03 Nov 10 × Mac OS X «Leopard»-Sicherheit für Anfänger

Hinweis vom 24. November 2009: Seit heute ist eine aktualisierte Version mit Fokus auf Mac OS X 10.6 unter «10 × Mac OS X «Snow Leopard»-Sicherheit für Anfänger» verfügbar.

Das Erscheinen von Mac OS X 10.5 «Leopard» war jeweils direkt auf der Website von Amod Anlass für den Umstieg auf einen Bildschirmspiegel Computer von Apple und in der Folge gehen bei MacMacken immer wieder E-Mail-Anfragen zur sicheren Konfiguration von Mac OS X «Leopard» ein. Aus diesem Grund finden sich nachfolgend einige der die zehn wichtigsten Anfängertipps für ein sicheres Mac OS X «Leopard» – ohne Anspruch auf Vollständigkeit und mit dem Wunsch auf Rückmeldungen, Verbesserungsvorschläge, usw. (per E-Mail an macmacken@macmacken.com oder als Kommentar) …

1. Arbeit als Benutzer statt Administrator

Beim alltäglichen Arbeiten mit einem Mac sollte man sich immer als Benutzer und nicht als Administrator anmelden, denn umfassende administrative Befugnisse werden nur selten benötigt und stellen beim alltäglichen Arbeiten ein unnötiges Sicherheitsrisiko dar. Man sollte sich deshalb nur bei tatsächlichem Bedarf als Administrator anmelden beziehungsweise sich nur dann als Administrator identifizieren, wenn die eigenen Benutzerrechte ausnahmsweise nicht genügen und Mac OS X «Leopard» entsprechend die Anmeldung als Administrator fordert.

Die Benutzerkonfiguration findet sich unter Systemeinstellungen / Benutzer. Beim Einrichten von neuen Benutzern wählt man für gewöhnliche Benutzer «Standard»; bei bestehenden Benutzern deaktiviert man «Der Benutzer darf diesen Computer verwalten».

Bei dieser Gelegenheit sollte man auch gleich den «Gast-Account» deaktivieren, es sei denn, man hat für diese (allerdings gefährliche) Funktion tatsächlich Verwendung.

2. Verwendung von Passwortabfragen

Die wichtigsten Passwortabfragen auf dem Mac sollte man unter Systemeinstellungen / Sicherheit / Allgemein unbedingt aktivieren, insbesondere auch «Automatisches Anmelden deaktivieren». Weiter wichtig sind die «Kennwortabfrage beim Beenden des Ruhezustandes oder des Bildschirmschoners», die «Kennwortabfrage für die Freigabe jeder geschützten Systemeinstellung» sowie die Verwendung von sicherem virtuellem Speicher.

Mac OS X «Leopard» unterstützt bei der Auswahl sicherer Passwörter mit einem entsprechenden Assistenten.

Für die Kennwortabfrage beim Beenden des Bildschirmschoners muss selbstverständlich ein Bildschirmschoner aktiviert sein (Systemeinstellungen / Schreibtisch & Bildschirmschoner / Bildschirmschoner). Konfiguriert man eine aktive Ecke für den Bildschirmschoner, lässt sich das System mit der entsprechenden Mausbewegung komfortabel «sperren» (Systemeinstellungen / Exposé & Spaces / Aktive Ecken).

Darüber hinaus besteht die Möglichkeit, bereits beim Mac-Start durch das Extensible Firmware Interface (EFI) ein Passwort abfragen zu lassen.

3. Schlüsselbund «Anmeldung» mit eigenem Passwort

Für die Anmeldung am System und den standardmässigen Schlüsselbund «Anmeldung» sollte man unterschiedliche Passwörter verwenden. Das Passwort für den Schlüsselbund «Anmeldung» kann man über die Schlüsselbundverwaltung unter Bearbeiten / Kennwort für Schlüsselbund «Anmeldung» ändern … anpassen. Empfehlenswert ist auch der Schutz des Schlüsselbundes beim Wechsel in den Ruhezustand (Bearbeiten / Einstellungen für den Schlüsselbund «Anmeldung» ändern …).

4. Verwendung der Software-Aktualisierung

Die Software-Aktualisierung von Mac OS X «Leopard» sollte man täglich nach Updates suchen und wichtige Updates automatisch runterladen lassen (Software-Aktualisierung / Einstellungen / Planmässige Überprüfung). Wer keinen ganzen Tag auf eine allfällige Aktualisierung warten möchte, beispielsweise bei Sicherheitslücken in Mac OS X «Leopard», wirft regelmässig einen Blick auf die «Apple Downloads» auf der Apple-Website oder startet die Software-Aktualisierung bei Bedarf manuell.

5. Achtsamkeit im Umgang mit Dateien aus dem Internet

Safari, der standardmässige Browser von Mac OS X «Leopard», glaubt selbst erkennen zu können, ob ein Download aus dem Internet sicher ist oder nicht, und öffnet «sichere» Dateien nach dem Download automatisch. Unter Einstellungen … / Allgemein / «Sichere» Dateien nach dem Laden öffnen kann man diesen gefährlichen Automatismus von Safari deaktivieren.

In jedem Fall sollte man unter Mac OS X «Leopard» Dateien aus dem Internet mit Achtsamkeit begegnen und insbesondere keine Programme und sonstigen Dateien aus wenig zuverlässigen Quellen downloaden. Trojaner werden häufig über den Download aus unzuverlässigen Quellen verbreitet und stellen auch für ein Mac-System eine Bedrohung dar.

Gleiches gilt selbstverständlich auch für Dateien, die man per E-Mail empfängt (typischerweise als Anhang, Anlage oder Attachment).

6. Datensicherung mit Time Machine

Mit Time Maschine verfügt Mac OS X «Leopard» über ein eigenes Backupprogramm, das regelmässig alle Daten auf eine externe Festplatte sichert. Mit Time Machine kann man dabei nicht bloss gelöschte Dateien wiederherstellen, sondern auch auf ältere Versionen von Dateien zugreifen. Da ein Datenverlust auch auf dem Mac jederzeit möglich ist, beispielsweise durch ein technisches Problem mit der internen Festplatte oder durch einen Fehler des Benutzers, ist die Verwendung von Time Machine aus Sicht der Datensicherheit empfehlenswert, selbst wenn das Backupprogramm in der aktuellen Version noch mit einigen Macken ärgert.

7. Deaktivierung von «Sharing»

Unter Systemeinstellungen / Sharing bietet Mac OS X «Leopard» zahlreiche Möglichkeiten für «Sharing», das heisst für den Zugriff anderer auf den eigenen Mac, beispielsweise um Dateien oder Drucker zu teilen. Wer darauf verzichten kann, sollte keinerlei «Sharing»-Möglichkeiten aktivieren beziehungsweise etwaige aktivierte «Sharing»-Möglichkeiten deaktivieren.

8. Verwendung von FileVault

Mit FileVault kann man auf einem Mac die eigenen Benutzerdaten verschlüsseln, was sich insbesondere für MacBook (Pro)-Benutzer empfiehlt (Systemeinstellungen / Sicherheit / FileVault) – trotz allen Nachteilen von FileVault, denn ganz ohne Verschlüsselung liegen zum Beispiel bei einem Notebook-Diebstahl alle Benutzerdaten frei zugänglich auf der MacBook-Festplatte. Gleichzeitig mit FileVault sollte man auch die Verwendung von sicherem virtuellem Speicher aktivieren (Systemeinstellungen / Sicherheit / Allgemein).

Bei FileVault ist die Auswahl eines sicheren Passwortes von grösster Bedeutung, denn nur so ist die Verschlüsselung überhaupt sinnvoll. Ebenso sollte man das FileVault-Passwort nicht auf dem Mac selbst speichern, sondern dafür sein BRAIN 1.0 einsetzen, das heisst sich das Passwort schlicht merken.

Weitere Informationen zur Verwendung von FileVault finden sich im MacMacken-Blogeintrag «8 × Tipps für das sichere Einrichten von FileVault».

9. Aktivierung der Firewall von Mac OS X «Leopard»

Mac OS X «Leopard» verfügt über eine eigene Firewall, die man mit der Einstellung «Alle eingehenden Verbindungen blockieren» (Mac OS X 10.5.0) beziehungsweise «Nur notwendige Dienste erlauben» (Mac OS X 10.5.1) aktivieren sollte (Systemeinstellungen / Sicherheit / Firewall) – mit dieser Einstellung lassen sich ab Mac OS X 10.5.1 auch die in Mac OS X 10.5.0 bestehenden Probleme mit Skype und World of Warcraft umgehen.

10. WLAN nur mit Verschlüsselung

Kabellose Verbindungen per WLAN nur verschlüsselt zu nutzen, sollte eigentlich unabhängig vom verwendeten Betriebssystem eine Selbstverständlichkeit darstellen. Dennoch konnten beispielsweise kürzlich am Schweizer BlogCamp viele unverschlüsselte WLAN-Verbindungen (auch von Mac-Benutzern) mitprotokolliert werden, ähnlich wie schon per dsniff an der re:publica … im eigenen WLAN daheim sollte man deshalb WPA2 (mit AES-Verschlüsselung) verwenden, in öffentlichen WLANs wie am erwähnten BlogCamp ein Virtual Private Network (VPN) nutzen. Für Letzteres bietet sich beispielsweise die Nutzung von SwissVPN an (leider kostenpflichtig).

55 Kommentare
  • Markus
    Veröffentlicht um 21:56h, 03 November Antworten

    Gut auf den Punkt gebracht!

    Solltest Du jemals auf die Idee kommen, AV-Software zu empfehlen, dann lies zuerst bitte http://www.oschad.de/wiki/index.php/Virenscanner genau durch!

  • Peter
    Veröffentlicht um 13:59h, 04 November Antworten

    Schöne Liste, aber Hand aufs Herz: was nutzt du selbst davon und was nutzt du nicht und warum nicht?

    Die tägliche Arbeit wird schon umständlicher und langsamer, wenn man das alles so einstellt. Wie du so schön sagst: bei allen Sicherheitseinstellungen muss Brain 1.0 entscheiden, ob (und vor allem wann) man sie braucht und wann nicht. ich nutze z. B. FileVault überhaupt nicht (du wahrscheinlich auch nicht?!), statt dessen sind die wirklich vertraulichen Daten für sich verschlüsselt in Disk-Images. (Die könntest du deiner Liste noch hinzufügen – sind in meinen Augen deutlich praktischer als FileVault und vor allem viel weniger riskant).

    Nicht nur das FileVault-Passwort entscheidet über die Sicherheit sondern vor allem das Login-Passwort. Das wird schließlich zum Entschlüsseln der Daten verwendet. Damit das Ganze Sinn macht, sollte also das Login-Passwort mindestens 8 Buchstaben, Zahlen und Sonderzeichen haben. Bei wem macht ein derartiger Aufwand Sinn? Vielleicht ein Rechtsanwalt oder ein Steuerprüfer oder ähnliche Berufe mit hochbrisanten Daten. Aber Otto Normaluser?

    Vor allem wenn ich das damit verbundene Risiko bedenke: Wenn der Anwender sein Passwort vergisst, es schließlich über die SystemCD zurücksetzt, und sich dann wundert, dass er seine Daten trotzdem nicht sieht. Ich leiste viel zu oft Support um mir da noch irgendwelche Illusionen zu machen: jeder zweite vergisst sein Passwort. Ich weiss nicht, wie oft ich schon mit der SystemCD Zugänge wieder freigemacht habe. Aber mit FileVault sind bei vergessenem Passwort alle Daten weg, unwiderruflich. Und kein Backup bringt sie wieder, wenn sie dort auch verschlüsselt sind. Würdest du als Supporter das Risiko eingehen? Ich nicht. Niemals würde ich irgend jemand FileVault empfehlen, der nicht in einem Hochsicherheitsbereich arbeitet und somit von Haus aus mit höchsten Sicherheitsanforderungen vertraut ist und die Risiken kennt.

    Hast Du FileVault im Zusammenhang mit TimeMachine schon mal getestet? Würde mich interessieren, wie das funktioniert. Sind die Daten im Backup verschlüsselt? Sie sollten es eigentlich sein; wobei ich nicht glaube, dass das machbar ist.

    Man sollte diese Sicherheitseinstellungen kennen und dann nutzen, wenn man sie braucht. Das hat zusätzlich den schönen Nebeneffekt, dass man immer wieder über Sicherheit nachdenkt und vor allem immer wieder mal seine Einstellungen kontrolliert.

  • Martin (MacMacken)
    Veröffentlicht um 21:31h, 04 November Antworten

    Schöne Liste, aber Hand aufs Herz: was nutzt du selbst davon und was nutzt du nicht und warum nicht?

    Ich nutze all die beschriebenen Sicherheitstipps (und noch einige mehr). FileVault allerdings nur auf mobilen Macs.

    Wie du so schön sagst: bei allen Sicherheitseinstellungen muss Brain 1.0 entscheiden, ob (und vor allem wann) man sie braucht und wann nicht.

    Genau … ich selbst halte die beschriebenen Sicherheitstipps zwar für grundlegend (und entsprechend «für Anfänger»), aber letztlich muss jeder Benutzer selbst wissen, welchen Grad an Sicherheit er benötigt. Einige Sicherheitstipps sind trivial und kosten kaum Komfort, alle anderen kann man ausprobieren und allenfalls wieder darauf verzichten.

    Hast Du FileVault im Zusammenhang mit TimeMachine schon mal getestet? Würde mich interessieren, wie das funktioniert. Sind die Daten im Backup verschlüsselt? Sie sollten es eigentlich sein; wobei ich nicht glaube, dass das machbar ist.

    Time Machine sichert mit FileVault geschützte Benutzerverzeichnisse, aber der entsprechende Benutzer muss dafür abgemeldet sein. Time Machine funktioniert also grundsätzlich auch mit FileVault, aber wie bei anderen Backuplösungen besteht leider ein Widerspruch zwischen komfortabler Datensicherung und zuverlässiger Datensicherheit durch Verschlüsselung.

    Ursprünglich hiess es übrigens, Time Machine würde FileVault direkt unterstützen und die mit FileVault geschützten Benutzerdaten in ein verschlüsseltes Disk Image sichern, doch scheint es diese Funktion nicht in die ausgelieferte «Leopard»-Version geschafft zu haben.

    Auf die übrigen Themen, die Du angesprochen hast, insbesondere auch im Zusammenhang mit FileVault, möchte ich bei Gelegenheit zurückkommen. Besten Dank für Deine Anmerkungen! :D

  • Friedrich R.
    Veröffentlicht um 22:22h, 04 November Antworten

    Verschlüsselung auf MacBooks ist sowieso ein trauriges Thema! FileVault hat einige unerfreuliche Macken, auch mit Leopard, unter anderem das Backupproblem. Daneben fehlt eine Option um ein ganzes System zu verschlüsseln. Wir würden gerne MacBooks einsetzen, aber solange wir nicht das ganze System verschlüsseln können, lassen wir es bleiben, das schulden wir unseren Kunden (Wirtschafts- und Rechtsberatung in Zug, Schweiz).

  • Martin (MacMacken)
    Veröffentlicht um 22:39h, 04 November Antworten

    Meine Worte, Friedrich! :roll:

  • Nicolas
    Veröffentlicht um 23:19h, 04 November Antworten

    @Peter: Wie funktioniert das mit den verschlüsselten Disk-Images? Ich habe das auch schon versucht, aber mit den Library-Dateien funktionierte es nie! :( :( :(

    FileVault kann ich mit Leopard nicht mehr verwenden, weil Time Machine ansonsten nur noch damit beschäftigt wäre und ich mich auch noch ausloggen muss für das Backup. Funktioniert Time Machine mit verschlüsselten Disk-Images?

  • Peter
    Veröffentlicht um 10:47h, 05 November Antworten

    @Friedrich R.
    Es ist eure Entscheidung, und ich kann die gut nachvollziehen. In diesem Bereich wäre es tatsächlich eine Katastrophe, wenn die Daten in falsche Hände kommen. Solange die Benutzer ihre Daten innerhalb ihres Benutzerverzeichnisses ablegen, ist FileVault allerdings genauso sicher wie eine Verschlüsselung der ganzen Festplatte. Was sind denn die unerfreulichen Macken von FileFault (ausser Backup)? Ich kenne ein paar von Tiger, aber sind die in Leopard immer noch da?

    @MacMacken
    Danke für die ausführliche Darstellung, so was ähnliches hatte ich mir schon gedacht. Das ist natürlich komplett unbrauchbar. Da verschlüsselte Dateien bei jeder Sicherung komplett gesichert werden müssen und eine inkrementelle Sicherung nicht möglich ist, läuft die Backupplatte schon nach ein paar Tagen über … @Friedrich: wie sichert ihr die verschlüsselten Platten eurer Laptops?

    @Nicolas
    Ich erstelle einfach mit dem Festplatten-Dienstprogramm verschlüsselte Disk-Images und lege meine wichtigen Daten darauf ab. Sehr wichtige Textdaten (wie Passwörter etc.) lege ich in eigenen Schlüsselbünden ab, die ein anderes Passwort haben als der Login-Schlüsselbund. Die persönlichen Daten meiner Kunden lege ich mit Programmen an, die ihrerseits Verschlüsselung zulassen, da gibt es einige. Wenn es sehr sicher sein soll, lege ich diese Dateien zusätzlich noch in Disk-Images ab. Ich halte diese Images sehr klein, da jede kleine Änderung natürlich dazu führt, dass das Image komplett neu gesichert wird. Das kann sich ziemlich schnell aufsummieren. Mit Dateien in der Library habe ich es noch nicht versucht. Was konkret hast du vor?

    Hinter TimeMachine steht m. E. eine Technik, wie sie auch von rSyncX angewendet wird. Ich sichere bisher meine Tiger-Rechner damit, und war ziemlich begeistert davon (TimeMachine toppt das natürlich). Es ermöglicht inkrementelle Backups, die wie bei TimeMachine jede für sich in einem Ordner liegen. Tatsächlich werden aber nur geänderte Dateien gespeichert, die anderen werden mit Hilfe von Hardlinks verknüpft. rSyncX muss leider geskriptet werden, was ziemlich umständlich ist, aber einmal eingerichtet können FileVault-Volumes damit inkrementell in eine verschlüsselte Festplatte gesichert werden

    Zu den Schlüsselbunden fällt mir noch was ein: es ist zwar ratsam, dem Login-Schlüsselbund ein anderes Passwort zu geben als das Login-Passwort, aber es ist auch umständlich, weil man so nie Dienste automatisch starten lassen kann, die den Zugriff auf den Schlüsselbund erfordern (iChat starten, Shares automatisch öffnen etc). Ich teste gerade eine andere Variante: der Anmelde-Schlüsselbund hat das gleiche Passwort wie das Login, ist aber nicht der Standard-Schlüsselbund. Ich habe dazu einen anderen erstellt, mit einem ziemlich sicheren Passwort. Alle neu angelegten Passwörter kommen so automatisch nicht in den Anmelde-Schlüsselbund sondern in den zweiten Schlüsselbund. Wenn ich einen Dienst anlege, der automatisch starten soll (z. B. Login ins Airport etc.) dann verschiebe ich einfach den Eintrag vom sicheren in den Anmelde-Schlüsselbund. Das darf natürlich nichts wirklich Vertrauliches sein. Das scheint unter Leopard gut zu funktionieren.

    Gruß
    Peter

  • Sicherheit ist auch beim Mac wichtig!
    Veröffentlicht um 11:59h, 06 November Antworten

    […] Den kompletten Beitrag mit ausführlichen Informationen gibt es bei MacMacken: Mac OS X «Leopard»-Sicherheit für Anfänger […]

  • Nicolas
    Veröffentlicht um 14:54h, 06 November Antworten

    @Peter: Ich möchte natürlich auch meine Mail schützen. Und die liegt in der Library. Und dort komme ich mit einem Image nicht weiter. Streik!!!

  • Martin (MacMacken)
    Veröffentlicht um 18:45h, 06 November Antworten

    @Peter:

    Das ist natürlich komplett unbrauchbar.

    … störend ist vor allem auch, dass die Datensicherung nach der Benutzerabmeldung erfolgt und man während dieser Zeit nicht am Mac arbeiten kann. Immerhin lässt sich die Datensicherung abbrechen.

    Wer Time Machine nutzt und FileVault aktiviert, erhält übrigens folgende Warnung angezeigt:

    Zu den Schlüsselbunden fällt mir noch was ein: es ist zwar ratsam, dem Login-Schlüsselbund ein anderes Passwort zu geben als das Login-Passwort, aber es ist auch umständlich, weil man so nie Dienste automatisch starten lassen kann, die den Zugriff auf den Schlüsselbund erfordern (iChat starten, Shares automatisch öffnen etc).

    Ist man per WLAN online, muss man gleich nach der Anmeldung das Passwort für den Schlüsselbund eingeben und damit besteht das beschriebene Problem nicht mehr beziehungsweise nur noch in Abhängigkeit vom konfigurierten Zeitraum, nach dem das Passwort erneut eingegeben werden muss.

    Solange die Benutzer ihre Daten innerhalb ihres Benutzerverzeichnisses ablegen, ist FileVault allerdings genauso sicher wie eine Verschlüsselung der ganzen Festplatte.

    … leider nur, wenn man sich darauf verlassen kann, dass alle Daten im Benutzerverzeichnis liegen. Das (inzwischen behobene) Problem mit dem sicheren virtuellen Speicher zeigt, dass man sich darauf nicht verlassen sollte. Bedenklich ist in diesem Zusammenhang, dass «sicherer virtueller Speicher» beim Einrichten von FileVault nicht standardmässig aktiviert wird.

    jeder zweite vergisst sein Passwort. Ich weiss nicht, wie oft ich schon mit der SystemCD Zugänge wieder freigemacht habe. Aber mit FileVault sind bei vergessenem Passwort alle Daten weg, unwiderruflich. Und kein Backup bringt sie wieder, wenn sie dort auch verschlüsselt sind. Würdest du als Supporter das Risiko eingehen?

    Für Administratoren gibt es das so genannte Hauptkennwort; damit kann der FileVault-Schutz bei Benutzern aufgehoben werden.

    @Nicolas:

    Wie funktioniert das mit den verschlüsselten Disk-Images? Ich habe das auch schon versucht, aber mit den Library-Dateien funktionierte es nie!

    AFAIK kann man Daten, die im /Library/-Verzeichnis des Benutzers gespeichert werden, nicht sinnvoll mit einem verschlüsselten DMG schützen.

  • Erik
    Veröffentlicht um 09:40h, 08 November Antworten

    Mich nervt, dass Time Machine alle Daten sichert von allen Benutzern. Kann ich Time Machine so einrichten, dass nur meine eigenen Daten gesichert werden?

  • Martin (MacMacken)
    Veröffentlicht um 11:44h, 09 November Antworten

    Kann ich Time Machine so einrichten, dass nur meine eigenen Daten gesichert werden?

    AFAIK kann man bislang nur Daten von der «Time Machine»-Datensicherung ausschliessen, nicht aber Daten gezielt für die Datensicherung auswählen.

  • Dirk Rusch
    Veröffentlicht um 13:02h, 10 November Antworten

    Da hat einer Deinen Artikel geklaut, ganz schön frech! :mad:

    http://www.macventure.ch/index.php/software/security-unter-os-x-10.5-leopard.html

  • Martin (MacMacken)
    Veröffentlicht um 13:16h, 10 November Antworten

    Da hat einer Deinen Artikel geklaut, ganz schön frech! :mad:

    Vielen Dank für Deinen Hinweis, ich werde der Sache nachgehen … :roll:

  • Tom
    Veröffentlicht um 14:19h, 10 November Antworten

    Hi MacMacken und Hi Dirk,
    schön wenn ein Blog dermassen engagierte Leser sein eigen nennen kann :-D

    Wie ich bereits in meinem Blog geschrieben habe, finde ich diesen Artikel einfach sensationell und fände es deshalb schade wenn er verloren gehen würde.
    Ich habe auch eine ganz klare Quellenangabe drin und habe nie auch nur mit einem Wort behauptet dass dies mein Artikel sei, im Gegenteil…es stand von Anfang an drin dass dies das Werk von MacMacken ist.
    Wie ich ebenfalls in der Einleitung geschrieben habe werde ich den Beitrag natürlich entfernen falls DU, MacMacken, damit nicht einverstanden bist, dass er bei mir auf der Seite zu finden ist.
    Schöne Grüsse
    Tom

  • Martin (MacMacken)
    Veröffentlicht um 14:27h, 10 November Antworten

    @Tom: Da ich Deine E-Mail-Adresse nicht ausfindig machen konnte, habe ich inzwischen in Deinem Blog dazu kommentiert (leider zum falschen Blogeintrag, wie ich gerade sehe, sorry) und dabei folgendes geschrieben:

    Es freut mich, dass Dir mein Blogeintrag mit Sicherheitstipps für Mac OS X «Leopard» derart gut gefallen hat, dass Du ihn gleich /- vollständig übernommen «archiviert» hast. Für die Zukunft wäre ich aber froh, wenn Du mich in solchen Fällen im Voraus kontaktieren und um Erlaubnis bitten würdest … mit «solchen Fällen» meine ich selbstverständlich nur die vollständige Übernahme, Verlinken und Zitieren ist unproblematisch und ja auch erwünscht – ein Beispiel dafür findet sich unter http://apfelblog.ch/mac/sicherheit-ist-auch-beim-mac-wichtig im ApfelBlog.

    (mit Betonung auf «in Zukunft»)

    Bei weiteren Fragen in diesem Zusammenhang stehe ich per E-Mail unter macmacken@macmacken.com gerne zur Verfügung.

  • Tom
    Veröffentlicht um 14:33h, 10 November Antworten

    habs gesehen und mich gefragt warum ich deine Antwort einfach nicht finden kann :-D
    Bis ich dann gesehen habe dass sie bei einem anderen Beitrag hängt ;-)
    Ich versuch mich mal im Umhängen…

    ok, werds mir merken… wie du ja selber gesehen hast, hab ich keinerlei falsche Versprechungen oder Besitzansprüche geltend machen wollen.

    Danke nochmals für dein Verständnis und deine Mühe :-D

  • Anonymous
    Veröffentlicht um 12:58h, 11 November Antworten

    Hallo,
    mir ist nicht ganz klar, ob die Passwörter (sowohl beim Anmelden, als auch für den Schlüsselbund) nur sinnvoll sind bei mehreren Computernutzern denen man nicht 100% vertraut. Ich melde mich automatisch als normaler User an (ohne Adminrechte) und habe auch kein extra Schlüsselun-Passwort.
    Ist das relevant in Bezug aufs Internet?
    Danke und Gruß.

  • Martin (MacMacken)
    Veröffentlicht um 17:11h, 13 November Antworten

    Hallo,
    mir ist nicht ganz klar, ob die Passwörter (sowohl beim Anmelden, als auch für den Schlüsselbund) nur sinnvoll sind bei mehreren Computernutzern denen man nicht 100% vertraut. Ich melde mich automatisch als normaler User an (ohne Adminrechte) und habe auch kein extra Schlüsselun-Passwort.
    Ist das relevant in Bezug aufs Internet?

    Ein eigenes Passwort für den Schlüsselbund ist empfehlenswert, weil dieses nicht zurückgesetzt werden kann – im Gegensatz zum Benutzerpasswort, das sich unter anderem per Hilfsprogramm auf dem Mac OS X-Datenträger von jedermann mit direktem Zugriff auf ein Mac-System zurücksetzen lässt … ein Dieb beispielsweise könnte so zwar auf Deine Benutzerdaten zugreifen, nicht aber auf die im Schlüsselbund gespeicherten Passwörter, sofern ein genügend «starkes» Passwort Verwendung findet.

  • naavv
    Veröffentlicht um 02:21h, 19 November Antworten

    Schöner artikel,

    mal ne andere frage. wie stelle ich denn ein das eine abfrage nach unsicheren dateien stattfindet. wenn ich ne datei ausm netz laden und sie mit einem programm auf machen will dann warnt er mich immer ob sie denn wirklich sicher sei. dies ist für meinen workflow eher unnütz.

    kann man es irgendwo deaktivieren?

    gruß
    naavv

  • Martin (MacMacken)
    Veröffentlicht um 08:21h, 19 November Antworten

    mal ne andere frage. wie stelle ich denn ein das eine abfrage nach unsicheren dateien stattfindet. wenn ich ne datei ausm netz laden und sie mit einem programm auf machen will dann warnt er mich immer ob sie denn wirklich sicher sei. dies ist für meinen workflow eher unnütz.

    kann man es irgendwo deaktivieren?

    Unter http://www.stroica.com/fehlerhafte-links/ findest Du eine mögliche Lösung … sie ist leider vergleichsweise aufwendig, aber eine einfachere kenne ich für den Moment nicht.

  • Andi
    Veröffentlicht um 18:01h, 19 November Antworten

    Leider geht bei meinem Leopard die aktive Ecke für das Aktivieren des Bildschirmschoners nicht mehr. Jetzt kriege ich meinen Screen nicht so gesperrt, dass Time-Machine weiterläuft. Kennt das irgend jemand oder hat ne Alternativ-Idee?

  • Martin (MacMacken)
    Veröffentlicht um 17:14h, 22 November Antworten

    Leider geht bei meinem Leopard die aktive Ecke für das Aktivieren des Bildschirmschoners nicht mehr. Jetzt kriege ich meinen Screen nicht so gesperrt, dass Time-Machine weiterläuft.

    Was genau funktioniert nicht? Die aktive Ecke oder das Sperren? Läuft per aktive Ecke der passwortgeschützte Bildschirmschoner, müsste Time Machine noch funktionieren, solange sich der Mac nicht schlafen legt …

  • Todde
    Veröffentlicht um 21:59h, 22 November Antworten

    Hallo, ein sehr guter Artikel, von dem ich auch vieles beherzigt habe. Was die Verschlüsselung unter Mail betrifft: Unter Tiger habe ich den Mac GNU Privacy Guard und den GPG Schlüsselbund benutzt, es gibt ja die einigermaßen benutzerfreundlichen Installer von macgpg.sourceforge.net. Unter Leopard funktioniert dies im Zusammenspiel mit Mail jedoch nicht mehr. D.h. ich kann momentan keine E-Mails mehr verschlüsseln bzw. die alten verschlüsselten nicht mehr entschlüsseln. Da ja der Mac GNU PG momentan noch nicht aktualisiert ist, hier meine Frage: Gibt es da eigentlich Alternativen für Leopard? Es per Terminal selbst hinzufrickeln kann ich nicht.
    Schönen Dank im voraus

    Todde

  • Martin (MacMacken)
    Veröffentlicht um 22:12h, 22 November Antworten

    Heisst das, dass Du GPGMail verwendet hast? In diesem Fall besteht Hoffnung, denn gemäss http://www.sente.ch/software/GPGMail/English.lproj/GPGMail.html ist eine «Leopard»-kompatible Version in Arbeit … GPG selbst läuft bei mir unter «Leopard» noch, ansonsten verwende ich aber primär PGP (PGP Desktop 9.7 Beta).

  • Todde
    Veröffentlicht um 23:07h, 22 November Antworten

    Ja, richtig. GPGMail. Da in Leopard nach dem Update automatisch deaktiviert und nicht mehr sichtbar, kam ich eben nicht auf den Namen. PGP sieht interessant aus, wär mir auch nicht zu teuer. Das schau ich mir mal genauer an. Danke für den Tip und die schnelle Antwort :-)! Ich nehme an, dass die PGP Desktop 9.6 Version nicht mit Leopard kompatibel ist (deswegen die 9.7 Beta?) ?

    Viele Grüße

    Todde

  • Martin (MacMacken)
    Veröffentlicht um 11:11h, 23 November Antworten

    Ich nehme an, dass die PGP Desktop 9.6 Version nicht mit Leopard kompatibel ist (deswegen die 9.7 Beta?) ?

    Ja, genau. Ausserdem muss man bei PGP einem kommerziellen Softwarehersteller vertrauen, der Open Source-Charakter ist weniger ausgeprägt … umgekehrt haben sich die Mac-GnuPG-Macher aber auch schon einige Fehler geleistet und wer die jeweils aktuellsten Versionen nutzen möchte, muss sowieso selbst kompilieren.

    GPGMail übrigens müsste mit der Apple Mail-Version von «Leopard» noch halbwegs funktionieren, wenn man das automatische Entschlüsseln von E-Mails deaktiviert. Ausprobiert habe ich diesen Tipp aber nicht.

  • freak666
    Veröffentlicht um 21:48h, 30 November Antworten

    hab alles mal durchgelesen, aber hab nrgends ewtas zu meinem proplem gefunden. vllt kann mir da ja einer helfen kann ich nicht mehr anmelden, der sagt immer min passwort ist falsch aber dabei hab ich nichts geändert und davor hat er auch nie danach gefragt. warum auf einmal jetzt und wie komm ich wieder rein. danke gruß freak

  • Martin (MacMacken)
    Veröffentlicht um 21:54h, 30 November Antworten

    @freak666: Du kannst Dein Passwort mit Mac OS X-eigenen Mitteln zurücksetzen lassen, eine entsprechende Anleitung findest Du unter http://docs.info.apple.com/article.html?artnum=106156-de – viel Erfolg!

  • Anonymous
    Veröffentlicht um 01:49h, 29 Dezember Antworten

    Ja ja. Mac = Sicherheit ist vorbei. Das ist jetzt sogar Mainstream, man schaue nur mal in die Medien!

    http://www.pcworld.com/article/id,140896-pg,1/article.html

    Waren das noch Zeiten als Mac = Sicherheit!

  • itfuzzi
    Veröffentlicht um 01:56h, 11 Januar Antworten

    Hallo,

    zu Verschlüsselung unter Mail:

    Mache es bei mir immer so, dass ich unter Leopard verschlüsselte 256 Bit Images (DMG) anlege und dann per Email versende. Dort kann man ja alles reinpacken wie Texte, Bilder und so weiter. So ist auch eine sichere Kommunikation gewährleistet und ich brauche keine zusätzlichen Programme zu installieren.

    Grüße it-fuzzi

  • Martin (MacMacken)
    Veröffentlicht um 07:52h, 11 Januar Antworten

    @it-fuzzi: Gute Idee!

    Ich sehe zwei Probleme: DMGs sind schnell einmal grösser als die 10 MB, die für den Versand per E-Mail noch halbwegs Sinn ergeben. Und DMGs können AFAIK nur mit Mac OS X geöffnet werden.

  • Alexander
    Veröffentlicht um 22:43h, 07 Februar Antworten

    Hi. Vielen Dank für diesen informativen Post – bin zum erstan Mal hier und habe den Link irgendwo bei MacTechNews gesehen.
    Hätte mal eine Frage, die mir schon seit meinem ersten Intel Mac im Kopf herumschwirrt:
    Unter PowerPC und der damit verbunden OpenFirmware gab es den “OpenFirmware Lock”. Dadurch musste ein Passwort eingegeben werden, wenn man probierte beim Booten das Bootvolume zu wechseln. Das hat natürlich einen großen Vorteil: und zwar, dass es den doch recht einfachen und offensichtlichen “Angriff” via System CD aushebelt. Natürlich ist mir klar, dass, sobald Physikalischer Zugriff besteht, die Sicherheit so-oder-so enorm sinkt – aber es sollte zumindest diesen viel zu komfortablen und schnellen Weg abstellen. Den OpenFirmware Lock gab es sogar von Apples Seite direkt zum Download.
    Nun – für Intel Macs (da sie OpenFirmware nicht mehr benutzen) konnte ich dieses Tool nicht finden. Weiss jemand ob es etwas vergleichbares gibt?

    Vielen Dank.
    Ciao,
    Alexander

  • Martin (MacMacken)
    Veröffentlicht um 22:56h, 07 Februar Antworten

    Nun – für Intel Macs (da sie OpenFirmware nicht mehr benutzen) konnte ich dieses Tool nicht finden. Weiss jemand ob es etwas vergleichbares gibt?

    Intel-Macs verwenden das Extensible Firmware Interface (EFI) anstelle von Open Firmware. Das EFI-Passwort kannst Du mit dem entsprechenden Hilfsprogramm auf der «Leopard»- oder «Tiger»-DVD setzen, das Du unter /Applications/Utilities/ findest.

    Eine weitere Möglichkeit ist die Verwendung von rEFIt (siehe dazu http://www.stroica.com/fehlerhafte-links/.

  • Hildis privates Weblog » Time Machine - Backup
    Veröffentlicht um 10:25h, 11 Februar Antworten

    […] File Vault habe ich zunächst erst einmal deaktiviert. Sensible Daten werde ich vorübergehend – evtl. auch dauerhaft in eigene Sparseimages verteilen. […]

  • Anonymous
    Veröffentlicht um 17:41h, 08 Juli Antworten

    Auf meinen Mabook habe ich internet sharing aktiviert damit meinen iMac ins Internet gehen kann. Funktioniert perfekt aber ist unsicher. Durch Internet Sharing jeder im Haus kann meine Internt leitung benutzen. Wie kann ich es verhindern?

    Danke ;-)

  • Martin (MacMacken)
    Veröffentlicht um 15:18h, 12 Juli Antworten

    Auf meinen Mabook habe ich internet sharing aktiviert damit meinen iMac ins Internet gehen kann. Funktioniert perfekt aber ist unsicher. Durch Internet Sharing jeder im Haus kann meine Internt leitung benutzen. Wie kann ich es verhindern?

    Teilst Du denn mit allen anderen im Haus ein lokales Netzwerk? :?:

  • manu
    Veröffentlicht um 02:37h, 14 Juli Antworten

    Hi,

    gute Artikel. Danke für die vielen wichtigen Informationen.
    Hätte aber noch eine Frage: Warum werden die Daten per Time Machine nicht unverschlüsselt gesichert? Wie du selbst hier irgendwo geschrieben hast, verwendest du FileVault nur auf mobilen Geräten. Meine externe Festplatte, die in der Regel zuhause liegt, muss nicht verschlüsselt sein.
    Man kann sie (externe HD) in einen echten Safe legen ;-)

    mfg Manu

  • Martin (MacMacken)
    Veröffentlicht um 20:24h, 14 Juli Antworten

    Warum werden die Daten per Time Machine nicht unverschlüsselt gesichert?

    … vermutlich, weil es viel effizienter ist, Daten nicht Datei für Datei, sondern in Blöcken zu sichern.

  • Anonymous
    Veröffentlicht um 22:24h, 15 Oktober Antworten

    @MacMacken: Ich hab das “Als-normal-User-arbeiten” mal probiert, mit dem Ergebnis, dass ich ständig nach einem Administrator-Kennwort gefragt werde, sei es weil ich Airport (de)aktivieren will, ich der Leo-Firewall erklären will, dass Adium kein böses Programm ist oder weil die Little Snitch Demo-Zeit wieder abgelaufen ist (armer Student).
    Eventuell bin ich mit einem 34 Zeichen langem Adminpasswort über’s Ziel hinausgeschossen, aber EIGENTLICH wollte ich das ja garnicht benutzen müssen (sollte ja nur sicher sein).
    Kann man irgendwo einstellen, dass z.B. Airport ein/aus nicht mehr das vorrecht des Admins ist oder ähnliches?

  • macmacmac
    Veröffentlicht um 11:13h, 16 Oktober Antworten

    Hi Anonymous!

    Das Problem mit dem Airport lässt sich einfach lösen, indem du folgendes klickst:
    Systemeinstellungen –> Netzwerk –> weitere Optionen –> unter dem Reiter Airport: Admin-Kennwort erforderlich zum Konfigurieren des Airports <<deaktivieren!

    Das Problem mit der Firewall und dem Admin-Kennwort ist Hausgemacht: stell die Firewall zurück auf: “nur notwendige Dienste erlauben” dann gibt es mit Adium und auch allen anderen handelsüblichen Programmen kein Problem. Du musst hier nichts Weiteres einstellen.

    Ein Admin-Passwort mit 34 Zeichen ist tatsächlich übertrieben! Das Mac OS X verschlüsselt nicht standardmäßig das Dateisystem, somit ist ein langes und kompliziertes Passwort nicht nötig. Des Weiteren würde es auch bei einem verschlüsselten Dateisystem keine Wirkung zeigen, da es nur den Administrator-Account chiffriert. Möchtest du deinen “Benutzer-Account” verschlüsseln, musst du vorher dem Benutzeraccount ein (komplexes) Passwort geben.

    Wichtig:

    Nutze weiterhin den Benutzeraccount! Software kann stets gleiches Recht erlangen, wie der Benutzer der gerade angemeldet ist. Schädliche Software hat so leichteres Spiel. Das Administrator-Passwort ist hauptsächlich gegen diese Art von Angriff gedacht! (Dein Admin-PW wenn 8 Zeichen lang ist und aus Ziffern und Buchstaben besteht, ist das völlig ausreichend!)

    Dem Benutzeraccount bitte auch stets ein Passwort geben. Es reicht ein kurzes, nur ohne Passwort sollte man niemals in digitalen Systemen unterwegs sein.

    Ich hoffe ich konnte weiterhelfen!

    Mit freundlichen Grüßen,

    Manu

  • Martin (MacMacken)
    Veröffentlicht um 11:34h, 16 Oktober Antworten

    Den Erläuterungen von macmacmac habe ich nichts hinzuzufügen, merci! :D

  • Anonymous
    Veröffentlicht um 12:57h, 16 Oktober Antworten

    Herzlichen Dank für die raschen Antworten soweit, sie helfen. ;)
    Der Grund für die Firewall Einstellung “Zugriff…festlegen” war, dass ich vom Macbook nicht auf den iMac zugreifen konnte (File Sharing, Screen Sharing etc…) wenn dieser nur Notwendige Dienste erlaubt. Oder ist der Grund dafür auch wieder das Hauptproblem aller Rechner, 40cm vor dem Bildschirm?

    Danke schonmal, für die Antworten!

  • Martin (MacMacken)
    Veröffentlicht um 13:19h, 16 Oktober Antworten

    Der Grund für die Firewall Einstellung “Zugriff…festlegen” war, dass ich vom Macbook nicht auf den iMac zugreifen konnte (File Sharing, Screen Sharing etc…) wenn dieser nur Notwendige Dienste erlaubt. Oder ist der Grund dafür auch wieder das Hauptproblem aller Rechner, 40cm vor dem Bildschirm?

    Ersteres, es handelt sich tatsächlich um eine Frage der Firewall-Einstellungen – ich hatte ähnliche Probleme schon mit iChat, wobei die entsprechenden Fehlermeldungen leider wenig hilfreich sind … :(

  • MrFritzle
    Veröffentlicht um 15:53h, 24 März Antworten

    Hi MacMacken, der Blogeintrag ist der Hammer. Vielen Vielen Dank !!!!
    Selten so was gutes gelesen !!! Greetz & Blessinx

  • Alex Haid
    Veröffentlicht um 10:31h, 04 September Antworten

    Hi MacMacken,

    hab grad diese Anleitung gelesen und für sehr gut gefunden. Ich hab bis jetzt immer als Admin-User gearbeitet. Wollte dann einen neuen Benutzer anlegen, doch dabei stieß ich auf folgendes Problem:
    + Wenn ich einen Standard-Benutzer anlege – mit dem ich dann in Zukunft arbeiten will – sind alle meine Benutzerdaten nicht mehr vorhanden, oder? Wie bekomme ich die in den neuen Account?
    + Dann hatte ich die Idee: lege einen neuen Admin-Benutzer an und setze den bisherigen Benutzer auf Standard. Gute Idee – hab allerdings nicht gefunden, wo ich die Rechte des Benutzers von Admin auf Standard setzen kann.

    Wie soll man das machen mit einem neuen Standard-Benutzer? Das hast du in deiner Anleitung nicht erwähnt?!

    LG,
    – alex

    • Martin (MacMacken)
      Veröffentlicht um 14:04h, 04 September

      Wie soll man das machen mit einem neuen Standard-Benutzer? Das hast du in deiner Anleitung nicht erwähnt?!

      In einem ersten Schritt erstellst Du mit Deinem bisherigen Administratorkonto ein weiteres Administratorkonto. Danach entziehst Du Deinem bisherigen Administratorkonto die Administrationsrechte, so dass Du über ein Benutzerkonto mit Deinen bestehenden Daten sowie ein neues Administratorkonto verfügst.

      Ob ein Benutzer über Administrationsrechte verfügt, kannst Du über die Option «Der Benutzer darf diesen Computer verwalten» bestimmen.

    • Simone
      Veröffentlicht um 12:49h, 17 September

      Gibt es da einen Trick? Das bekomme ich auch nicht hin, die Rechte des “alten” Admin auf Standard zu setzen.

      Danke für Hilfe?
      LG Simone

    • Martin (MacMacken)
      Veröffentlicht um 12:52h, 17 September

      Was genau funktioniert nicht?

      «Standard»-Rechte gibt es nicht; ob ein Benutzer über Administrationsrechte verfügt, entscheidet sich über die Option «Benutzer darf diesen Computer verwalten».

    • Simone
      Veröffentlicht um 14:19h, 17 September

      Bei den Systemeinstellungen/Benutzer bleibt beim “alten”Admin “Der Benutzer darf den Computer verwalten” hellgrau und ich kann somit das Häkchen nicht entfernen, damit bleibt auch dieser Benutzer ein Admin? Ach ja, ich bin schon über den neuen Admin angemeldet und hab das Schloss geöffnet.

  • Helge
    Veröffentlicht um 17:36h, 21 Oktober Antworten

    Die meisten Punkte sind sehr gut und nützlich aber bei einigen würde ich doch widersprechen:

    Tipp 1: Ist das wirklich sinnvoll? Im Gegensatz zu Window fragt doch OSX sowieso bei jeder Installation nochmal nach dem Admin Passwort?

    Tipp 2: Ist doch inzwischen schon ein alter Hut das ein langes schwer zu merkendes Passwort unsicherer ist als ein kurzes was man nicht aufschreiben muss…. ;-)

    Tipp 4: Nieeemaals lasse ich Apple automatisch Updates auf meinem Mac installieren! Da habe ich viel zu schlechte Erfahrungen mit unstabilen Version gemacht!

    • Martin (MacMacken)
      Veröffentlicht um 17:41h, 21 Oktober

      Tipp 1: Ist das wirklich sinnvoll? Im Gegensatz zu Window fragt doch OSX sowieso bei jeder Installation nochmal nach dem Admin Passwort?

      In der überarbeiteten Version für «Snow Leopard» werde ich dieses Vorgehen vermutlich nicht mehr empfehlen.

      Tipp 2: Ist doch inzwischen schon ein alter Hut das ein langes schwer zu merkendes Passwort unsicherer ist als ein kurzes was man nicht aufschreiben muss…. ;-)

      Im obigen Blogeintrag finde ich keine Empfehlung, Passwörter zu verwenden, die man sich nicht merken kann. Die Verwendung langer Passwörter bedeutet aber auch nicht, dass man sie sich nicht merken kann.

      Tipp 4: Nieeemaals lasse ich Apple automatisch Updates auf meinem Mac installieren! Da habe ich viel zu schlechte Erfahrungen mit unstabilen Version gemacht!

      Ich zum Glück bislang nicht in relevantem Ausmass … letztlich geht es um Sicherheitsupdates, bei anderen Updates kann man differenzieren – sofern man nicht mehr Anfänger ist.

  • Martin (MacMacken)
    Veröffentlicht um 12:17h, 24 November Antworten

    Hinweis: Unter http://www.macmacken.com/2009/11/24/10-mac-os-x-snow-leopard-sicherheit-fuer-anfaenger/ ist ab sofort eine aktualisierte Version für Mac OS X 10.6 «Snow Leopard» verfügbar.

  • Anonymous
    Veröffentlicht um 00:39h, 04 Februar Antworten

    Ich hab eine Frage zum “Arbeiten als Benutzer”. Nämlich Folgende:

    Ich bin mitunter auf der Suche, wie man den Mac zu Dingen überreden kann die er eigentlich nicht tut (z.B. Remote Disk auf einem normalen Macbook) auf Befehlszeilen für’s Terminal getroffen, die mit “sudo” beginnen.
    Ick kenn mir mit sowas nich wirklich aus und tippe es einfach ab, aber so wie ich mir das angelesen habe kriegt man über wohl “sudo” Adminrechte (Rootrechte?), oder?

    Ist damit nicht das Prinzip hinter “Benutzer statt Admin” umgangen und ein Programm kann sich eben doch mehr als Benutzerrechte sichern?

    PS: Die Frage steht absichtlich hier, da auf meinem Mac noch Leopard läuft.

Kommentieren