Hallo zusammen,

habe mir auf meinem M1 (mit 12.3.1 'Monterey') mit der aktuellen Version 17.1.2 von "Parallels Desktop" eine VM mit 'Windows 11 for arm' eingerichtet. Das klappte schnell und einfach.

Dabei gestatte ich "Parallels Desktop" weder den vollständigen Festplattenzugriff (Systemeinstellungen / Sicherheits & Datenschutz / Datenschutz / Festplattenvollzugriff), noch erlaubte ich Zugriff auf meine Benutzer-Ordner 'Downloads', 'Dokumente' und 'Schreibtisch' (Systemeinstellungen / Sicherheits & Datenschutz / Datenschutz / Dateien und Ordner).

Anmerkung: Hintergrund dabei ist, dass ich der virtuellen Machine ausschließlich Zugriff auf einen ganz speziellen Ordner innerhalb meines Benutzer-Verzeichnisses gewähren möchte (und zwar 'UTM-Share').

Unter Windows 11 konnte ich dann trotzdem bei 'empfohlen' Dateien meines Desktops sehen (und auch öffnen), was mich doch sehr wunderte?

Offensichtlich war da, obwohl ich auch noch mal vor dem 'initialen Start' (Installation) der VM in den Einstellungen von "Parallels Desktop" prüfte, dass wirklich keine macOS-Ordner außer meinem besagten 'UTM-Share' zugänglich sind, irgend etwas schief gelaufen …

Und tatsächlich – in der Menüleiste der VM war das Häkchen auf 'user' (so heißt mein Standard-Benutzer unter macOS) statt auf 'Keine'!

Nun meine Frage: Das dürfte doch eigentlich gar nicht möglich sein? Sprich, selbst wenn die VM von "Parallels Desktop" da das Häkchen für den gesamten Benutzerordner gesetzt hat (wie gesagt ohne mein zutun, also wie eine Art 'erzwungene Voreinstellung'), dann sollte macOS doch trotzdem eine Warnung ausgeben und den Zugriff zumindest auf 'Downloads', 'Dokumente' und 'Schreibtisch' (siehe oben) verweigern?

Aus meiner Sicht ist das eindeutig ein Sicherheits- (oder zumindest ein Datenschutz)-Problem.

Oder missverstehe ich hier etwas?

Anbei noch ein paar Screenshots, die das ganze vllt. besser verdeutlichen:







PS: Beim zweiten Screenshot habe ich das dann nachträglich von Hand wieder auf 'Keine' umgestellt, es stand wie gesagt auf 'user' ohne dass ich das wollte.

Das sind ja zwei verschiedene Sachen. 1. der Zugriff von Windows auf den Mac, 2. der Zugriff auf vom Mac auf Windows.

jk350: Ja, Du hast recht. Mein Fehler …

Das macht das ganze aber nur noch ominöser, denn wie kann es dann sein, dass die VM Zugriff auf die Daten auf meinem (Mac)-Schreibtisch hatte?

Finde ich jetzt nicht so ominös. Das MacOS ist schließlich das Hauptsystem, auf dem alle wichtigen Daten liegen. Das vom Gastsystem aus Bedarf besteht, auf Daten ausserhalb der win-Installation zuzugreifen ist absolut naheliegend. Wie das eingerichtet und kommuniziert wurde hätte eventuell anders umgesetzt werden können. Nur mal so als Überlegung. Was würde dir dein win bringen, wenn es gar nicht mit dem Rest des Macs Daten austauschen könnte? Vermutlich herzlich wenig.

maculi: Entschuldigung, aber ich habe ja wohl eindeutig darauf hingewiesen, dass ich der VM explizit Zugriff auf einen einzigen Ordner geben möchte (siehe die Anmerkung in meinem Eingangs-Posting).

Es ist IMHO ein Datenschutz-Verstoß, wenn sich die App (in dem Fall also "Parallels Desktop") unerlaubt Zugriff auf Bereiche nimmt, die nicht durch mich als Endanwender freigegeben wurden.

Und die Frage ist für mich dabei vor allem, wie das überhaupt sein kann, denn offensichtlich umgeht "Parallels Desktop" da ja Sicherheits-Einstellungen von macOS!

Läuft Parallels denn in der Sandbox? Wenn nicht, müsste das Programm wie jedes andere Programm ohne Sandbox auf die Daten des Nutzers zugreifen können, in dessen Kontext es gestartet wurde. Und wenn wenn du noch das Adminkennwort eingeben musstes, gibt's noch mehr Rechte.

Nebula: Danke, guter Hinweis – ich hatte mit Parallels direkt von deren Webseite geladen (14 Tage Demo), vermutlich ist nur die App Store Version 'sandboxed'?

https://apps.apple.com/de/app/parallels-desktop/id1085114709?mt=12

Ich könnte die App Store Version mal zum Vergleich installieren.

Nur Sicherheitshalber mal gefragt:

Hast Du wirklich Zugriff auf die Ordner innerhalb Parallels , oder werde sie einfach nur angezeigt ( nur bei Zugriff erfolgt dann eine Freigabe-Rückfrage ?

Ich konnte wie gesagt auf Dateien des Schreibtisch von macOS von Windows aus zugreifen (also diese nicht nur sehen sondern auch öffnen) nach dem 'inital setup', und dies, obwohl ich das explizit an keiner Stelle erlaubt hatte.

Aber ist das nicht genau der Grund warum man eine VM einrichtet?
Ein System zu haben, dass vollkommen losgelöst/isoliert vom eigentlichen Hostsystem arbeitet?

Diesen "isolierten" Modus gibt es ja meines Wissens nach in Parallels.
https://kb.parallels.com/112942

Der ist aber nicht gewollt.

KarstenM: Naja, diese Sicherheits-Funktion in Parallels namens "Windows von Mac isolieren" unterbindet dann aber auch, dass ich den speziellen Ordner innerhalb meines Benutzer-Verzeichnisses (UTM-Share) aus der VM heraus direkt anzapfen kann.

Bitte nicht missverstehen: Mir geht es ja eigentlich nur darum, die Community darauf aufmerksam zu machen, dass Parallels sich offensichtlich 'ungefragt' Zugriff auf Bereiche des $HOME schaffen kann und macOS nicht mit einer entsprechenden Warnmeldung darauf aufmerksam macht.

Genau da hast du recht!!!
Eine VM hat gefälligst in ihrem "Käfig" zu bleiben und keinerlei Schreib- oder Lesezugriffe auf dem Hostsystem zu haben....zumindest bis es der Host erlaubt aber nicht per devault.

Parallels adressiert ja eher Kunden, die Windowsprogramme auf dem Mac ausführen wollen, und um damit arbeiten zu können, muss man natürlich auch auf seine Daten zugreifen können. Mir wäre so ein Komfort auch nicht geheuer. Bei VMware läuft das über eine Art Netzwerkverbindung.

Tatsächlich ist u.a. in dem Punkt ein unterschiedliches Verhalten der App Store Variante zu beobachten.