RaazNet

رازنتبتا

دانشنامه
در این صفحه

حریم خصوصی و ایمن‌سازی macOS

راهنمای جامع امن‌سازی مک‌اواس برای کاربران ایرانی، با تمرکز بر محدودیت‌های محلی، چالش‌های اپل آیدی و تکنیک‌های پیشرفته مقاوم‌سازی.

Time20 minutes

حریم خصوصی و مقاوم‌سازی مک‌اواس (macOS)

مک‌اواس (macOS) سیستم‌عاملی قدرتمند است، اما تنظیمات پیش‌فرض آن راحتی کاربر و یکپارچگی ابری را بر حریم خصوصی سخت‌گیرانه ترجیح می‌دهند. برای کاربران ایرانی، این موضوع چالش‌های منحصر‌به‌فردی ایجاد می‌کند: پایبندی سفت و سخت اپل به تحریم‌های آمریکا به معنای عدم حضور رسمی در ایران، مسدود بودن آدرس‌های IP و موانع قابل توجه در ایجاد حساب‌های کاربری امن است.

این راهنما بر مقاوم‌سازی (Hardening) مک‌اواس در برابر نظارت و جاسوسی، با در نظر گرفتن محدودیت‌های خاص فضای اینترنت ایران تمرکز دارد.

هشدار: مک‌های قدیمی‌تر مبتنی بر اینتل فاقد ویژگی‌های امنیتی سخت‌افزاری پیشرفته‌ی اپل سیلیکون (تراشه‌های M1/M2/M3) هستند. اگر کار حساس و پرخطری انجام می‌دهید، در صورت امکان از مک‌های دارای اپل سیلیکون استفاده کنید.

۱. شرایط ایران: اپل آیدی و اتصال

قبل از مقاوم‌سازی سیستم، کاربران ایرانی باید موانع بنیادین استفاده از خدمات اپل را برطرف کنند.

چالش اپل آیدی (Apple ID)

اپل برای تمام اپل آیدی‌های جدید احراز هویت دو مرحله‌ای (2FA) را اجباری کرده است، اما از شماره تلفن‌های ایران (+98) پشتیبانی نمی‌کند.

  • ریسک: استفاده از "شماره‌های مجازی" موقت (سرویس‌های آنلاین رایگان) ریسک بسیار بالای قفل شدن دائمی حساب کاربری را به همراه دارد.
  • راهکار: از یک شماره تلفن دائمی خارجی (متعلق به دوست یا خانواده در خارج از کشور) یا یک سرویس VoIP پولی و معتبر (مانند Google Voice) که می‌توانید در درازمدت آن را حفظ کنید، استفاده نمایید.
  • ریجن (منطقه): منطقه اپل آیدی خود را روی کشوری تنظیم کنید که برای دانلود اپلیکیشن‌های رایگان نیاز به اثبات سکونت نداشته باشد (مانند ایالات متحده)، اما آگاه باشید که امکان استفاده از روش‌های پرداخت ایرانی را نخواهید داشت.

اتصال و به‌روزرسانی‌ها

اپل مرتباً ترافیک ورودی از IPهای ایران را مسدود می‌کند.

  • نیاز به VPN: برای دسترسی به اپ استور (App Store)، فعال‌سازی مک‌اواس و دانلود به‌روزرسانی‌های امنیتی، احتمالاً به یک ابزار دور زدن تحریم یا VPN معتبر نیاز خواهید داشت.
  • نشت ترافیک: حتی با وجود VPN، مک‌اواس ممکن است برخی ترافیک‌ها را خارج از تونل ارسال کند. از ویژگی "Kill Switch" در VPN خود یا یک فایروال مانند LuLu برای جلوگیری از نشت اطلاعات استفاده کنید.

۲. راه‌اندازی اولیه و حساب‌های کاربری

نصب تمیز (Clean Installation)

اگر مک خود را به صورت دست‌دوم یا از فروشنده‌ای شخص ثالث در ایران خریداری کرده‌اید، به سیستم‌عامل از پیش نصب شده اعتماد نکنید. برای اطمینان از نبود جاسوس‌افزار (Spyware)، گزینه "Erase All Content and Settings" را اجرا کنید یا یک نصب تازه (Fresh Install) از طریق فلش مموری بوتیبل انجام دهید.

نام دستگاه

نام کامپیوتر شما در شبکه‌های محلی (Wi-Fi) پخش می‌شود. آن را به نامی عمومی تغییر دهید تا از شناسایی هویت شما جلوگیری شود.

  • مسیر: Settings > General > About > Name
  • تغییر به: عبارتی مثل "MacBook" یا "Mac".

حساب‌های کاربری

برای کارهای روزمره از حساب "مدیر" (Administrator) استفاده نکنید. بدافزاری که روی حساب ادمین اجرا شود، می‌تواند آسیب بسیار بیشتری وارد کند.

  1. به مسیر Settings > Users & Groups > Add Account بروید.
  2. نوع حساب (Type): را روی Standard قرار دهید.
  3. از این حساب Standard برای کارهای روزانه استفاده کنید. تنها زمانی که نیاز به تغییرات سیستمی دارید وارد حساب Administrator شوید.

۳. مقاوم‌سازی سیستم و تنظیمات

فایل‌والت (رمزنگاری کامل دیسک)

این مورد اجباری است. بدون فایل‌والت (FileVault)، هر کسی که دسترسی فیزیکی به مک شما داشته باشد می‌تواند فایل‌هایتان را بخواند.

  • مسیر: Settings > Privacy & Security > FileVault را روشن (On) کنید.
  • کلید بازیابی: کلید بازیابی خود را به صورت آفلاین (روی کاغذ) نگه دارید. اگر امکان استفاده از "محافظت پیشرفته داده‌ها" (ADP) را ندارید، کلید را در آی‌کلاد ذخیره نکنید.

حالت لاک‌دان (حیاتی برای فعالان)

حالت لاک‌دان (Lockdown Mode) که در مک‌اواس ونچورا معرفی شد، سطح حمله را به شدت کاهش می‌دهد (مثلاً مسدود کردن JIT در مرورگرها و پیوست‌ها در پیام‌ها). این بهترین دفاع در برابر جاسوس‌افزارهای پیچیده مانند پگاسوس است.

  • مسیر: Settings > Privacy & Security > Lockdown Mode را روشن (On) کنید.
  • نکته: برخی وب‌سایت‌ها و ویژگی‌ها ممکن است متفاوت به نظر برسند یا کندتر بارگذاری شوند.

فایروال و امنیت شبکه

  • مسیر: Settings > Network > Firewall را روشن (On) کنید.
  • گزینه‌ها (Options): گزینه "Block all incoming connections" را فعال کنید تا از دسترسی سرویس‌های راه دور (مثل SSH یا Screen Sharing) جلوگیری شود.
  • تصادفی‌سازی مک آدرس وای‌فای:
    • مسیر: Settings > Network > Wi-Fi > Details > Private Wi-Fi Address
    • تنظیم روی Rotating یا Fixed برای جلوگیری از ردیابی در شبکه‌های مختلف.

غیرفعال‌سازی تلمتری سیری و اسپات‌لایت

از ارسال جستجوها و داده‌های صوتی خود به اپل جلوگیری کنید.

  1. مسیر: Settings > Siri & Spotlight: گزینه Ask Siri را خاموش کنید.
  2. حریم خصوصی اسپات‌لایت: روی "Spotlight Privacy..." کلیک کنید و درایو هارد خود را به لیست اضافه کنید تا اگر خواهان حریم خصوصی حداکثری هستید، ایندکس‌سازی محلی انجام نشود (این کار جستجوی محلی فایل‌ها را غیرفعال می‌کند).
  3. غیرفعال‌سازی "Help Apple Improve Search": تیک این گزینه را بردارید تا ارسال متادیتای جستجو به اپل متوقف شود.

تنظیمات حریم خصوصی و امنیت

  • خدمات مکان‌یابی (Location Services): اگر ممکن است کاملاً خاموش کنید. در غیر این صورت، فقط برای برنامه‌های خاص (مثل Maps) فعال کنید و مطمئن شوید اشتراک‌گذاری موقعیت در "System Services" به حداقل رسیده است.
  • تحلیل‌ها و بهبودها (Analytics): گزینه‌های "Share Mac Analytics" و "Share with App Developers" را خاموش کنید.
  • تبلیغات اپل: گزینه "Personalized Ads" را خاموش کنید.
  • میکروفون/دوربین: بررسی کنید کدام برنامه‌ها دسترسی دارند. دسترسی هر برنامه‌ای که شدیداً به آن نیاز ندارد را لغو کنید.

۴. آی‌کلاد (iCloud) و حریم خصوصی داده‌ها

آی‌کلاد راحت است اما اگر کلیدهای رمزنگاری در دست اپل باشد خطرناک است، زیرا ممکن است اپل مجبور به تحویل داده‌ها شود.

محافظت پیشرفته از داده‌ها (ADP)

اگر موفق به ساخت اپل آیدی با 2FA شدید، Advanced Data Protection را فعال کنید.

  • مسیر: Settings > [Your Name] > iCloud > Advanced Data Protection.
  • این قابلیت رمزنگاری سرتاسری (E2EE) را برای بکاپ‌ها، عکس‌ها، درایو و یادداشت‌ها تضمین می‌کند. اپل نمی‌تواند این داده‌ها را رمزگشایی کند.

اگر ADP گزینه ممکن نیست (نداشتن 2FA / محدودیت‌های ایران):

از آی‌کلاد برای داده‌های حساس استفاده نکنید.

  • غیرفعال‌سازی: iCloud Photos، Drive و Backup را غیرفعال کنید.
  • داده‌های خود را به صورت دستی و با کابل روی یک درایو رمزنگاری شده محلی همگام‌سازی (Sync) کنید.
  • استفاده از جایگزین‌های دارای رمزنگاری سرتاسری (E2EE):
    • فضای ابری: Proton Drive، Tresorit یا راهکاری شخصی‌سازی شده مثل Nextcloud.
    • یادداشت‌ها: Standard Notes یا Obsidian (با رمزنگاری محلی).
    • عکس‌ها: Ente Photos (جایگزین E2EE).

۵. امنیت اپلیکیشن‌ها

گیت‌کیپر (Gatekeeper)

هرگز Gatekeeper را غیرفعال نکنید. این قابلیت تضمین می‌کند که تنها کدهای امضا شده و معتبر روی مک شما اجرا شوند.

  • مسیر: Settings > Privacy & Security > Security: اطمینان حاصل کنید که "Allow applications downloaded from" روی App Store and known developers تنظیم شده باشد.

فایروال خروجی (LuLu)

مک‌اواس دارای فایروال داخلی ورودی است، اما بدافزارها همچنان می‌توانند به سرورهای خود "تلفن بزنند" (ارسال اطلاعات به خارج).

  • توصیه: نرم‌افزار LuLu (رایگان و متن‌باز توسط Objective-See) را نصب کنید. این برنامه هر زمان که اپلیکیشنی تلاش کند به اینترنت وصل شود به شما هشدار می‌دهد.
  • کاربرد: هرگونه پردازش پس‌زمینه ادوبی/مایکروسافت/ناشناس که نیاز به اینترنت ندارد را بلاک کنید.

انتخاب مرورگر

برای وب‌گردی‌های حساس از سافاری (Safari) استفاده نکنید، زیرا ترافیک آن می‌تواند با حساب آی‌کلاد شما مرتبط شود.

  • حریم خصوصی عمومی: مرورگر Mullvad Browser یا Brave (نسخه مقاوم‌سازی شده).
  • ناشناسی: مرورگر Tor Browser (ضروری برای دور زدن سانسور).
  • ارجاع: به فایل Privacy_Focused_Browsers_and_Applications.md مراجعه کنید.

۶. امنیت فیزیکی و جرم‌شناسی (Forensics)

"قبل از اولین بازگشایی" (BFU)

زمانی که مک شما کاملاً خاموش (یا ریستارت) شده و هنوز لاگین نکرده‌اید، دستگاه در حالت BFU قرار دارد. در این حالت کلیدهای رمزنگاری در حافظه رم (RAM) موجود نیستند.

  • تمرین: اگر در حال عبور از ایست بازرسی هستید یا احتمال توقیف دستگاه را می‌دهید، مک خود را کاملاً خاموش (Shut down) کنید. آن را صرفاً در حالت Sleep قرار ندهید.

بوت امن و ریکاوری

  • اپل سیلیکون: مطمئن شوید که در حالت ریکاوری (Startup Security Utility)، گزینه "Full Security" فعال است.
  • لوازم جانبی USB:
    • مسیر: Settings > Privacy & Security > Allow accessories to connect
    • تنظیم روی Ask for New Accessories یا Always Ask (موجود در لپ‌تاپ‌های اپل سیلیکون). این کار از اتصال ابزارهایی مثل GrayKey از طریق پورت USB در هنگام قفل بودن دستگاه جلوگیری می‌کند.

وبکم و میکروفون

  • سخت‌افزار: مک‌های دارای اپل سیلیکون وقتی درب لپ‌تاپ بسته می‌شود، میکروفون را به صورت فیزیکی قطع می‌کنند.
  • نشانگر بصری: به نقاط سبز/نارنجی در نوار منو دقت کنید.
  • پوشش فیزیکی: از برچسب یا کاور کشویی برای پوشاندن وبکم استفاده کنید.

۷. بهداشت اتصالات (ایردراپ و بلوتوث)

ایردراپ (AirDrop) هش (Hash) دستگاه شما را برای همه افراد نزدیک پخش می‌کند. این می‌تواند باعث شناسایی شما در میان جمعیت شود.

  • ایردراپ: روی Receiving Off تنظیم کنید. تنها در لحظه نیاز آن را فعال کنید.
  • بلوتوث: وقتی استفاده نمی‌کنید آن را خاموش کنید.
  • گیرنده ایرپلی (AirPlay Receiver): در مسیر Settings > General > AirPlay & Handoff آن را غیرفعال کنید.

چک‌لیست برای کاربران ایرانی

  1. اپل آیدی: امن شده با شماره خارجی پایدار + فعال‌سازی 2FA.
  2. رمزنگاری: فعال‌سازی FileVault با کلید بازیابی آفلاین.
  3. آی‌کلاد: فعال‌سازی محافظت پیشرفته (ADP) یا غیرفعال‌سازی کامل آی‌کلاد.
  4. لاک‌دان: فعال‌سازی Lockdown Mode (برای پروفایل‌های پرخطر).
  5. فایروال: روشن بودن فایروال سیستم + نصب LuLu.
  6. وی‌پی‌ان (VPN): استفاده از VPN معتبر با تنظیمات Kill Switch.
  7. مرورگر: نصب Mullvad Browser یا Tor Browser برای کارهای حساس.
  8. نگهداری: فعال‌سازی آپدیت خودکار (بررسی هفتگی با اتصال VPN).
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.