系统扩展正在取代macOS内核扩展，这会对您有何影响？

从一开始，Apple就热衷于保护用户的隐私和安全，而弃用内核扩展是它们实现其平台现代化的最新举措之一。但是，这家科技巨头在WWDC 2019上宣布，macOS Catalina中的内核扩展将被苹果的新技术系统扩展所取代。或许你会说“关我啥事？”接下来让我们分析分析。

什么是内核扩展？

内核是操作系统的核心。它促进了macOS与软件组件之间的交互，执行低级任务，例如磁盘管理，任务管理和内存管理。内核扩展（也称为KEXT）是一个应用程序捆绑包，用于通过允许软件直接加载到macOS内核中来扩展macOS的本机功能。防病毒软件，防火墙，VPN客户端和USB驱动程序都可以利用KEXT。

KEXT风险

由于KEXT已编程为在受保护的内核空间中加载，因此如果KEXT崩溃或发生故障，可能会导致内核崩溃，并破坏整个系统。系统扩展的工作方式与KEXT类似，但它们与其他应用程序一样，在内核外部的用户空间中运行。这使系统扩展更可靠，更安全，并且更易于开发。

在Catalina中可以构建三种系统扩展：网络扩展，驱动程序扩展和端点安全性扩展。使用网络扩展，您可以自定义OS X的网络功能，例如使用内置VPN协议，个人VPN或自定义VPN协议创建和管理VPN配置。驱动程序扩展控制硬件设备，例如USB，串行，网络接口和人机接口设备。使用Apple的Endpoint Security框架构建的扩展程序可以监视系统事件，例如流程执行和发出潜在恶意活动的信号。

内核定义并执行系统安全策略的规则。加载KEXT时，它将成为内核的一部分，并可以访问计算机上的所有内容。由于KEXT是制定安全规则的内核的一部分，因此它位于规则之上。没有可以限制它的安全规则。如果KEXT遭到破坏，它将接管整个机器，从而带来严重的安全性和可靠性问题。

与KEXT不同，系统扩展在内核外部的用户空间中运行，因此它们必须遵循系统安全策略的规则。系统扩展被授予特殊特权，例如可以直接访问其关联的硬件设备，或者使用特殊的API与内核系统直接通信。如此，如果系统扩展崩溃了，其余的系统和应用程序将不受影响并保持运行。

这对您有什么影响？

随着KEXT的逐步淘汰，当Mac上的软件加载旧版KEXT时，您可能会开始从Apple接收警告消息。这是为了提前通知您，加载的扩展名将与以后的macOS版本不兼容。

现在，在macOS Catalina上安装第三方KEXT要求您重新启动Mac，然后再允许它们加载。

由于添加了与现有KEXT具有相同目的的系统扩展，因此将在macOS Catalina中逐渐替换KEXT。

像KEXT一样，需要授予系统扩展访问或修改操作系统组件的权限。该权限可以由管理员用户或MDM提供者手动授予。

使用Mobile Device Manager Plus之类的MDM解决方案，您可以只把必要的系统扩展列入白名单，从而避免任何潜在的安全威胁。借助自动批量注册，远程管理，自动化OS更新管理和盗窃检测等功能，您可以将节约的时间集中到其他事情上，让MDM工具处理您的IT资产。立即开始免费试用，亲身体验下！