Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

macOS: Mehr Sicherheit durch eingeschränktes Benutzerkonto?

macOS ist bekanntlich seit jeher ein Mehrbenutzer-Betriebssystem, in dem einzelne User über unterschiedliche Rechte verfügen können. Im Alltag kommt man auf einem Mac im Wesentlichen mit drei Account-Typen in Berührung: Administratorkonten, Nutzerkonten und Gästen. Dabei gilt: Der erste eingerichtete Benutzer erhält ohne weiteres Zutun die Möglichkeit, den Rechner zu verwalten, und verfügt über weitreichende Rechte. Etliche Mac-Besitzer ziehen es daher aus Sicherheitsgründen vor, ein weiteres Konto anzulegen, dessen Fähigkeiten eingeschränkt sind. Diese Vorgehensweise entspricht der traditionellen Praxis auf UNIX-Systemen, zu denen macOS zu zählen ist.


Administratorkonto hat keine völlig uneingeschränkten Rechte
In welcher Hinsicht aber unterscheiden sich Administrator- von Benutzerkonten – und bietet die Arbeit mit reduzierten Rechten tatsächlich mehr Sicherheit? Um diese Fragen beantworten zu können, muss man sich zunächst anschauen, wie Apple den Administrator in macOS realisiert hat. Dieser verfügt standardmäßig nicht über völlig uneingeschränkte Rechte, die Durchführung bestimmter Aktionen und das Vornehmen etlicher Einstellungen werden etwa von der System Integrety Protection (SIP) blockiert. Diese lässt sich zwar deaktivieren, das sollte allerdings nur in begründeten Ausnahmefällen geschehen.

Im Unterschied zu einem einfachen Benutzer kann ein Administrator jedoch das System konfigurieren, also etwa weitere User anlegen und deren Rechte festlegen. Zudem erfordern etliche Einstellungen, welche systemweit zum Tragen kommen, die erweiterten Rechte eines Administrators. Darüber hinaus können einfache User zahlreiche Logs nicht einsehen und bestimmte systemnahe Apps nicht nutzen.

User-Account oft ohne signifikanten Sicherheitsgewinn
Ein Administrator darf allerdings auch nicht schalten und walten, ohne dass macOS auf mögliche Gefahren von Aktionen hinweist und zur Bestätigung durch die Eingabe des Passworts auffordert. Andererseits sind auch einfache User nicht gänzlich von der Konfiguration ausgeschlossen. Sie können beispielsweise Apps installieren, und zwar für alle Benutzer. Sogar viele Einstellungen lassen sich mit eingeschränkten Rechten vornehmen, in den meisten Fällen verlangt macOS dann allerdings die Eingabe eines Administratornamens und des zugehörigen Passworts.


Ist beides bekannt, was bei vielen Mac-Nutzern der Fall sein dürfte, welche das Gerät trotz der Account-Trennung allein nutzen, stellt die Verwendung eines eingeschränkten User-Accounts keinen Sicherheitsgewinn dar. Das gilt in einer solchen Konstellation auch, wenn etwa eine Schadsoftware erweiterte Privilegien anfordert. Anders sieht es natürlich aus, wenn sich mehrere Benutzer einen Mac teilen, das Administratorkonto ausschließlich zur Verwaltung verwendet und dessen Passwort unter Verschluss gehalten wird. Dann ist das Sicherheitsniveau naturgemäß höher.

macOS bietet etliche weitere Sicherheitsfeatures
macOS verfügt darüber hinaus über weitere Sicherheitsmechanismen. Unter anderem gibt es eine strikte Trennung von Betriebssystem und Daten. Außerdem hat Apple mit Gatekeeper, Malware Removal Tool, XProtect und XProtect Remediator einen leistungsfähigen Malwareschutz integriert. Dessen Funktionsweise ist bei allen Account-Typen identisch. Im Hinblick auf die Sicherheit von macOS stellt die Nutzung eines Administratorkontos bei der täglichen Arbeit alles in allem also kein großes Risiko dar. Andererseits ist der Komfortverlust durch die Verwendung eines Benutzers mit eingeschränkten Rechten nicht allzu groß. Eines allerdings sollte man keinesfalls tun: Einen Administrator beim Start automatisch einloggen. Und dass sichere Passwörter für alle Konten genutzt werden, sollte eine Selbstverständlichkeit sein.
Kurz: Beliebige KI-Musik mit Udio komponieren (lassen) +++ Spotify "Music Pro" auf dem Weg?
Kurz: Beliebige KI-Musik mit Udio komponieren (...
Vision Pro: Apple stellt bisherige Strategie auf den Prüfstand
Vision Pro: Apple stellt bisherige Strategie au...
iPad Pro mit OLED
iPad Pro mit OLED
Gravis ist (bald) Geschichte – Traditionshändler wird komplett schließen
Gravis ist (bald) Geschichte – Traditionshändle...
Weitere Apple-Prozessoren geplant: Entwicklung von Serverchips
Weitere Apple-Prozessoren geplant: Entwicklung ...
Großausfall bei Apple: Zahlreiche Dienste gestört
Großausfall bei Apple: Zahlreiche Dienste gestö...
Bald macOS 14.5 & iOS 17.5
Bald macOS 14.5 & iOS 17.5
Bericht zum neuen iPad Pro: Apple bestellt Millionen von OLED-Panels – Fokus auf 12,9"-Modell
Bericht zum neuen iPad Pro: Apple bestellt Mill...

Kommentare

Mecki
Mecki25.01.23 17:56
Ein Admin Konto zu verwenden war vor allem früher gefährlich (so macOS 10.0 bis 10.5), da Admins manchmal Schreibzugriffe im System hatten wo normale Nutzer einfach keine hatten.

Aber zum einen hat Apple das immer weiter eingeschränkt (wo früher root:admin galt, gilt heute meistens root:wheel, wobei z.B. /Library/Receipts bei mir immer noch root:admin ist, auch die Dateien im inneren, bzw. diese sind teilweise auch _installer:admin), zum anderen kam mit macOS 10.11 eben SIP dazu, so dass die wirklich wichtigen Systemdateien heute für alle Nutzer tabu sind, sogar für root. Aktuell kann man als Admin also im Dateisystem kaum mehr machen als normale Nutzer.

Was den Schutz der Einstellungen angeht, bis Monterey wählt man einfach:

System Einstellungen 
 Sicherheit & Datenschutz 
 [ Weitere Optionen ... ] 
 [x] Administratorpasswort für den Zugriff 
auf systemweite Einstellungen verlangen

Und schon kann auch ein Admin Nutzer nicht mehr die Netzwerkeinstellungen verstellen (z.B. über einen anderen DNS oder Proxyserver leiten) oder neue Accounts im System anlegen, ohne vorher sein Passwort eingeben zu müssen. Keine Ahnung ob es das unter Ventura noch gibt und wo man das da findet.

Davon ab muss eine App ja über UI Scripting gehen um solche Einstellungen in der UI vornehmen zu können und auch hier hat Apple abgedichtet: Ohne explizite Erlaubnis darf keine App mehr UI Scripting durchführen. Der Nutzer muss das einer App erst mal freischalten.

Auch war es früher nahezu unmöglich einen Admin Nutzer einzuschränken im System, aber auch das ist schon lange so nicht mehr der Fall.

Über Profile kann z.B. ein Arbeitgeber Accounts einschränken, auch dann wenn das Admin Accounts sind. Zwar kann er AFIAK nicht verhindern, dass ein Admin Nutzer das Profil löscht (davor schützt wirklich nur ein nicht-Admin Account), aber er kann festlegen, welche Konsequenzen das hat (dann werden z.B. bestimmte Apps gelöscht, SSO funktioniert nicht mehr, wichtige Zertifikate werden aus dem System entfernt, VPN Verbindungen gelöscht, usw.)

Außerdem kann Screen Time auch Admin Nutzer einschränken und diese Einstellungen können mit einem gesonderten Passcode gesichert werden. Kennt der Nutzer diesen nicht, kann er sie auch nicht ändern, da kann er noch so viel Admin sein.
+19
ruphi
ruphi25.01.23 18:27
Mecki
Was den Schutz der Einstellungen angeht, bis Monterey wählt man einfach:

System Einstellungen 
 Sicherheit & Datenschutz 
 [ Weitere Optionen ... ] 
 [x] Administratorpasswort für den Zugriff 
auf systemweite Einstellungen verlangen

Und schon kann auch ein Admin Nutzer nicht mehr die Netzwerkeinstellungen verstellen (z.B. über einen anderen DNS oder Proxyserver leiten) oder neue Accounts im System anlegen, ohne vorher sein Passwort eingeben zu müssen. Keine Ahnung ob es das unter Ventura noch gibt und wo man das da findet.

Unter Ventura lautet der Pfad fast genauso
"Datenschutz & Sicherheit" "Weitere Optionen …" "Adminpasswort für den Zugriff auf systemweite Einstellungen verlangen"
+6
Retrax25.01.23 19:27
MTN
Eines allerdings sollte man keinesfalls tun: Einen Administrator beim Start automatisch einloggen.
Gilt das auch wenn der Admin der einzige Nutzer des Macs ist?
+1
Dupondt25.01.23 20:01
Retrax
MTN
Eines allerdings sollte man keinesfalls tun: Einen Administrator beim Start automatisch einloggen.
Gilt das auch wenn der Admin der einzige Nutzer des Macs ist?

Selbstverständlich. Automatisches Einloggen ist grundsätzlich keine gute Idee.
+6
haschuk25.01.23 20:04
Dupondt

Jein. Mit Internetzugang definitiv nein.

Bei mir im Studio gibt es einige Macs, die keine Verbindung zur Welt haben, sondern nur Zugriff auf einige wenige Serververzeichnisse. Dort läuft ein automatischer Login, aber mit einem abgestuften Account.

Ist aber kein tagtägliches Szenario.
0
Mecki
Mecki25.01.23 22:53
Dupondt
Automatisches Einloggen ist grundsätzlich keine gute Idee.
Nur dann, wenn der Mac jemals das Haus verlässt (also Notebook, das man auch mal mitnimmt) oder wo steht, wo Dritte Zugriff darauf haben könnten (z.B. in einem Büro). Denn was Schutz gegen remote Hackerangriffe angeht macht es keinen Unterschied, ob automatisches Einloggen eingeschaltet ist oder nicht. Das auszuschalten verhindert nur, dass jemand einfach so Zugriff auf die Rechnerdaten bekommt, sobald er physischen Zugriff auf den Rechner hat (also vor diesem Rechner sitzt).

Und dann aber spielt es keine Rolle mehr, ob jemand automatisch als Admin oder als normaler Nutzer angemeldet wird, denn in beiden Fällen hat er doch Zugriff auf die Daten dieses Nutzers (auf alle Dateien, die dem Nutzer gehören) bzw. kann alle Apps des Systems nutzen. Der einzige Unterschied wäre dann der Zugriff auf bestimmte Systemeinstellungen, und wie ich bereits beschrieben hatte, die kann man auch für einen Admin Nutzer absichern, so dass es gar keinen Unterschied mehr macht, da man dann ohne das Passwort zu kennen auch als Admin Nutzer nichts wichtiges verstellen kann.
+1
Nebula
Nebula25.01.23 23:16
Automatischer Login geht nur mit deaktiviertem FileVault. Nutzt jemand einen Mac noch derart ungesichert? So haben Diebe leichtes Spiel, mit Autologin sowieso. Geht ihr davon aus, dass niemals jemand bei euch einbricht und attraktive Apple-Hardware einkassiert? In meinem Umfeld ist das zwar bislang noch keinem passiert, aber das heißt ja nicht, dass es nie passiert.
»Wir werden alle sterben« – Albert Einstein
+6
vta26.01.23 07:58
Rein zufällig kam ein Tag vor dem Mactechnews-Artikel der nachfolgende Beitrag raus.
https://eclecticlight.co/2023/01/24/is-it-more-secure-to-be-a-normal-or-admin-user/
Is it more secure to be a normal or admin user?

Some Mac users, mostly those who have used Unix, prefer to run as normal rather than admin users, but most of us just use the single admin account created when we first set up that Mac. While there are good debates about preferences and protections, this article considers whether using a normal user account is any more secure than an admin one.

Privileges

The two main types of user account differ primarily in the privileges they give. If you’re an admin user, you can do pretty well anything that macOS allows. In some cases, you’ll be asked to authenticate before proceeding, even in parts of System Settings. But, as an admin user, your password is good for anything so long as it isn’t locked down by macOS, for example by System Integrity Protection (SIP). Even then there are ways and means of disabling SIP if you need to.

A normal user account doesn’t have some of those privileges, though. In general, a normal user is limited to changing their own settings, but not those affecting the system more generally. For example, they can’t create another user account, or change the privileges of accounts. They can install apps, though, and can use their Apple ID and have full access to iCloud and all its features, including subscriptions.

In many cases, a normal user can still access features limited to admin users by entering the name and password of an admin user.

This can be significant for security. Malicious software may want to trick you into providing an admin user’s password so that it too can obtain elevated privileges. Running as a normal user won’t necessarily prevent that, as it could simply prompt you in the same way. If you seldom obtain elevated privileges when running as a normal user, then this might make you stop and think twice. But if you find yourself having to do this more frequently, you might be tricked into doing it without thinking.

There are a few unexpected features that aren’t available to the normal user, of which the most irksome is accessing the log. That does, for the moment, lock you out of some of my free utilities, although not SilentKnight. There are a few other apps that rely on your being an admin user that you might also regret.

Privacy

In case you hadn’t noticed, macOS does a great deal to protect the privacy of user data. A traditional argument in favour of running as a normal user is that it separates your data from the system, and from other users. Thankfully, in all recent versions of macOS, you don’t need this any more: macOS is tucked away on a read-only snapshot on your System volume, and Privacy & Security work just the same whether you’re an admin or normal user.

Security

All built-in macOS security protection applies equally to all users, regardless of their privileges. Gatekeeper, XProtect and XProtect Remediator all do exactly the same job, in the same way. When tested against samples of real malware, there’s no difference in their detection or response. The one snag, though, is that checking on XProtect Remediator currently relies on access to the log, or support for Endpoint Security monitoring (in Ventura only), which becomes more difficult when you don’t have admin privileges.

User account weaknesses

There are a few important cautions, which apply particularly to admin accounts:

- Never delete the primary admin account. You might get away with this if you have a secondary admin account configured, but it’s safer not to risk it even then.
- Never allow your Mac to log in automatically to any admin account. You shouldn’t do this with a normal account either, although their potential consequences aren’t as serious.
- Never use weak or guessable passwords for an account, particularly for an admin user.
- Unless you have a truly compelling reason, never enable a Guest account.
- Never authenticate as an admin user without knowing what that will do. Inspect and read that dialog carefully, and if you’re in any doubt, click on Cancel.
If you’re more comfortable with the more restricted privileges of a normal user account, then why not use one. But don’t think it’s going to improve security or privacy.

https://eclecticlight.co/2023/01/24/is-it-more-secure-to-be-a-normal-or-admin-user/
+3
tjost
tjost26.01.23 08:10
Nebula
Automatischer Login geht nur mit deaktiviertem FileVault. Nutzt jemand einen Mac noch derart ungesichert? So haben Diebe leichtes Spiel, mit Autologin sowieso. Geht ihr davon aus, dass niemals jemand bei euch einbricht und attraktive Apple-Hardware einkassiert? In meinem Umfeld ist das zwar bislang noch keinem passiert, aber das heißt ja nicht, dass es nie passiert.

ohne meinen Finger zu klauen nutzt dem Dieb mein Rechner auch nicht viel.
Er kann ihn nicht einmal neu aufsetzen. Das sollte auch Diebe mitbekommen haben.
Aber klar. Sicher sein kann man niemals.
0
UWS26.01.23 08:40
vta
Rein zufällig kam ein Tag vor dem Mactechnews-Artikel der nachfolgende Beitrag raus.
...ja mag sein, aber aus Angst vor dem Literaturnobelpreis hatte bei MTN wahrscheinlich keiner mehr Bock auf die Quellenangabe.
There is no cloud…it’s just someone else’s computer.
+1
mado080326.01.23 08:44
In der Firma haben wir das Tool eingesetzt (und auch selbst gebaut und jetzt kennt ihr meinen AG): https://github.com/SAP/macOS-enterprise-privileges

Das funktioniert ganz gut und lässt einem die Flexibilität.

Grüße,
Marco
+2
Marcel Bresink26.01.23 08:45
Nebula
Automatischer Login geht nur mit deaktiviertem FileVault.

So schreibt das Apple zwar in der Anleitung, aber in Wirklichkeit ist es genau umgekehrt: Das Einschalten von FileVault erzwingt gleichzeitig das Einschalten der automatischen Anmeldung. Das ist in dem Fall eine spezielle Variante, bei der FileVault an macOS meldet, für welchen Benutzer die automatische Anmeldung erfolgen soll.

Für noch höhere Sicherheit kann man die Automatik allerdings durch eine versteckte Einstellung abschalten. In dem Fall muss sich der Benutzer beim Einschalten des Macs zweimal anmelden, einmal bei FileVault und danach noch einmal bei macOS.
+4
willObst26.01.23 09:17
Ich verwende einen "normalen" Benutzer für den Alltag und nur bei Bedarf einen Admin-Nutzer.
Daraus resultiert aber seit MacOS 13 bei mir ein seltsames Verhalten: Manche Programm-Updates lassen sich ausschließlich mit den Daten des normalen Benutzers installieren und nicht wie zu erwarten mit dem Admin. Ich verstehe dieses Verhalten absolut nicht.
Dummerweise zeigt das Fenster zur Eingabe der benötigten Anmelde-Daten auch nie an, ob es den Admin oder Benutzer wissen will ....
Kennt jemand dieses Verhalten?
+2
Nebula
Nebula26.01.23 09:46
Marcel Bresink
Nebula
Automatischer Login geht nur mit deaktiviertem FileVault.

So schreibt das Apple zwar in der Anleitung, aber in Wirklichkeit ist es genau umgekehrt: Das Einschalten von FileVault erzwingt gleichzeitig das Einschalten der automatischen Anmeldung. Das ist in dem Fall eine spezielle Variante, bei der FileVault an macOS meldet, für welchen Benutzer die automatische Anmeldung erfolgen soll.

Für noch höhere Sicherheit kann man die Automatik allerdings durch eine versteckte Einstellung abschalten. In dem Fall muss sich der Benutzer beim Einschalten des Macs zweimal anmelden, einmal bei FileVault und danach noch einmal bei macOS.

Vermutlich sprechen wir von zwei unterschiedlichen Dingen. Mir ist noch kein Mac untergekommen, der sich mit FileVault automatisch beim Einschalten bei einem User anmeldet und ohne Kennwortabfrage den Desktop zeigt. Auch sagt die Systemeinstellung bei aktiviertem FileVault ganz klar:
Systemeinstellung
Automatisch anmelden als: Deaktiviert

Die automatische Anmeldung kann nicht aktiviert werden, da FileVault aktiviert ist.

Du meinst vermutlich, dass nach Eingabe des FileVault-Kennworts nicht nochmal der Login-Screen gezeigt wird, um ein zweiges Mal nach dem Kennwort zu fragen. Technisch mag das ein Autologin sein, für den User ist es das aber nicht. Wer Autologin haben will, will kein einziges Passwort eingeben.
»Wir werden alle sterben« – Albert Einstein
+3
Nebula
Nebula26.01.23 09:48
tjost
ohne meinen Finger zu klauen nutzt dem Dieb mein Rechner auch nicht viel.
Er kann ihn nicht einmal neu aufsetzen. Das sollte auch Diebe mitbekommen haben.
Aber klar. Sicher sein kann man niemals.

Es ging ja ums Autologin. Da ist dein Finger nicht nötig, weil beim Einschalten sofort der Schreibtisch erscheint.
»Wir werden alle sterben« – Albert Einstein
+3
Mecki
Mecki26.01.23 10:51
- Unless you have a truly compelling reason, never enable a Guest account.
Normalerweise braucht man den dann, wenn man Dienste anbieten möchte, die jeder Nutzer im Netz vor Ort nutzen können soll, ohne dass man extra für jeden Nutzer einen Account auf dem eigenen Rechner einrichtet. z.B. wenn ich einen Ordner per SMB freigeben möchte und jeder im LAN soll dort Zugriff haben (ob nur Lese- oder auch Schreibzugriff kann man gesondert festlegen; man kann sogar nur Schreibzugriff geben, dann kann kann da jeder eine Datei hinkopieren, aber niemand sehen was da schon liegt oder herunterladen). In diesem Fall muss sich ein Gast aber nicht als Nutzer am Rechner anmelden können, daher behandelt macOS diese beiden Fälle seit langem getrennt.

Es gibt zwei Checkboxen beim Gast Account, eine dafür, ob sich Gäste an dem Rechner anmelden dürfen und eine dafür, ob Gäste auf Dienste zugreifen dürfen. Beides schaltet den Gast-Account auf UNIX Ebene ein, aber nur im ersten Fall bekommt dieser Account eine Shell (ohne die kann man sich nicht per SSH anmelden) und wird als UI Nutzer eingerichtet (nur dann kann man sich am Mac direkt so anmelden) und nur im zweiten Fall wird der Nutzer auch den Gruppen hinzugefügt, die nötig sind, damit Remote Zugriffe funktionieren.

Die UI Option spricht fälschlicher Weise nur von "geteilten Ordner", aber das stimmt nicht. Auch geteilte Drucker und Bildschirmfreigabe können von Gästen genutzt werden, wenn diese Option eingeschaltet ist und diese Nutzer in der Liste der erlaubten Nutzer für diesen Dienst geführt werden (das kann man ja pro Dienst noch einmal gesondert festlegen, wenn man will). Geteilte Ordner ist nur der 99%-Fall warum man diese Option nutzen möchte.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.