Welchen Sinn hat es, unter OS X ein normales Konto ohne Administratorrechte zu verwenden?

19

Dieser Ratschlag ist alt, kommt aber wieder in Mode. Ich habe es in letzter Zeit viel gesehen, auf einer Reihe von Mac-Websites oder Foren. "Ihr" normales "Benutzerkonto sollte kein Administratorkonto sein. Es sollte ein Standardkonto sein, das für diesen Zweck erstellt wurde, und Sie sollten sich nur beim Administratorkonto anmelden, um tatsächliche Administratortasks auszuführen.»

Dies scheint ein allgemeiner Ratschlag in der Windows-Welt zu sein, aber für ein aktuelles OS X-System kann ich einfach nicht verstehen, welche Vorteile es bringt. Lassen Sie uns darin graben:

  • OS X-Administratorkonten sind keine Root-Konten. Jede App, die root werden möchte, fragt ohnehin nach Ihrem Passwort. Daher sehe ich hier keine zusätzliche Sicherheitsebene. Versuche es /varin den Papierkorb zu werfen.
  • Eine tiefgreifende Änderung des Betriebssystems oder das Einfügen von Code in die wichtigsten Dateien wurde durch SIP von El Capitan verhindert, unabhängig davon, ob Sie Administrator, Root oder Niemand sind. An sensiblen Stellen, an denen solche Änderungen noch zulässig sind, ist außerdem mindestens ein Root-Kennwort erforderlich, selbst von einem Administratorkonto aus, wodurch wir zum ersten Argument zurückkehren.
  • Bei Spyware, Datenschutzbedenken und ähnlichem bietet die Verwendung von Standardkonten nur einen geringen zusätzlichen Schutz, sofern vorhanden. Soweit ich weiß, haben Apps, auch wenn sie über ein Standardkonto verwendet werden, uneingeschränkten Zugriff auf die persönlichen Dateien des Benutzers und uneingeschränkten Netzwerkzugriff (ohne Firewall usw.). Wenn eine schlechte App Ihre Dokumente nach Hause senden möchte, kann dies problemlos über ein Standardkonto erfolgen.
  • Grundlegende Verteidigungslinien (Firewall, Ausführen vertrauenswürdiger Apps usw.) sind systemweit.
  • Auf der anderen Seite ist es mühsam, zu Ihrem Administratorkonto und dann zu Ihrem Standardkonto zu wechseln. Dies kann dazu führen, dass der Benutzer Aktualisierungen oder Administratorwartungen verzögert, um Zeit zu sparen und die Bearbeitung des Problems zu verschieben.

Also, warum nicht einen Admin-Account benutzen? Ich hoffe, dies wird nicht als Duplikat markiert. Andere Fragen zu diesem Thema haben diese Argumente nicht angesprochen.

Bearbeiten: Die Frage bezieht sich auf einen Computer, den Sie besitzen und steuern.


quelle

Antworten:

6

Auf jedem OS X-Computer gibt es nur ein Root-Konto, das standardmäßig deaktiviert ist. Es hat kein Kennwort und Sie können sich nicht als root anmelden, es sei denn, Sie verwenden das Verzeichnisdienstprogramm und aktivieren es. Dies ist gefährlich, da das System , wenn es als root angemeldet ist, alle Berechtigungen umgeht und nicht einmal nach einem Passwort fragt. In dieser Hinsicht ist ein OS X-Computer in der Tat root-frei , was A Good Thing ™ ist.

Administratorkonten sind einfach Standardkonten, die sich zufällig auch in der Administratorgruppe befinden . Jede Aktion in OS X, die von einem angemeldeten Benutzer ausgeführt wird, wird anhand der Berechtigungsdatenbank überprüft (die Regeln finden Sie in /System/Library/Security/authorization.plist , um festzustellen , ob keine Authentifizierung erforderlich ist oder ob die Authentifizierung als ausreichend ist Der Sitzungsbesitzer (Standardbenutzer, der angemeldet ist) oder Sie müssen Mitglied der Administratorgruppe sein. Er bietet eine sehr genaue Kontrolle. Daher können drei Möglichkeiten auftreten, beispielsweise in den Systemeinstellungenbeim Anklicken des gesperrten Vorhängeschlosses. Wenn Sie auf klicken, wird die Sperre möglicherweise einfach ohne Authentifizierung aufgehoben. Möglicherweise wird ein Authentifizierungsdialog mit dem bereits eingegebenen Kontonamen angezeigt (was bedeutet, dass Sie es sind) Rufen Sie einen Administrator an, um seine Anmeldeinformationen einzugeben.

Als Faustregel gilt, dass alles, was andere Benutzer auf dem Computer betreffen kann (systemweite Änderung), eine administrative Authentifizierung erfordert. Aber es ist komplexer als das. Standardbenutzer können beispielsweise Apps aus dem Mac App Store im Ordner "/ Applications" (eine systemweite Änderung) installieren, GateKeeper jedoch nicht umgehen, um nicht signierte Anwendungen auszuführen, selbst wenn diese nur in ihren eigenen Daten enthalten sind. Standardbenutzer können sudo nicht aufrufen, was den negativen Nebeneffekt hat , dass in einem Zeitfenster von 10 bis 15 Minuten keine Authentifizierung erforderlich ist . In einem cleveren Skript werden Sie nach einer Administratorauthentifizierung für etwas gefragt, das Sie gut finden. Danach werden jedoch alle möglichen verrückten Dinge ausgeführt, von denen Sie nichts wissen.

Standardbenutzer können auch über die Kindersicherung oder Konfigurationsprofile verwaltet und Kennwortrichtlinien durchgesetzt werden. Admin-Benutzer können so etwas nicht.

Der Systemintegritätsschutz behebt die Tatsache, dass Benutzer durch Installationspakete geklickt und Kennwörter so einfach bereitgestellt haben, dass die Benutzer zum schwächsten Glied geworden sind. SIP versucht nur, das System über Wasser zu halten, sonst nichts (und manchmal scheitert es auch daran).

Sie würden nicht glauben, wie viele Leute ich gesehen habe, die nur einen Benutzer auf dem Computer haben (der auch ein Administratorkonto ist) und auch ohne ein Kontopasswort, nur um eine leichte Abnahme der Belästigung in Form einer Anmeldefensteraktivität wahrzunehmen.

Ich kann Ihrer Meinung nicht zustimmen, dass es mühsam ist, bei Bedarf auf ein Administratorkonto zu wechseln. Wenn Sie sich in Terminal befinden, müssen Sie nur myadminacct ausführen, bevor Sie etwas tun, einschließlich sudo, oder Finder als anderen Benutzer starten, indem Sie /System/Library/CoreServices/Finder.app/Contents/MacOS/Finder ausführen .

In der grafischen Benutzeroberfläche ist für Mac App Store-Updates (einschließlich OS X-Updates) keine Administratorauthentifizierung erforderlich. Bei den Installationspaketen, die im Ordner "Downloads" landen, einschließlich Adobe Flash-Updates, sollten Sie sehr vorsichtig sein, bevor Sie diejenigen öffnen, die die zusätzliche Arbeit erledigen, und sicherstellen, dass sie vom richtigen Ort stammen und nicht voller Unangenehmer sind.

Aus diesem Grund halte ich die Verwendung eines Mac mit einem Standardkonto für besser und sicherer als die Verwendung eines Administrators, da sie mich vor meinen eigenen Fehlern und Versehen schützt. Selbst die Mehrheit der sachkundigen Benutzer überprüft nicht jedes heruntergeladene Skript Zeile für Zeile, um festzustellen, ob etwas faul ist.

Ich hoffe, dass die Kontrollen in Zukunft noch strenger werden könnten, zum Beispiel um Bedingungen oder Zeitpläne einzuführen, unter denen eine App (oder ein Skript oder eine ausführbare Datei) ausgeführt werden kann oder Zugriff auf das Netzwerk hat, oder dass eine ausführbare Datei möglicherweise nicht einmal gestartet wird, wenn ich dies nicht getan habe Es ist nicht ausdrücklich erlaubt (Authentifizierungsdialog) innerhalb des letzten Monats oder so.

boris42
quelle
1
Vielen Dank und +50, das ist wirklich die erste richtige Antwort (und die einzige, die ich bisher bekommen habe)
Ich möchte darauf hinweisen, dass ich als Nicht-Administrator Gatekeeper mit dem xattrBefehl in Terminal umgehen kann .
SilverWolf - Wiedereinsetzung von Monica am
9

Sicherheit wird am besten als vielschichtige Strategie mit mehreren Vektoren implementiert .

Das Prinzip der geringsten Rechte (Least Privilege, POLP) ist nur ein weiteres Zahnrad in der Maschine, das Ihren Computer sicher hält.

Alles, was Sie dort aufgelistet haben, ist in Ordnung, aber nichts davon hindert jemanden daran, Ihren Computer mit einem Exploit wie dem Dropped Drive Hack zu übernehmen .

  • Wie verhindert eine Firewall, dass ein Benutzer einen USB-Stick mit einem auf dem Laufwerk eingebetteten Remotesteuerungs-Exploit einfügt?

  • Wie verhindert SIP, dass ein Keylogger Ihre Tastatureingaben erfasst?

  • Wie ist es überhaupt wichtig, über SIP zu verfügen, wenn es vom Administrator einfach deaktiviert werden kann?

  • Wie kann verhindert werden, dass nicht autorisierte / illegal lizenzierte Software installiert wird? Ein eingeschränktes Benutzerkonto stellt sicher, dass Benutzer, die keine Software installieren sollten, keine Software installieren.

Ihre letzte Verteidigungslinie ist die Verwendung eines Kontos, das kein Administratorkonto ist, sodass Sie die Bedrohung abwehren können, indem Sie eine weitere Sicherheitsstufe (Benutzerauthentifizierung) einrichten, wenn eine Malware versucht, sich selbst zu installieren.

Ich habe dies für das gesagt, was jetzt Äonen scheint:

"Sicherheit" ist weder ein Produkt, das Sie kaufen, noch ein Schalter, den Sie umlegen. Es ist eine Übung , eine Denkweise , alle Werkzeuge zu nutzen, die Sie können, um Ihr Risiko zu minimieren.

Allan
quelle
2
Vielen Dank; eigentlich beantwortet dies nicht wirklich die frage, ich hätte klarstellen sollen, dass ich firewalls und SIP nur als beispiele verwendet habe. "Sicherheit ist kein Wechsel, die Verwendung eines Nicht-Administratorkontos fügt eine Sicherheitsstufe hinzu" Schöne Sprüche, aber meine Frage ist, wie . Können Sie eine Situation beschreiben, in der das Standardkonto eine Bedrohung tatsächlich besser verhindert als ein Administratorkonto, das nach dem Root-Passwort fragt, das akzeptiert / abgelehnt werden kann? Ein Keylogger fällt meines Wissens nicht einmal in diese Kategorie. Und wenn Sie SIP deaktivieren können, ohne nach Ihrem Root-Passwort gefragt zu werden, zeigen Sie mir, wie!
Was lässt Sie denken, dass alle Bedrohungen auf Malware beschränkt sind? Warum sollten Sie einem Benutzer erlauben, Software zu installieren, die auf Daten / Systeme zugreift, auf die er keinen geschäftlichen Zugriff hat? Zweitens stellen Sie fest, dass "sudo" für Administratoren verfügbar ist, oder?
Allan
Ich leugne nicht die Nützlichkeit von Standardkonten in einem Sturm der Dummheit. Die Frage ist nicht: Warum gibt es Standardkonten? Es ist nur so: Wenn Sie Ihren eigenen Mac verwenden, gibt es aus Sicherheitsgründen einen genauen sachlichen Grund, ein Standardkonto für alltägliche Aufgaben zu verwenden, anstatt sich bei Ihrem Administratorkonto anzumelden.
Diese Unterscheidung ist nicht wo in Ihrer Frage, ist es jetzt? Jetzt, wie bei Windows, wird Ihr POLP automatisch basierend auf Ihren Aktivitäten reduziert, auch wenn Sie ein Administrator sind. Sie scheinen auch den "Dropped Drive Hack" zu beschönigen, bei dem die Leute ihr Passwort einfach "ohne Weiteres" in ein beliebiges Dialogfeld eingeben. Ein Standardkonto schützt davor.
Allan
3

Es wird allgemein als bewährte Methode angesehen, ein Konto zu verwenden, das nicht mehr Berechtigungen als erforderlich hat. Dies bedeutet im Allgemeinen, dass Sie ein Konto mit der niedrigstmöglichen Berechtigungsstufe verwenden und Ihre Berechtigungen erhöhen sollten, wenn dies für eine bestimmte Aufgabe erforderlich ist, für die höhere Berechtigungen erforderlich sind.

Dies wird jedoch ziemlich schnell ärgerlich. Der Grund dafür ist, dass eine für Sie oder mich einfache Aufgabe ("Ich wollte nur das WiFi einschalten") als privilegierter Vorgang für das Betriebssystem angesehen wird ("Sie möchten ein Netzwerkgerät aktivieren und den Computer zulassen") auf ein zufälliges Netzwerk setzen ").

Es ist viel schwieriger, ein Gleichgewicht zwischen Komfort und Sicherheit zu finden, als es sich anhört, und ich persönlich bin der Meinung, dass OS X einen viel besseren Job macht als andere Betriebssysteme, wie z. B. Windows.

Wenn Sie die ganze Zeit als Administrator ausgeführt werden, können Sie versehentlich auf eine E-Mail klicken, die einen Link zu einer Site enthält, die Crapware enthält, und automatisch ein Skript ausführen, das ohne Ihr Wissen eine Neukonfiguration vornimmt. Wenn Sie jedoch als nicht privilegierter Benutzer ausgeführt werden, wird nach Ausführung dieses Skripts vom Betriebssystem ein Dialogfeld mit der Meldung angezeigt, dass dieses böswillige Skript etwas mit Ihrem Computer anstellen möchte. Bestätigen Sie dies, indem Sie Ihr Kennwort eingeben. Dies würde normalerweise Alarm oder Überraschung auslösen, wenn Sie dies an diesem Punkt nicht erwarten würden.

Außerdem richten Sie, was noch wichtiger ist, einen Computer für eine andere Person ein. Jemand, der keine Computerkenntnisse in Ihrer Familie hat. Es ist eine ausgezeichnete Idee, ihnen ein nicht privilegiertes Login zu geben und das Administratorkennwort für sich selbst zu behalten. Wenn sie das nächste Mal auf alten Müll klicken (wie es ihre Gewohnheit ist), KÖNNEN sie den Computer NICHT mit Crapware infizieren. Sie beschweren sich manchmal, wenn Sie dies tun, aber Sie müssen sie nur daran erinnern, dass sie 35 Symbolleisten in IE 6 installiert hatten, und jedes Mal, wenn sie eine Google-Suche durchführten, erhielten sie Seiten mit pornografischen Popups, bevor sie widerwillig zustimmen, dass dies der Fall sein könnte sei eine gute Idee. Der Nachteil ist, dass sie Sie häufiger anrufen, um Sie zu veranlassen, ihren Computer zu entsperren, wenn sie das Flash-Plugin aktualisieren möchten.

Wie gesagt: Sicherheit ist eine Einstellung, kein einfacher Schalter, den man umlegen kann.

Scott Earle
quelle
1
Vielen Dank! Gibt es ein Beispiel für ein solches Skript? Ich meine, ein Mist-Skript von einer Website, das ohne Passwortabfrage ausgeführt wird, wenn es als Administrator gestartet wird, aber blockiert wird, wenn Sie ein Standardkonto verwenden? - Ich möchte nicht ärgerlich klingen, wundere mich wirklich ;-) Mein Eindruck ist, dass, wie Sie sagten, OS X die Messlatte in
Ich habe kein Beispiel, aber es ist durchaus möglich, dass ein Skript so erstellt wird, dass es eine harmlos aussehende Aufforderung zum Ausführen ausgibt (dazu sollte kein Zugriff erforderlich sein). Wenn der Benutzer kein Administrator ist, ist dies auch möglich Fragen Sie nach der Authentifizierung als Administrator. Dies ist möglicherweise nicht der Fall, wenn der aktuelle Benutzer bereits ein Administrator ist.
Scott Earle
2

Lassen Sie mich sehen, wie Ihre Gründe funktionieren würden oder nicht:

  1. Administratorkonten sind nicht root. Wahr ist, dass sie möglicherweise anrufen können sudound möglicherweise sogar das Kennwort zur Eingabe bereit haben (oder sudokonfiguriert wurden, um nicht nach dem Kennwort zu fragen).

  2. SIP (System Integrity Protection): Dies ist nur eine Schicht, die nicht für alle Angriffe ausreicht. Kann deaktiviert werden? Noch besser!

  3. Spyware-Argument: Na ja, vielleicht. Privilegien sind immer noch nicht ausreichend voneinander getrennt. Aber es ist immer noch eine Einschränkung.

  4. Grundlegende Verteidigungslinien sind systemweit: # 1 besagt, dass Apps, die auf Administratorkonten ausgeführt werden, root werden können.

  5. Schalten? Es ist allgemein bekannt, dass Sie Administratoraufgaben von Standardkonten aus ausführen können, solange Sie das Administratorkontokennwort eingeben. Es ist nicht erforderlich, einen echten Kontowechsel durchzuführen.

Paul Stelian
quelle
Willkommen bei Ask Different. Ein Ratschlag ... wir "greifen" hier nichts an. Erwägen Sie, Ihre Antwort neu zu schreiben, um nicht so konfrontativ zu sein.
Allan
@Allan Vielleicht würde diese Änderung es besser "scheinen" lassen?
Paul Stelian
1
Viel besser. In meinen Bearbeitungen finden Sie Beispiele für die Formatierung mithilfe des (eingeschränkten) HTML-Markups und einiger Formulierungen.
Allan
@Allan Danke für die Änderungen. Das Code-Markup, mit dem ich mich eigentlich gut auskenne, aber ich habe nicht wirklich daran gedacht, den " sudo" Namen in einen solchen Code einzufügen. Ich bin mir jedoch nicht sicher, wie Sie diese eigentliche Aufzählung durchgeführt haben (ich bin auch an Quora gewöhnt, die das jetzt automatisch macht)
Paul Stelian
1
Das weiß ich nicht. Probieren Sie es einfach bei Ihrer nächsten Frage / Antwort aus.
Allan
2

Wenn Sie andere Familienmitglieder haben, die nicht mit Computern vertraut sind, oder wenn Sie deren Zugriff einschränken möchten (z. B. Kinder), oder wenn Sie ein Arbeitgeber sind, der den Zugriff auf Mitarbeiter einschränken möchte, die das Gerät möglicherweise verwenden, dann absolut ja; Es gibt immer noch Gründe, Nicht-Administratorkonten für den täglichen Gebrauch in osx zu haben.

Wenn Sie einen Computer besitzen und steuern möchten, verwenden Sie ein Administratorkonto.

Wenn Sie nicht möchten, dass andere Benutzer etwas "verwalten" können, sind Konten ohne Administratorrechte sehr hilfreich. Außerdem wissen Sie nie, wann Sie das Gerät aus der Manschette leihen müssen, wenn jemand fragt: "Hey, kann ich mir Ihren Mac einfach ausleihen, um wirklich schnell etwas zu tun?". Dadurch können Sie sich beruhigt abmelden und anmelden Sie werden in das Konto umgewandelt, für das einige Benutzer möglicherweise ein Semi-Guest-Konto eingerichtet und die Berechtigungen angepasst haben.

Phil Rawson
quelle
0

Es gibt wahrscheinlich noch andere Gründe, aber hier sind meine: Es ist nicht möglich, Einschränkungen für das Administratorkonto festzulegen. Es ist nützlich, Einschränkungen zu haben, um zu verhindern, dass man unerwünschte oder gefährliche Orte besucht.

KittyKatCoder
quelle
Warum die Gegenstimme?
KittyKatCoder