Viren, Trojaner und sonstige Schädlinge - Die Sicherheit der heutigen PCs bzw. Macs wird immer wieder auf die Probe gestellt, die Betriebssysteme müssen täglich mit neuen Gefahren fertig werden. Mac OS X wird oft in den Medien als "sehr stabil und sicher" bezeichnet. Das zeigen auch viele Statistiken und Hacker-Wettbewerbe. Einerseits ist daran (zum Glück) Apple Schuld. Aber auch die geringe Verbreitung der Macs trug in der Vergangenheit seinen Teil dazu bei. Doch inzwischen werden auch viele kleine (aber auch große) Lücken in Apple-Software entdeckt.
Genau aus diesen Grund sollte man seinen Mac in Sachen Sicherheit aufrüsten. Denn eins steht fest: Kein System der Welt ist heute vor Trojanern, Viren und sonstigen Schädlingen vollständig geschützt - auch Mac OS X nicht.
Dieser Helper-Beitrag beinhaltet einige Möglichkeiten, die Sicherheit am Mac zu erhöhen. Unabhängig davon sollte man jedoch immer die Augen offen halten im Internet und im Umgang mit Dateien, deren Absender man nicht kennt. Auch bei der Durchführung aller relevanten Möglichkeiten zur Aufwertung der Sicherheit ist immer noch ein kleiner Prozentsatz vorhanden, sich einen Schädling aus dem Internet bzw. aus fremder Quelle zu holen.
Wie immer steht mein PN-Postfach offen für Feedback, Verbesserungen oder Ergänzungen. Ebenso steht ein Thread im Bereich Apfeltalk Intern bereit für euer Feedback (Klick mich!).
Wie bereits gesagt ist auch Mac OS X nicht vollkommen gesichert. Um die Sicherheitslücken, Bugs und sonstigen Probleme aus der Welt zu schaffen, veröffentlicht Apple in unregelmäßigen Abständen so genannte Updates. Diese beheben Bugs und Sicherheitslücken im Betriebssystem und den Apple-Zusatzprogrammen und bieten des öfteren auch neue Funktionen an. Apple bietet diese Aktualisierungen auch für Windows an. iTunes, QuickTime und Safari können somit auch unter Windows bequem aktualisiert werden.
Um Apple-Software automatisch zu aktualisieren, muss man in die Systemeinstellungen und dann auf Software-Aktualisierung gehen. Hier muss ein Häkchen bei "Nach Updates suchen" und die Suche auf "Täglich" einstellen. Damit bleibt die Software von Apple stets auf dem aktuellsten Stand. Eine manuelle Suche nach Updates ist auch möglich: Zuerst muss auf das Apfel-Icon (oben links in der Ecke) geklickt werden, danach auf "Software-Aktualisierung". Mac OS X sucht nun automatisch nach den neusten Update.
Doch nicht nur Apple veröffentlicht Updates. Zu jedem auf OSX laufenden Programm wird bei Bekanntgabe einer Sicherheitslücke oder gravierender Bugs eine neue Version veröffentlicht. Ist das aktualisierte Programm dann installiert, ist bis zur nächsten Bekanntgabe eines Problems prinzipiell die Sicherheit gewährleistet. Oft liegt es allerdings nicht nur am Betriebssystem, sondern an zusätzlichen Programmen oder Tools, die erst die Löcher ins System reissen. Gründe dafür sind schlechte Programmierung, gewollte Spyware oder einfach ein Bug.
Statt mühsam alle Webseiten der installierten Programme aufzusuchen, bieten sich Widgets (bzw. Programme) an, die automatisch alle verfügbaren Updates auf dem Mac anzeigen. AppFresh und AppUpdate sind die zwei bekanntesten Programme zur oben genannten Thematik.
Selten kann aber gerade durch ein Update ein Sicherheitsproblem entstehen. Doch generell gilt: Sobald eine Aktualisierung eines beliebigen Programms erschienen ist, sollte das Programm schnellstmöglich auf den aktuellsten Stand gebracht werden.
Links:
Apple: Download von Updates
Apple Support: Software aktualisieren
AppFresh & AppUpdate
Beim Installieren von systemabhängiger Software, wie beispielsweise einem Systemupdate, verlangt das Betriebssystem von Apple das Passwort. Normalerweise ist diese Option oft abgeschaltet. Um den Zugriff auf nicht gewollte Installierungen zu erschweren, muss die Funktion wieder eingeschaltet werden. Am einfachsten geht das über die Systemeinstellungen (Programme => Systemeinstellungen => Benutzer). Ab sofort verlangt Mac OS X bei jeder Installierung ein Admin-Kennwort.
Unter dem Punkt Sicherheit in den Systemeinstellungen lassen sich auch andere Sicherheitsaspekte einstellen. So kann das Kennwort verlangt werden beim Beenden des Ruhezustandes oder des Bildschirmschoners. Oder das allgemeine automatische Anmelden wird deaktiviert.
Wie sieht das perfekte Passwort aus? Schwierig zu sagen. Es sollte so schwer sein, dass man selbst schon Probleme hat, es sich zu merken. Als guter alter Tipp wird immer wieder einmal geraten, dass man Passwörter auch ruhig auf einen Zettel schreiben kann und sich an den Computer kleben kann, sofern man seinen Mitbewohnern vertraut. In Firmennetzen und anderen öffentlichen Orten sollte man dies bitte absolut unterlassen! Einige Tipps und Tricks für möglichst sichere Passwörter:
* Gross- und Kleinschreibung
* zusätzliche Zahlen-Kombinationen
* Sonderzeichen-Verwendungen
* Satz-Konstellationen
* mehr als 12 Zeichen (am besten mehr als 20 Zeichen)
* Passwort vom Passwort-Assistenten erstellen lassen
Durch die breite Meinung, dass Unix-Systeme viel Sicherheit bieten, ist der Aspekt eines sicheren Passwort leicht verloren gegangen. Beispiele für gute Passwort:
* :wI4!l0Ve&4pFe/!4lK
* ez41Eac61&5!"^sd9:
* zwr12$%"w!§4t%)=
Sollen mehrere Anwender den gleichen Mac benutzen, ist es ratsam, mehrere Benutzer-Accounts einzurichten. Günstig wäre in einem solchen Falle folgende Konstellation anstreben: Einen Verwalter- und einen Benutzer-Account.
* Der Verwalter: dieser ist zur Verwaltung des Rechners befähigt.
* Der Benutzer: darf Anwendungen etc. ausführen und hat nur beschränkte Rechte in der globalen Datenstruktur.
Das Betriebssystem Mac OS X hat sogar die Rechte des Administrators eingeschränkt: Der aus Unix bekannte Root-User ist auch in OS X implementiert. Somit kann der Admin nicht ohne Tricks Dateien im Systemordner verändern, verschieben oder gar löschen.
Um einen neuen Account zu erstellen, muss in der Benutzerverwaltung (Systemeinstellungen => Benutzer) auf das kleine "+" geklickt werden. Darin lassen sich allgemeine Einstellungen, wie Name, Kennwort und die zugehörige Merkhilfe, für den neuen Benutzer, anlegen. Der Kurzname sollte kurz, bündig und nicht so leicht zu erraten sein.
Ist der Account erst einmal angelegt, darf der Punkt "Der Benutzer darf diesen Computer verwalten" nicht aktiviert werden, da sonst der Account über Admin-Rechte verfügt. Der Tab "Einschränkungen" verfeinert die Rechte. Dabei werden verschiedene Arten des Benutzer-Accounts unterschieden: Ein Hauptbenutzer besitzt ähnliche Rechte wie ein Admin. Er kann also Programme installieren und ausführen. Ein Benutzer mit "bestimmten Beschränkungen" besitzt, wie bereits der Name schon sagt, nur bestimmte Rechte.
Mit den darauf folgenden Einstellungen lässt sich beispielsweise der Zugriff bestimmter Programme bearbeiten. So kann der Admin dem eingeschränkte Benutzer bestimmte Programme zuweisen, die er öffnen darf und ihm das Recht beschneiden, selbst Installationen vorzunehmen oder andere als die ihm zugewiesene Programme zu nutzen. Des weiteren lassen sich in den Systemeinstellungen die Nutzung von CDs und DVDs sowie des Docks blockieren, sodass der Benutzer keinerlei Veränderungen vornehmen kann.
Wenn es um die Übertragung von Dateien von einem Mac auf einem Windows-PC oder die gemeinsame Benutzung eines Druckers geht, fällt der Begriff Netzwerkdienste schnell. Unter dem Menüpunkt Sharing in den Systemeinstellungen (Systemeinstellungen => Sharing) finden sich dazu einige Einstellungen und auch verschiedene Netzwerkdienste. Natürlich sollte man lediglich Netzwerkdienste aktivieren, die man auch wirklich nutzen möchte. Unnötige aktivierte Dienste könnten unter Umständen neue Sicherheitsprobleme auslösen.
Doch welche Dienste verstecken sich hinter den Begriffen? Hier eine ausführliche Liste:
Personal-File Sharing: (Apple Filing Protocol); braucht man natürlich auch nur, wenn man weitere Macs im Netzwerk hat, denen man Freigaben per AFP ermöglicht.
Windows Sharing: Samba oder Common Internet File System (kurz CIFS). Diesen Dienst braucht man auch nur, wenn die Freigaben per SMB genutzt werden und wenn auch Windows-Rechner im Netz sind, die diese Freigaben nutzen können. Zusätzlichen lassen sich auch Accounts für SMB einschränken.
Personal Web Sharing: HTTP und der Dienst ist Apache HTTP Server. Diesen Dienst braucht man nur, um seine eigene Homepage im Netzwerk online zu stellen. Weiterhin kann durch Router-Einstellungen der Dienst so genutzt werden, dass Zugriffe von außen auch auf die private Homepage möglich sind. Es empfiehlt sich jedoch ein Werkzeug namens MAMP zu installieren und zu nutzen. Durch ein kleines Widget ist so der HTTP und MySQL-Server schnell ein- und aus-zuschalten. HTTP-Server wimmeln durch installierte Plugins oftmals nur so von möglichen Schwachstellen.
FTP-Zugriff: sollte man prinzipiell deaktivieren! Für privat genutzte Macs empfielt sich die Benutzung des Dienstes tntftpd.
Apple Remote Desktop: (kurz ARD). Ist dieser Dienst aktiviert, öffnet man den ARD-Server. Nun kann mit Programmen wie VNC, SSH etc. auf den Mac zugegriffen werden. Es lässt sich einiges bei den Zugriffsrechten einschränken. Prinzipiell sollte dieser Dienst deaktiviert sein, aber in Notfällen, in denen man Hilfe von außen braucht, ist es manchmal auch sehr hilfreich.
Entfernte Apple Events: EPPC. Hier kann man als Airport Extreme Server z.B. agieren. Dabei reagiert man auf ausgesendete Signale von anderen Macs. Hiervon ist eigentlich erstmal Abstand zu nehmen.
Printer Sharing: es nutzt CUPS und dies bedeutet, dass man einen angeschlossenen Drucker auch innerhalb des Netzwerkes freigeben kann, ohne Windows-Sharing aktiviert zu haben.
Sind alle Dienste abgeschaltet, die man nicht braucht, wechselt man zum Programm "Verzeichnisdienste" (Programme => Dienstprogramme => Verzeichnisdienste) und deaktiviert auch dort die nicht benötigte Programme.
Welche Funktionen verstecken sich unter den Begriffen? Hier eine kleine Liste:
Eine externe (Netzwerk- oder Hardware-) Firewall (von engl. firewall [ˈfaɪəwɔːl] „die Brandmauer“; auch ein Firewall) stellt eine kontrollierte Verbindung zwischen zwei Netzen her. Das könnten z. B. ein privates Netz (LAN) und das Internet (WAN) sein; möglich ist aber auch eine Verbindung unterschiedlicher Netzwerksegmente ein und desselben Netzwerks. Die Firewall überwacht den durch sie hindurch laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden, oder nicht. Auf diese Weise versucht die Firewall das private Netzwerk bzw. das Netzsegment vor unerlaubten Zugriffen zu schützen (Quelle: Wikipedia).
Für Windows ist eine Firewall fast unersetzlich. Mac OS X braucht grundsätzlich keine, besitzt aber eine integrierte Firewall. Einstellungen findet man dazu unter Systemeinstellungen => Sharing => Firewall
Zwar ist die integrierte Firewall von den Funktionen her eher schlicht und einfach gehalten, trotzdem lässt sich die interne Firewall einwandfrei einstellen: Man kann eigene Firewall-Regeln unter den Einstellungen aufstellen - der Knopf "Neu" legt das nahe. Neben ein paar von Apple vorkonfigurierten Diensteinstellungen kann man dort auch eigene Regeln hinterlegen.
Die OS X Firewall schottet nur gegen Zugriffe von außen auf den Rechner ab. Je nachdem ob der Rechner direkt per PPPoE/Modem/WLAN-Hotspot mit dem Internet verbunden ist eben gegen Zugriffe aus dem Internet oder in einem internen Netz (hinter einem Router) gegen die Rechner des internen Netzes.
Little Snitch 2 dagegen stellt Regeln auf, die den Netzwerkverkehr vom eigenen Mac nach draussen reglementieren. Auf diese Weise kann bestimmten Programmen der Zugriff auf das Internet sehr gezielt beschränkt (auf einzelne Ports, bestimmte Server oder Adressbereiche) oder ganz untersagt werden. Die Funktionsweise ist also der OS X Firewall genau entgegengesetzt, weshalb LittleSnitch niemals ein Ersatz für die OS X Firewall sein kann, sondern nur eine Ergänzung!
Ein Antivirenprogramm (auch Virenscanner oder Virenschutz genannt, Abkürzung: AV) ist eine Software, die bekannte Computerviren, Computerwürmer und Trojanische Pferde aufspürt, blockiert und gegebenenfalls beseitigt (Quelle: Wikipedia).
Da für Mac OS X (fast) keine Viren existieren, verzichten viele Anwender auf einen Virusschutz. Dieser schadet bei permanenter Anwendung mehr, als er eigentlich nützen soll. So verbraucht beispielsweise das Programm NortonAntiVirus ca. 40-50% der Systemleistung.
Trotzdem sollte einmal oder zweimal im Monat der Mac mit Hilfe eines Virenschutzprogramms durchgecheckt werden. Gründe dafür sind einfach zu nennen: Oft muss man Windows-Dateien am Mac bearbeiten bzw. weiterschicken. Sind diese Dateien mit einem Viren versehen, verschickt der ahnungslose Anwender den Virus einfach weiter. Macs haben da keine Probleme, allerdings aber Windows-PCs.
ClamXav ist kostenlos und ist mit 20MB eher einfach aufgebaut. Das Programm bietet aber keinen Echtzeitschutz; d.h. ClamXav kann nur dann Viren finden, wenn der Anwender die Suche startet.
Querlinks:
Switcher-Hilfe: Firewall unter OS X
Switcher-Hilfe: Viren unter OS X
Links:
Typen von Antivirenprogrammen: Echtschutz & Manueller Scanner
aptgetupdate.de: Mac OS X 10.5 Firewall (Sicherheitslücken und Probleme?)
Der/Die Schlüsselbund/Schlüsselbundverwaltung ist eines der zentralen Programme in Bezug auf die Sicherheit von Mac OS X. Jeder Benutzer bekommt seinen eigenen Schlüsselbund angelegt, darin werden neben dem Login-Passwort auch jegliche anderen Passwörter (z.B. von Mail), Zugangsdaten oder Zertifikate abgelegt.
Der Schlüsselbund selbst lässt sich auch noch einmal separat sichern. Er ist unter Mac OS X Tiger/Leopard unter Programme => Dienstprogramme => Schlüsselbundverwaltung zu finden (Quelle: Apfelwiki).
Ist der Schlüsselbund erstmal geöffnet, aktivieren wir die Option "Status in der Menüleiste anzeigen".Somit sehen wir, ob der Schlüsselbund geschützt oder offen ist. Unter "Erste Hilfe" kann man weitere Maßnahmen ergreifen. Wichtig ist die Option "Bearbeiten => Einstellungen für Schlüsselbund-Anmeldungen ändern". Es ist nämlich standardmäßig aktiviert, dass der Schlüsselbund, während man angemeldet ist, nicht geschlossen wird, trotz Inaktivität. Stellt man beispielsweise 5 Minuten ein, wird man von manchen Programmen zunächst gefragt, ob sie ausgeführt werden oder auf bestimmte Schlüssel zugreifen dürfen, falls man den Schlüsselbund längere Zeit nicht verwendet hat.
Es kann opportun sein, einzelne Keys permanent offen zu halten (z.B. die Identifikation für WLAN-Netze, da man ansonsten aufgrund des Absperren des Schlüsselbundes den Kontakt zur Basisstation verliert). Zu diesem Zweck kann man sich einen zweiten Schlüsselbund anlegen, diesen mit »immer offen« (o.ä.) benennen und dort gezielt die Schlüssel hinterlegen, die man nicht permanent weggesperrt haben möchte.
Bluetooth /ˈbluːtuːθ/ ist ein in den 1990er Jahren ursprünglich von Ericsson entwickelter Industriestandard gemäß IEEE 802.15.1 für die Funkvernetzung von Geräten über kurze Distanz (WPAN). Bluetooth bildet dabei die Schnittstelle, über die sowohl mobile Kleingeräte wie Mobiltelefone und PDAs als auch Computer und Peripheriegeräte miteinander kommunizieren können. Hauptzweck von Bluetooth ist das Ersetzen von Kabelverbindungen zwischen Geräten (Quelle: Wikipedia).
Unter Systemeinstellungen => Bluetooth kann man unter Einstellungen Bluetooth deaktivieren, falls man die Technik nicht verwendet. Der Status von Bluetooth (Aktiviert, Deaktiviert) lässt sich auch in der Menüleiste anzeigen.
Unter Geräte kann man die derzeitig verfügbaren/sichtbaren Geräte sehen. Die Option funktioniert nur, wenn Bluetooth auf dem Mac aktiviert ist. Unter Sharing sollte man die Dateiübertragung aussschalten und verschlüsseln; indem man das Häckchen bei "Ein" heraus nimmt und eines beim Schlüssel setzt. Alle anderen Häkchen sollten entfernt werden oder nur die Verschlüsselung aktiviert sein.
Als Ordner sollte ein Unterordner mit beschränkten Rechten ausgewählt werden, wie z.B. der "Öffentlich"-Ordner. Durch das Symbol in der Menüleiste lässt sich bei einer nötigen Benutzung von Bluetooth alles schnell wieder aktivieren und nutzen.
Dieser Helper beinhaltet zwar einige Sicherheitsaspekte, die beim Umsetzen einige Sicherheitsprobleme löst, doch das Internet ist groß und bietet somit viele weitere Anleitungen an. Dadurch lassen sich auch viel mehr Einstellungen und Programme finden, die wiederum die Sicherheit steigern. Das Thema der Sicherheit ist sehr umfangreich und kann deshalb nicht in einen einzelnen Thread umfassend dargestellt werden.
Querlinks:
[OS X] Tutorial: System-Sicherheit erhöhen
Mac OS X und Sicherheit (Viren, Malware etc.)
Sicherheitsworkshop Teil 1 - Bastille OS X
Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2008)
Sicherheits GAU: Der Spion, der mit der Kälte kam.
[OS X] Verschlüsselte Images erstellen
Ein großes Dankeschön geht an Cyrics und seinen Beitrag, der mir als Basis diente!
Links:
MacMark-Sicherheitslexikon (Dankesagungen gehen an MacMark!)
10 × Mac OS X «Leopard»-Sicherheit für Anfänger
8 × Tipps für das sichere Einrichten von FileVault
10 × Schwächen von FileVault
Absicherung des WLAN-System unter OS X
NSA: Dokumente zur Sicherheitsfragen
NSA: "Operating Systems"-Sektion
Apple Mac OS X: Dokumente rund um die Sicherheit
Genau aus diesen Grund sollte man seinen Mac in Sachen Sicherheit aufrüsten. Denn eins steht fest: Kein System der Welt ist heute vor Trojanern, Viren und sonstigen Schädlingen vollständig geschützt - auch Mac OS X nicht.
Dieser Helper-Beitrag beinhaltet einige Möglichkeiten, die Sicherheit am Mac zu erhöhen. Unabhängig davon sollte man jedoch immer die Augen offen halten im Internet und im Umgang mit Dateien, deren Absender man nicht kennt. Auch bei der Durchführung aller relevanten Möglichkeiten zur Aufwertung der Sicherheit ist immer noch ein kleiner Prozentsatz vorhanden, sich einen Schädling aus dem Internet bzw. aus fremder Quelle zu holen.
Wie immer steht mein PN-Postfach offen für Feedback, Verbesserungen oder Ergänzungen. Ebenso steht ein Thread im Bereich Apfeltalk Intern bereit für euer Feedback (Klick mich!).
Unbedingt installieren: Aktualisierungen sind Pflicht
Wie bereits gesagt ist auch Mac OS X nicht vollkommen gesichert. Um die Sicherheitslücken, Bugs und sonstigen Probleme aus der Welt zu schaffen, veröffentlicht Apple in unregelmäßigen Abständen so genannte Updates. Diese beheben Bugs und Sicherheitslücken im Betriebssystem und den Apple-Zusatzprogrammen und bieten des öfteren auch neue Funktionen an. Apple bietet diese Aktualisierungen auch für Windows an. iTunes, QuickTime und Safari können somit auch unter Windows bequem aktualisiert werden.
Das Aktualisierungsprogramm für Windows hält nur Apple-Software aktuell
Um Apple-Software automatisch zu aktualisieren, muss man in die Systemeinstellungen und dann auf Software-Aktualisierung gehen. Hier muss ein Häkchen bei "Nach Updates suchen" und die Suche auf "Täglich" einstellen. Damit bleibt die Software von Apple stets auf dem aktuellsten Stand. Eine manuelle Suche nach Updates ist auch möglich: Zuerst muss auf das Apfel-Icon (oben links in der Ecke) geklickt werden, danach auf "Software-Aktualisierung". Mac OS X sucht nun automatisch nach den neusten Update.
Doch nicht nur Apple veröffentlicht Updates. Zu jedem auf OSX laufenden Programm wird bei Bekanntgabe einer Sicherheitslücke oder gravierender Bugs eine neue Version veröffentlicht. Ist das aktualisierte Programm dann installiert, ist bis zur nächsten Bekanntgabe eines Problems prinzipiell die Sicherheit gewährleistet. Oft liegt es allerdings nicht nur am Betriebssystem, sondern an zusätzlichen Programmen oder Tools, die erst die Löcher ins System reissen. Gründe dafür sind schlechte Programmierung, gewollte Spyware oder einfach ein Bug.
Statt mühsam alle Webseiten der installierten Programme aufzusuchen, bieten sich Widgets (bzw. Programme) an, die automatisch alle verfügbaren Updates auf dem Mac anzeigen. AppFresh und AppUpdate sind die zwei bekanntesten Programme zur oben genannten Thematik.
Selten kann aber gerade durch ein Update ein Sicherheitsproblem entstehen. Doch generell gilt: Sobald eine Aktualisierung eines beliebigen Programms erschienen ist, sollte das Programm schnellstmöglich auf den aktuellsten Stand gebracht werden.
Links:
Apple: Download von Updates
Apple Support: Software aktualisieren
AppFresh & AppUpdate
Passwort - Ohne das Zauberwort bist du machtlos
Beim Installieren von systemabhängiger Software, wie beispielsweise einem Systemupdate, verlangt das Betriebssystem von Apple das Passwort. Normalerweise ist diese Option oft abgeschaltet. Um den Zugriff auf nicht gewollte Installierungen zu erschweren, muss die Funktion wieder eingeschaltet werden. Am einfachsten geht das über die Systemeinstellungen (Programme => Systemeinstellungen => Benutzer). Ab sofort verlangt Mac OS X bei jeder Installierung ein Admin-Kennwort.
Unter dem Punkt Sicherheit in den Systemeinstellungen lassen sich auch andere Sicherheitsaspekte einstellen. So kann das Kennwort verlangt werden beim Beenden des Ruhezustandes oder des Bildschirmschoners. Oder das allgemeine automatische Anmelden wird deaktiviert.
Wie sieht das perfekte Passwort aus? Schwierig zu sagen. Es sollte so schwer sein, dass man selbst schon Probleme hat, es sich zu merken. Als guter alter Tipp wird immer wieder einmal geraten, dass man Passwörter auch ruhig auf einen Zettel schreiben kann und sich an den Computer kleben kann, sofern man seinen Mitbewohnern vertraut. In Firmennetzen und anderen öffentlichen Orten sollte man dies bitte absolut unterlassen! Einige Tipps und Tricks für möglichst sichere Passwörter:
* Gross- und Kleinschreibung
* zusätzliche Zahlen-Kombinationen
* Sonderzeichen-Verwendungen
* Satz-Konstellationen
* mehr als 12 Zeichen (am besten mehr als 20 Zeichen)
* Passwort vom Passwort-Assistenten erstellen lassen
Durch die breite Meinung, dass Unix-Systeme viel Sicherheit bieten, ist der Aspekt eines sicheren Passwort leicht verloren gegangen. Beispiele für gute Passwort:
* :wI4!l0Ve&4pFe/!4lK
* ez41Eac61&5!"^sd9:
* zwr12$%"w!§4t%)=
Ich Admin-Account - Du eingeschränkter Benutzer-Account
Sollen mehrere Anwender den gleichen Mac benutzen, ist es ratsam, mehrere Benutzer-Accounts einzurichten. Günstig wäre in einem solchen Falle folgende Konstellation anstreben: Einen Verwalter- und einen Benutzer-Account.
* Der Verwalter: dieser ist zur Verwaltung des Rechners befähigt.
* Der Benutzer: darf Anwendungen etc. ausführen und hat nur beschränkte Rechte in der globalen Datenstruktur.
Das Betriebssystem Mac OS X hat sogar die Rechte des Administrators eingeschränkt: Der aus Unix bekannte Root-User ist auch in OS X implementiert. Somit kann der Admin nicht ohne Tricks Dateien im Systemordner verändern, verschieben oder gar löschen.
Um einen neuen Account zu erstellen, muss in der Benutzerverwaltung (Systemeinstellungen => Benutzer) auf das kleine "+" geklickt werden. Darin lassen sich allgemeine Einstellungen, wie Name, Kennwort und die zugehörige Merkhilfe, für den neuen Benutzer, anlegen. Der Kurzname sollte kurz, bündig und nicht so leicht zu erraten sein.
Ist der Account erst einmal angelegt, darf der Punkt "Der Benutzer darf diesen Computer verwalten" nicht aktiviert werden, da sonst der Account über Admin-Rechte verfügt. Der Tab "Einschränkungen" verfeinert die Rechte. Dabei werden verschiedene Arten des Benutzer-Accounts unterschieden: Ein Hauptbenutzer besitzt ähnliche Rechte wie ein Admin. Er kann also Programme installieren und ausführen. Ein Benutzer mit "bestimmten Beschränkungen" besitzt, wie bereits der Name schon sagt, nur bestimmte Rechte.
Mit den darauf folgenden Einstellungen lässt sich beispielsweise der Zugriff bestimmter Programme bearbeiten. So kann der Admin dem eingeschränkte Benutzer bestimmte Programme zuweisen, die er öffnen darf und ihm das Recht beschneiden, selbst Installationen vorzunehmen oder andere als die ihm zugewiesene Programme zu nutzen. Des weiteren lassen sich in den Systemeinstellungen die Nutzung von CDs und DVDs sowie des Docks blockieren, sodass der Benutzer keinerlei Veränderungen vornehmen kann.
Netzwerkdienste - Was brauche ich; was brauche ich nicht?
Wenn es um die Übertragung von Dateien von einem Mac auf einem Windows-PC oder die gemeinsame Benutzung eines Druckers geht, fällt der Begriff Netzwerkdienste schnell. Unter dem Menüpunkt Sharing in den Systemeinstellungen (Systemeinstellungen => Sharing) finden sich dazu einige Einstellungen und auch verschiedene Netzwerkdienste. Natürlich sollte man lediglich Netzwerkdienste aktivieren, die man auch wirklich nutzen möchte. Unnötige aktivierte Dienste könnten unter Umständen neue Sicherheitsprobleme auslösen.
Doch welche Dienste verstecken sich hinter den Begriffen? Hier eine ausführliche Liste:
Personal-File Sharing: (Apple Filing Protocol); braucht man natürlich auch nur, wenn man weitere Macs im Netzwerk hat, denen man Freigaben per AFP ermöglicht.
Windows Sharing: Samba oder Common Internet File System (kurz CIFS). Diesen Dienst braucht man auch nur, wenn die Freigaben per SMB genutzt werden und wenn auch Windows-Rechner im Netz sind, die diese Freigaben nutzen können. Zusätzlichen lassen sich auch Accounts für SMB einschränken.
Personal Web Sharing: HTTP und der Dienst ist Apache HTTP Server. Diesen Dienst braucht man nur, um seine eigene Homepage im Netzwerk online zu stellen. Weiterhin kann durch Router-Einstellungen der Dienst so genutzt werden, dass Zugriffe von außen auch auf die private Homepage möglich sind. Es empfiehlt sich jedoch ein Werkzeug namens MAMP zu installieren und zu nutzen. Durch ein kleines Widget ist so der HTTP und MySQL-Server schnell ein- und aus-zuschalten. HTTP-Server wimmeln durch installierte Plugins oftmals nur so von möglichen Schwachstellen.
FTP-Zugriff: sollte man prinzipiell deaktivieren! Für privat genutzte Macs empfielt sich die Benutzung des Dienstes tntftpd.
Apple Remote Desktop: (kurz ARD). Ist dieser Dienst aktiviert, öffnet man den ARD-Server. Nun kann mit Programmen wie VNC, SSH etc. auf den Mac zugegriffen werden. Es lässt sich einiges bei den Zugriffsrechten einschränken. Prinzipiell sollte dieser Dienst deaktiviert sein, aber in Notfällen, in denen man Hilfe von außen braucht, ist es manchmal auch sehr hilfreich.
Entfernte Apple Events: EPPC. Hier kann man als Airport Extreme Server z.B. agieren. Dabei reagiert man auf ausgesendete Signale von anderen Macs. Hiervon ist eigentlich erstmal Abstand zu nehmen.
Printer Sharing: es nutzt CUPS und dies bedeutet, dass man einen angeschlossenen Drucker auch innerhalb des Netzwerkes freigeben kann, ohne Windows-Sharing aktiviert zu haben.
Sind alle Dienste abgeschaltet, die man nicht braucht, wechselt man zum Programm "Verzeichnisdienste" (Programme => Dienstprogramme => Verzeichnisdienste) und deaktiviert auch dort die nicht benötigte Programme.
Welche Funktionen verstecken sich unter den Begriffen? Hier eine kleine Liste:
Acitive Directory (Windows Domain Sharing)
AppleTalk (Apple Netzwerk-Protokoll)
Bonjour (Netzwerkkommunikation)
LDAP (LDAP einfach)
Lokale BSD und NIS (Unix Network Serice)
NetInfo (Apples Verzeichnis und Authentifizierungs-Dienst)
SLP (Druck und Datei-Server-Austausch)
SMB (Windows Workgroup und Sharing)
AntiVirus + Firewall - Sinnvoll oder Sinnfrei?
AppleTalk (Apple Netzwerk-Protokoll)
Bonjour (Netzwerkkommunikation)
LDAP (LDAP einfach)
Lokale BSD und NIS (Unix Network Serice)
NetInfo (Apples Verzeichnis und Authentifizierungs-Dienst)
SLP (Druck und Datei-Server-Austausch)
SMB (Windows Workgroup und Sharing)
AntiVirus + Firewall - Sinnvoll oder Sinnfrei?
Eine externe (Netzwerk- oder Hardware-) Firewall (von engl. firewall [ˈfaɪəwɔːl] „die Brandmauer“; auch ein Firewall) stellt eine kontrollierte Verbindung zwischen zwei Netzen her. Das könnten z. B. ein privates Netz (LAN) und das Internet (WAN) sein; möglich ist aber auch eine Verbindung unterschiedlicher Netzwerksegmente ein und desselben Netzwerks. Die Firewall überwacht den durch sie hindurch laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden, oder nicht. Auf diese Weise versucht die Firewall das private Netzwerk bzw. das Netzsegment vor unerlaubten Zugriffen zu schützen (Quelle: Wikipedia).
Für Windows ist eine Firewall fast unersetzlich. Mac OS X braucht grundsätzlich keine, besitzt aber eine integrierte Firewall. Einstellungen findet man dazu unter Systemeinstellungen => Sharing => Firewall
Zwar ist die integrierte Firewall von den Funktionen her eher schlicht und einfach gehalten, trotzdem lässt sich die interne Firewall einwandfrei einstellen: Man kann eigene Firewall-Regeln unter den Einstellungen aufstellen - der Knopf "Neu" legt das nahe. Neben ein paar von Apple vorkonfigurierten Diensteinstellungen kann man dort auch eigene Regeln hinterlegen.
Die OS X Firewall schottet nur gegen Zugriffe von außen auf den Rechner ab. Je nachdem ob der Rechner direkt per PPPoE/Modem/WLAN-Hotspot mit dem Internet verbunden ist eben gegen Zugriffe aus dem Internet oder in einem internen Netz (hinter einem Router) gegen die Rechner des internen Netzes.
Little Snitch 2 dagegen stellt Regeln auf, die den Netzwerkverkehr vom eigenen Mac nach draussen reglementieren. Auf diese Weise kann bestimmten Programmen der Zugriff auf das Internet sehr gezielt beschränkt (auf einzelne Ports, bestimmte Server oder Adressbereiche) oder ganz untersagt werden. Die Funktionsweise ist also der OS X Firewall genau entgegengesetzt, weshalb LittleSnitch niemals ein Ersatz für die OS X Firewall sein kann, sondern nur eine Ergänzung!
Klein, funktionell und schick - Little Snitch 2
Ein Antivirenprogramm (auch Virenscanner oder Virenschutz genannt, Abkürzung: AV) ist eine Software, die bekannte Computerviren, Computerwürmer und Trojanische Pferde aufspürt, blockiert und gegebenenfalls beseitigt (Quelle: Wikipedia).
Da für Mac OS X (fast) keine Viren existieren, verzichten viele Anwender auf einen Virusschutz. Dieser schadet bei permanenter Anwendung mehr, als er eigentlich nützen soll. So verbraucht beispielsweise das Programm NortonAntiVirus ca. 40-50% der Systemleistung.
Trotzdem sollte einmal oder zweimal im Monat der Mac mit Hilfe eines Virenschutzprogramms durchgecheckt werden. Gründe dafür sind einfach zu nennen: Oft muss man Windows-Dateien am Mac bearbeiten bzw. weiterschicken. Sind diese Dateien mit einem Viren versehen, verschickt der ahnungslose Anwender den Virus einfach weiter. Macs haben da keine Probleme, allerdings aber Windows-PCs.
ClamXav ist kostenlos und ist mit 20MB eher einfach aufgebaut. Das Programm bietet aber keinen Echtzeitschutz; d.h. ClamXav kann nur dann Viren finden, wenn der Anwender die Suche startet.
Querlinks:
Switcher-Hilfe: Firewall unter OS X
Switcher-Hilfe: Viren unter OS X
Links:
Typen von Antivirenprogrammen: Echtschutz & Manueller Scanner
aptgetupdate.de: Mac OS X 10.5 Firewall (Sicherheitslücken und Probleme?)
Eine Hand voller Passwörter - Der Schlüsselbund
Der/Die Schlüsselbund/Schlüsselbundverwaltung ist eines der zentralen Programme in Bezug auf die Sicherheit von Mac OS X. Jeder Benutzer bekommt seinen eigenen Schlüsselbund angelegt, darin werden neben dem Login-Passwort auch jegliche anderen Passwörter (z.B. von Mail), Zugangsdaten oder Zertifikate abgelegt.
Der Schlüsselbund selbst lässt sich auch noch einmal separat sichern. Er ist unter Mac OS X Tiger/Leopard unter Programme => Dienstprogramme => Schlüsselbundverwaltung zu finden (Quelle: Apfelwiki).
Ist der Schlüsselbund erstmal geöffnet, aktivieren wir die Option "Status in der Menüleiste anzeigen".Somit sehen wir, ob der Schlüsselbund geschützt oder offen ist. Unter "Erste Hilfe" kann man weitere Maßnahmen ergreifen. Wichtig ist die Option "Bearbeiten => Einstellungen für Schlüsselbund-Anmeldungen ändern". Es ist nämlich standardmäßig aktiviert, dass der Schlüsselbund, während man angemeldet ist, nicht geschlossen wird, trotz Inaktivität. Stellt man beispielsweise 5 Minuten ein, wird man von manchen Programmen zunächst gefragt, ob sie ausgeführt werden oder auf bestimmte Schlüssel zugreifen dürfen, falls man den Schlüsselbund längere Zeit nicht verwendet hat.
Es kann opportun sein, einzelne Keys permanent offen zu halten (z.B. die Identifikation für WLAN-Netze, da man ansonsten aufgrund des Absperren des Schlüsselbundes den Kontakt zur Basisstation verliert). Zu diesem Zweck kann man sich einen zweiten Schlüsselbund anlegen, diesen mit »immer offen« (o.ä.) benennen und dort gezielt die Schlüssel hinterlegen, die man nicht permanent weggesperrt haben möchte.
Die blaue Technik: Bluetooth
Bluetooth /ˈbluːtuːθ/ ist ein in den 1990er Jahren ursprünglich von Ericsson entwickelter Industriestandard gemäß IEEE 802.15.1 für die Funkvernetzung von Geräten über kurze Distanz (WPAN). Bluetooth bildet dabei die Schnittstelle, über die sowohl mobile Kleingeräte wie Mobiltelefone und PDAs als auch Computer und Peripheriegeräte miteinander kommunizieren können. Hauptzweck von Bluetooth ist das Ersetzen von Kabelverbindungen zwischen Geräten (Quelle: Wikipedia).
Unter Systemeinstellungen => Bluetooth kann man unter Einstellungen Bluetooth deaktivieren, falls man die Technik nicht verwendet. Der Status von Bluetooth (Aktiviert, Deaktiviert) lässt sich auch in der Menüleiste anzeigen.
Unter Geräte kann man die derzeitig verfügbaren/sichtbaren Geräte sehen. Die Option funktioniert nur, wenn Bluetooth auf dem Mac aktiviert ist. Unter Sharing sollte man die Dateiübertragung aussschalten und verschlüsseln; indem man das Häckchen bei "Ein" heraus nimmt und eines beim Schlüssel setzt. Alle anderen Häkchen sollten entfernt werden oder nur die Verschlüsselung aktiviert sein.
Als Ordner sollte ein Unterordner mit beschränkten Rechten ausgewählt werden, wie z.B. der "Öffentlich"-Ordner. Durch das Symbol in der Menüleiste lässt sich bei einer nötigen Benutzung von Bluetooth alles schnell wieder aktivieren und nutzen.
Bleib für immer und ewig sicher!
Dieser Helper beinhaltet zwar einige Sicherheitsaspekte, die beim Umsetzen einige Sicherheitsprobleme löst, doch das Internet ist groß und bietet somit viele weitere Anleitungen an. Dadurch lassen sich auch viel mehr Einstellungen und Programme finden, die wiederum die Sicherheit steigern. Das Thema der Sicherheit ist sehr umfangreich und kann deshalb nicht in einen einzelnen Thread umfassend dargestellt werden.
Querlinks:
[OS X] Tutorial: System-Sicherheit erhöhen
Mac OS X und Sicherheit (Viren, Malware etc.)
Sicherheitsworkshop Teil 1 - Bastille OS X
Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2008)
Sicherheits GAU: Der Spion, der mit der Kälte kam.
[OS X] Verschlüsselte Images erstellen
Ein großes Dankeschön geht an Cyrics und seinen Beitrag, der mir als Basis diente!
Links:
MacMark-Sicherheitslexikon (Dankesagungen gehen an MacMark!)
10 × Mac OS X «Leopard»-Sicherheit für Anfänger
8 × Tipps für das sichere Einrichten von FileVault
10 × Schwächen von FileVault
Absicherung des WLAN-System unter OS X
NSA: Dokumente zur Sicherheitsfragen
NSA: "Operating Systems"-Sektion
Apple Mac OS X: Dokumente rund um die Sicherheit
Zuletzt bearbeitet von einem Moderator:
