问必要进程。这样可供您更加密切地监控系统进程和内置应用程序。
此时会询问「要开启学习模式吗?」,此处暂时选择选择「不启用学习模式」,学习模式的作用之后会讲。
处理 DeepGuard 询问
这时候可以进行一些操作了,例如使用微信发送一份位于「桌面」上的文件,你将会看到:
DeepGuard 会记住你的这次选择,如果选择「允许」,那么之后微信再次访问「桌面」目录时都不会再有提示,反之微信将一直不能访问「桌面」目录里的文件。
你可能会觉得如此处理有点简单粗暴了,毕竟我们现在处于「简易模式」下,还记得之前提到的「使用高级模式以获得提示」么?如果打开它你看到的会是如下这样的界面:
在「高级模式」下整个提示就非常详尽了,DeepGuard 会告诉你是位于哪个路径的应用程序,正在想要读取哪个路径下的哪个文件,并且操作在分为允许或拒绝的基础上可以进一步的选择是「一次」、「直到退出」、「直到重启」或是「永久」,这些操作的权限为如读取、写入也会显示出来
回到「DeepGuard 设置」,打开刚才创建的「微信」策略规则
这里就是刚才操作允许或拒绝所创建的策略规则
💡 反过来想想,当你不想让某个应用程序读取某个文件夹时,就可以使用 DeepGuard 进行保护
学习模式
当你在「经典」或者「严格」的安全级别下运行一段时间后会发现,DeepGuard 的询问有点频繁,这时就需要「学习模式」。
在开启「学习模式」后,DeepGuard 会暂时允许并记录下会询问的内容,当你退出学习模式后会有一个列表显示已经记录的内容,你就可以挑选并统一加入到策略规则,就不用像先前那样一个个处理了。
其实「学习模式」的正确用法是,当你拿到一个崭新的系统或者在崭新系统安装好常用应用程序后,就开启 DeepGuard 的「学习模式」,然后将日常的使用习惯都操作一遍,这一步的目的就是让 DeepGuard 进行学习并记录,减少之后的询问弹窗,这其实就是 HIPS(主机入侵防御系统) 的一个常见用法,如果你曾经在 Windows 上使用过 EQSecure、Malware Defender、Comodo 等 HIPS 相信对此不会陌生。
HIPS 搭配「学习模式」的作用就在于,HIPS 在「学习」了你的日常操作后一方面可以减少对你的打扰,另一方面依靠严格的行为分析和监控所制作的策略规则,就可以防范未知病毒的入侵和造成的破坏,制作严格的策略规则不使用杀毒软件就可以防范病毒,这就是 HIPS 的魅力所在。
不过时过境迁,历史最终选择了更倾向于智能化的主动防御系统,而曾经风靡一时的 HIPS,如 EQSecure、Malware Defender、Real-time Defender、GKR 内核加固等等,尽管它们有的在商业化和易用性上也做了不少努力,但最后也难逃被收购或默默死去的命运,实在可惜。
