系统扩展正在取代macOS内核扩展,这会对您有何影响?
从一开始,Apple就热衷于保护用户的隐私和安全,而弃用内核扩展是它们实现其平台现代化的最新举措之一。但是,这家科技巨头在WWDC 2019上宣布,macOS Catalina中的内核扩展将被苹果的新技术系统扩展所取代。或许你会说“关我啥事?”接下来让我们分析分析。
什么是内核扩展?
内核是操作系统的核心。它促进了macOS与软件组件之间的交互,执行低级任务,例如磁盘管理,任务管理和内存管理。内核扩展(也称为KEXT)是一个应用程序捆绑包,用于通过允许软件直接加载到macOS内核中来扩展macOS的本机功能。防病毒软件,防火墙,VPN客户端和USB驱动程序都可以利用KEXT。
KEXT风险
由于KEXT已编程为在受保护的内核空间中加载,因此如果KEXT崩溃或发生故障,可能会导致内核崩溃,并破坏整个系统。系统扩展的工作方式与KEXT类似,但它们与其他应用程序一样,在内核外部的用户空间中运行。这使系统扩展更可靠,更安全,并且更易于开发。
在Catalina中可以构建三种系统扩展:网络扩展,驱动程序扩展和端点安全性扩展。使用网络扩展,您可以自定义OS X的网络功能,例如使用内置VPN协议,个人VPN或自定义VPN协议创建和管理VPN配置。驱动程序扩展控制硬件设备,例如USB,串行,网络接口和人机接口设备。使用Apple的Endpoint Security框架构建的扩展程序可以监视系统事件,例如流程执行和发出潜在恶意活动的信号。
内核定义并执行系统安全策略的规则。加载KEXT时,它将成为内核的一部分,并可以访问计算机上的所有内容。由于KEXT是制定安全规则的内核的一部分,因此它位于规则之上。没有可以限制它的安全规则。如果KEXT遭到破坏,它将接管整个机器,从而带来严重的安全性和可靠性问题。
与KEXT不同,系统扩展在内核外部的用户空间中运行,因此它们必须遵循系统安全策略的规则。系统扩展被授予特殊特权,例如可以直接访问其关联的硬件设备,或者使用特殊的API与内核系统直接通信。如此,如果系统扩展崩溃了,其余的系统和应用程序将不受影响并保持运行。
这对您有什么影响?
- 随着KEXT的逐步淘汰,当Mac上的软件加载旧版KEXT时,您可能会开始从Apple接收警告消息。这是为了提前通知您,加载的扩展名将与以后的macOS版本不兼容。
- 现在,在macOS Catalina上安装第三方KEXT要求您重新启动Mac,然后再允许它们加载。
- 由于添加了与现有KEXT具有相同目的的系统扩展,因此将在macOS Catalina中逐渐替换KEXT。
- 像KEXT一样,需要授予系统扩展访问或修改操作系统组件的权限。该权限可以由管理员用户或MDM提供者手动授予。
使用Mobile Device Manager Plus之类的MDM解决方案,您可以只把必要的系统扩展列入白名单,从而避免任何潜在的安全威胁。借助自动批量注册,远程管理,自动化OS更新管理和盗窃检测等功能,您可以将节约的时间集中到其他事情上,让MDM工具处理您的IT资产。快开始免费试用,亲身体验下!