Järjestelmän eheyden suojaus
macOS hyÜdyntää kernelin oikeuksia rajoittaakseen kriittisten järjestelmätiedostojen kirjoittamista. Tätä rajoittamista kutsutaan järjestelmän eheyden suojaukseksi (System Integrity Protection - SIP). Tämä ominaisuus on erillinen laitteistopohjaisesta kernelin eheyden suojauksesta (Kernel Integrity Protection - KIP), joka on käytettävissä Applen sirulla varustetussa Macissa ja suojaa kernelin muokkaamiselta muistissa. Järjestelmän eheyden suojausta käytetään kernelin eheyden suojauksen lisäksi. Tähän ja useisiin muihin kernel-tason suojauksiin, kuten eristykseen (sandboxing) ja tietosäiliÜÜn, hyÜdynnetään pakollista pääsynhallintaa.
Pakollinen pääsynhallinta
macOS käyttää pakollista pääsynhallintaa, eli kehittäjän luomia tietoturvarajoitteita määrittäviä käytäntÜjä, joita ei voida ohittaa. Tämä lähestymistapa eroaa harkinnanvaraisesta pääsynhallinnasta, jossa käyttäjät voivat ohittaa tietoturvakäytäntÜjä mieltymystensä mukaan.
Pakollinen pääsynhallinta ei näy käyttäjille, mutta se on perusteknologiaa, joka auttaa mahdollistamaan useita tärkeitä ominaisuuksia. Niitä ovat esimerkiksi eristys, käyttÜrajoitukset, hallitut asetukset, laajennukset ja järjestelmän eheyden suojaus.
Järjestelmän eheyden suojaus
Järjestelmän eheyden suojaus rajoittaa erityisissä tärkeissä tiedostojärjestelmäsijainneissa olevat komponentit vain luettaviksi. Tämä auttaa estämää haitallista koodia muokkaamasta niitä. Järjestelmän eheyden suojaus on tietokonekohtainen asetus, joka on oletuksena päällä, kun käyttäjä päivittää OS X 10.11:een tai uudempaan. Intel-pohjaisessa Macissa asetuksen laittaminen pois päältä poistaa suojauksen kaikilta osioilta fyysisessä tallennuslaitteessa. macOS käyttää tätä suojauskäytäntÜä jokaiseen järjestelmässä toimivaan prosessiin riippumatta siitä, toimiiko se eristettynä vai ylläpitäjän oikeuksilla.