Правда ли, что Windows превосходит macOS: анализ распространенных заблуждений

19 июля 2024 года синий экран и бесконечная перезагрузка затронули 8,5 млн компьютеров с Windows одновременно. Остановились аэропорты, замерли банковские операции, некоторые больницы вернулись к бумажным картам. Атаки не произошло. Сбой вызвало некорректное обновление защитного агента CrowdStrike Falcon, тогда как устройства на macOS и Linux продолжили функционировать (катастрофу спровоцировал именно тот инструмент, который позиционировался как страховка от сбоев).

Дискуссия «Windows или macOS — что лучше?» практически всегда сводится к вопросам защищённости и стабильности. Вокруг этих систем сформировалось столько мифов, что данные за 2024 и 2025 годы стоит сопоставить с самыми живучими из них. Рассмотрим семь заблуждений, по порядку.

Миф 1. На Mac не бывает вирусов

Многие годы этот аргумент основывался не на архитектуре, а на статистике. Доля macOS на настольных ПК по данным StatCounter держится около 15% против примерно 70% у Windows, и злоумышленникам было выгоднее создавать угрозы под большинство. Защита за счёт редкости, а не прочности.

Киберпреступность пересмотрела это уравнение. Atomic macOS Stealer (AMOS) продаётся как сервис с весны 2023 года и за полтора года стал третьим по распространённости вредоносом для Mac. По данным телеметрии Malwarebytes, на него пришлось 9% всех обнаружений угроз для macOS в 2024 году. В Sophos к 2025 году AMOS составлял почти 40% обновлений защиты для macOS, вдвое больше любого другого семейства. А Unit 42 зафиксировала рост числа стилеров для Mac на 101% за два последних квартала 2024 года, и стилеры стали крупнейшей категорией нового вредоносного ПО под macOS.

Что похищает AMOS? Пароли из Связки ключей, куки и учётные данные из браузеров, криптокошельки. Распространяют его буднично. В июне 2024 года исследователи Securelist обнаружили домен, распространявший AMOS под видом менеджера пакетов Homebrew через вредоносную рекламу. Рядом крутятся форки вроде Poseidon, создаваемые человеком под ником Rodrigo4, предположительно бывшим разработчиком кода AMOS. Тезис «Маки не болеют» опровергнут не теоретически, а статистикой.

Миф 2. Windows по определению дырявое решето

Противоположное заблуждение не менее устарело. Современная Windows строит доверие на чипе TPM, проверяет цепочку загрузки и изолирует критичные части ядра с помощью виртуализации. BitLocker шифрует диск, Credential Guard переносит процесс LSASS с паролями в отдельную изолированную среду, Microsoft Defender давно сменил сигнатурный анализ на изучение поведения приложений. Громче всего по Windows в 2024 году ударило не вредоносное ПО, а некорректное обновление CrowdStrike.

Проблема в другом. Многие строгие механизмы по умолчанию отключены, их нужно активировать и настраивать вручную. А наследие тянет назад. Группы вымогателей перешли на технику BYOVD (bring your own vulnerable driver), когда атакующий приносит на машину уязвимый, но подписанный драйвер. В первом квартале 2025 года Kaspersky описала инцидент, когда группировка Akira через уязвимость в драйвере веб-камеры обошла систему обнаружения угроз и зашифровала файлы по сети по протоколу SMB. Решето не в коде Windows, а в привычке таскать за собой старое ПО и драйверы ради совместимости.

Миф 3. Apple закрыла экосистему, значит, дыр нет

Контроль над оборудованием и системой действительно упрощает защиту. Но закрытость не означает неуязвимость, и красноречивее всего это доказывает Microsoft, регулярно находя уязвимости в чужой ОС.

В сентябре 2024 года Apple устранила уязвимость, названную в Microsoft HM Surf (CVE-2024-44133). Злоумышленник снимал защиту приватности с каталога Safari, изменял конфигурационный файл и получал доступ к камере, микрофону, геолокации и истории посещений без запросов пользователю. Microsoft заметила активность, похожую на эксплуатацию уязвимости рекламным вредоносом Adload. Apple уточнила, что под угрозой находились машины, управляемые через MDM.

В декабре 2024 года в составе macOS Sequoia 15.2 закрыли другую находку Microsoft и исследователя Микки Джина, обход SIP (CVE-2024-44243). Через демон storagekitd злоумышленник с правами root загружал сторонние расширения ядра в обход защиты целостности системы, что открывало путь к руткитам и персистентности. До этого Microsoft выявляла в macOS уязвимости Shrootless, powerdir, Achilles и Migraine, и новая дыра пополнила этот список. System Integrity Protection ограничивает доступ к системным файлам даже для root, и всё равно обходы находят снова.

Миф 4. Встроенной защиты macOS хватает, антивирус лишний

Gatekeeper, нотариат и XProtect достаточно хорошо блокируют неподписанное и известное вредоносное ПО. Слабое место в другом. Большинство успешных атак 2024 и 2025 годов не преодолевали эти барьеры, потому что угрозу запускал сам владелец устройства.

Сигнализация бесполезна, когда хозяин сам открывает дверь и показывает, где сейф. AMOS и его аналоги скрываются в поддельных установщиках, «взломанных» приложениях и схеме ClickFix, где жертву уговаривают вставить строку в Терминал, а затем ввести системный пароль. После этого Связка ключей оказывается у атакующего.

На стороне Windows бытует зеркальное убеждение: «Defender бесполезен, нужен сторонний антивирус». Спор о брендах бьёт мимо цели. От защиты ожидают трёх вещей: предотвращения запуска вредоносного кода, обнаружения подозрительных действий и сохранения следов для расследования. Поведенческий анализ умеют и встроенные средства, и коммерческие, а разницу определяют настройка и скорость реакции команды, не логотип.

Миф 5. Главная угроза — это изощрённые эксплойты

Сколько уязвимостей нужно AMOS, чтобы добраться до паролей в Связке ключей? Ноль. Стилер не ищет 0-day, он эксплуатирует привычку человека делать то, что просит экран. Обман дешевле цепочки эксплойтов и работает чаще.

Под Windows та же логика, только в иных декорациях. В ход идут фишинговые письма, документы с просьбой включить активное содержимое, поддельные страницы входа, перехват токенов облачных сервисов. Дорогие эксплойты браузеров и системных компонентов никуда не делись, но на исход сильнее влияют скорость установки обновлений и ограниченный список разрешённых программ, а не редкая ошибка работы с памятью.

Миф 6. Чем строже настройки по умолчанию, тем безопаснее

Логика привлекательна, но расплачиваются за неё обе системы. macOS строга изначально и переспрашивает на каждом шагу, дать ли приложению доступ к камере, микрофону или папкам. Череда запросов притупляет внимание, человек перестаёт их читать и машинально жмёт «разрешить». Стилеры рассчитывают на эту усталость.

Windows подходит иначе. Изоляция ядра, белые списки запуска через WDAC, Credential Guard — всё это ждёт ручного включения администратором. По умолчанию система удобна для старого ПО и открыта для атак. Ни тот, ни другой подход не достаётся бесплатно, и всё зависит от готовности пользователя настроить систему под свои нужды.

Миф 7. Старая система ещё годик поработает

14 октября 2025 года Microsoft прекратила поддержку всех редакций Windows 10. Обновления безопасности перестали выходить, а по данным StatCounter почти половина пользователей Windows всё ещё использовала «десятку». Получать патчи можно по платной программе расширенных обновлений (ESU) до 2028 года, около $30 в год для частного лица. Любая уязвимость, обнаруженная после октября, на такой машине останется неисправленной.

macOS избавляется от наследия жёстче. Apple отказалась от 32-битных программ, заменила расширения ядра системными расширениями, ужесточила требования к подписи. Площадь для атаки уменьшается, но часть пользователей застревает на старых версиях ради совместимости и тоже остаётся без свежих исправлений. «Ещё годик» дорого обходится в обеих экосистемах.

Что у обеих систем под капотом

За громкими названиями стоят вполне сопоставимые механизмы. Разница чаще в том, активны ли они сразу или требуют ручной активации.

Windows предоставляет больше возможностей для тонкой настройки и корпоративного управления, но расплачивается совместимостью со старым ПО. macOS жёстче с правилами запуска и целостностью, зато наказывает тех, кто затягивает с обновлением или устанавливает ПО из ненадёжных источников.

Минимум, который снижает риск

Волшебной кнопки нет, есть набор мер, уменьшающих и вероятность проблемы, и её последствия. Для Windows минимум таков:

• Активировать BitLocker, убедившись в использовании TPM 2.0 и безопасной загрузки.
• Включить изоляцию ядра и Credential Guard, чтобы пароли нельзя было извлечь простым дампом памяти.
• Перевести запуск ПО на белые списки через WDAC или хотя бы AppLocker.
• Ограничить макросы вне доверенных папок и использование интерпретаторов скриптов.
• Не откладывать миграцию с Windows 10; если переход невозможен — подключить ESU.

Для macOS пунктов меньше, суть аналогична:

• Оставить SIP и Gatekeeper включёнными, запускать только нотаризованные приложения.
• Держать FileVault активным, установить сложный пароль загрузки вместо «1234».
• Периодически пересматривать выданные разрешения TCC и отзывать ненужные.
• Брать ПО из проверенных источников, избегать «кряков» и универсальных установщиков сомнительного происхождения.
• Устанавливать точечные обновления безопасности сразу, крупные релизы — после быстрой проверки совместимости.

Поверх любой ОС работают две привычки. Резервные копии спасают от вымогателей и ошибок эффективнее любых лозунгов. А отказ вводить системный пароль по первому требованию сайта или установщика блокирует большинство сценариев со стилерами.

Куда смотреть дальше

Меньше маркетинга, больше конкретики — в первоисточниках:

• Документация Microsoft по безопасности Windows, механизмам защиты и руководствам по развёртыванию.
• Apple Platform Security, официальное описание защиты macOS и аппаратной платформы.
• MITRE ATT&CK, матрицы техник атак для оценки реальных рисков.

Так кто кого

Самые результативные атаки на Mac в 2024-2025 годах не взломали ни SIP, ни Gatekeeper, ни нотаризацию. Они убедили владельца вставить команду в Терминал и ввести пароль. А худший инцидент с Windows за тот же период устроило не вредоносное ПО, а средство защиты с некорректным обновлением. Вопрос «какая система лучше» отвечает сам себе. Фактор, влияющий на исход, сидит за клавиатурой и либо устанавливает обновления, либо нет.

Самый доступный рубеж защиты для обеих платформ не требует денег, TPM или Secure Enclave. Достаточно не открывать дверь по первому стуку и ставить исправления в день выхода. Его пропускают чаще всего.