Järjestelmän eheyden suojaus
macOS hyödyntää kernelin oikeuksia rajoittaakseen kriittisten järjestelmätiedostojen kirjoittamista. Tätä rajoittamista kutsutaan järjestelmän eheyden suojaukseksi (System Integrity Protection - SIP). Tämä ominaisuus on erillinen laitteistopohjaisesta kernelin eheyden suojauksesta (Kernel Integrity Protection - KIP), joka on käytettävissä Apple siliconilla varustetussa Macissa ja suojaa kernelin muokkaamiselta muistissa. Järjestelmän eheyden suojausta käytetään kernelin eheyden suojauksen lisäksi. Tähän ja useisiin muihin kernel-tason suojauksiin, kuten eristykseen (sandboxing) ja tietosäiliöön, hyödynnetään pakollista pääsynhallintaa.
Pakollinen pääsynhallinta
macOS käyttää pakollista pääsynhallintaa, eli kehittäjän luomia tietoturvarajoitteita määrittäviä käytäntöjä, joita ei voida ohittaa. Tämä lähestymistapa eroaa harkinnanvaraisesta pääsynhallinnasta, jossa käyttäjät voivat ohittaa tietoturvakäytäntöjä mieltymystensä mukaan.
Pakollinen pääsynhallinta ei näy käyttäjille, mutta se on perusteknologiaa, joka auttaa mahdollistamaan useita tärkeitä ominaisuuksia. Niitä ovat esimerkiksi eristys, käyttörajoitukset, hallitut asetukset, laajennukset ja järjestelmän eheyden suojaus.
Järjestelmän eheyden suojaus
Järjestelmän eheyden suojaus rajoittaa erityisissä tärkeissä tiedostojärjestelmäsijainneissa olevat komponentit vain luettaviksi. Tämä auttaa estämää haitallista koodia muokkaamasta niitä. Järjestelmän eheyden suojaus on tietokonekohtainen asetus, joka on oletuksena päällä, kun käyttäjä päivittää OS X 10.11:een tai uudempaan. Intel-pohjaisessa Macissa asetuksen laittaminen pois päältä poistaa suojauksen kaikilta osioilta fyysisessä tallennuslaitteessa. macOS käyttää tätä suojauskäytäntöä jokaiseen järjestelmässä toimivaan prosessiin riippumatta siitä, toimiiko se eristettynä vai ylläpitäjän oikeuksilla.