Für die Universalsteuerung, am fremden iMac anmelden, wie sicher sind meine Daten?

Mia1006

Mitglied
Thread Starter
Dabei seit
28.12.2015
Beiträge
71
Punkte Reaktionen
1
Moin,

durch die Universalsteuerung (Beta) ist es möglich mit dem MacBook auf einen weiteren Bildschirm zuzugreifen.
Wir haben einige iMac´s in der Firma rumstehen und mir fehlt beim MacBook ein Bildschirm. Zuhause ist das kein Thema.
In der Firma melden sich an den iMac´s sehr viele Leute an (Azubis, Praktikanten usw.)

Für die Synchronisation müsste ich mich mit meinen Benutzer (gleichen wie am dem MacBook) anmelden.
Meine Arbeitsdateien habe ich in der Cloud. diese werden Regelmäßig auf MacBook/ iMac als Sicherung kopiert und später mit TimeMachine gesichert.

Wenn ich mich am Firmen iMac wieder abmelde, wie sicher sind meine Daten die dort geladen wurden, kann da jemand darauf zugreifen? Eventuell Hauptbenutzer?
Nur so am Rande, eine richtige IT-Abteilung haben wir nicht. Jeder meldet sich mit seinen privaten Benutzer an. Daten die geteilt werden sollen laufen über Mail oder MS SharePoint im Firmen Office-Konto.

VG Mia
 

Johanna K

Mitglied
Dabei seit
28.10.2009
Beiträge
891
Punkte Reaktionen
521
Wenn ich mich am Firmen iMac wieder abmelde, wie sicher sind meine Daten die dort geladen wurden, kann da jemand darauf zugreifen?
Alle Benutzer, die Administratorrechte haben ("Darf diesen Computer verwalten") kommen problemlos an deine Daten ran.
Die übrigen Benutzer können dies nur, wenn die Dateirechte falsch gesetzt sind.

Jeder, der das Time-Machine-Backup in die Finger bekommt, kann alle Daten davon lesen. (Oder ist das mittlerweile verschlüsselt? Ich nutze noch High Sierra, da ist TM nicht verschlüsselt.)
 

MiketheBird

Aktives Mitglied
Dabei seit
07.02.2021
Beiträge
1.597
Punkte Reaktionen
1.189
Wenn ihr die Firmendaten eh schon in alle Welt hinaus blast und wahrscheinlich alle sensiblen Kundendaten auch schon über diverse WhatsApp Synchronisationen jedem auf der Welt bekannt sind - also kurz ihr alle üblichen Vorkehrungen zum Datenschutz sowieso schon mit allen Füßen tretet - weswegen machst du dir da noch über so kleine Dinge Gedanken?
 

bruderlos

Mitglied
Dabei seit
04.12.2005
Beiträge
903
Punkte Reaktionen
339
Die übrigen Benutzer können dies nur, wenn die Dateirechte falsch gesetzt sind.

Hierzu gab es neulich ein interessantes Thema. Standardmässig landen neue Benutzer in der Gruppe Staff. Was dazu führt, dass +x gesetzt ist. Dies bedeutet, dass User in /User/Benutzer wechseln können. Auch angelegte Dateien sind dann von staff lesbar, obwohl sie im /User/ Ordner des jeweiligen Benutzers ist.

https://www.macuser.de/threads/benutzerrechte-im-home-verzeichnis.895885/#post-11429967

Lesenswert hierzu https://support.apple.com/de-de/HT201684

der Standardumask bei Mac OS ist 022

Sprich: legst du auf einem M1 zum Beispiel einen neuen Standard User an, landet diese in Staff und andere User können problemlos angelegte Dateien lesen

Hier zB. die Berechtigung eine Datei, die ich von einem anderen neu angelegten User erstellt habe.

-rw-r--r-- 1 xyzf staff 6B 28 Apr 14:24 neu.txt
 

Johanna K

Mitglied
Dabei seit
28.10.2009
Beiträge
891
Punkte Reaktionen
521
Das war bei dem alten bis Snow Leopard ausgelieferten FileVault I, das ich wegen einiger Schwächen nicht gerne mochte, deutlich besser. War da ein Benutzer nicht angemeldet, konnte kein anderer Benutzer, auch nicht root, an dessen Daten ran, so er denn nicht auch dessen Passwort kennte.

Das von @bruderlos beschriebene Problem kann man lösen durch
Code:
chmod 700 ~
Dann kommen "Betriebsfremde" nicht mehr an die Daten unterhalb des Home-Verzeichnisses ran. Administratoren, d. h. diejenigen, die den Compi verwalten dürfen, schaffen das über sudo aber trotzdem.

Ich dachte, 700 sei das Standardrecht für neue Benutzerverzeichnisse. Bei mir ist das bei einigen Benutzern der Fall, aber die sind auch unter verschiedensten Betriebssystemversionen angelegt worden. Stattdessen ist 700 das Recht für die Standardordner eine Ebene tiefer (Documents, Pictutres, etc), aber wer sich nicht an Apples Standard hält, gibt die Verzeichnisse unfreiwillig zum Lesen frei.

umask auf 077 o. Ä. setzen, womit das Problem auch gelöst wäre, kann ich nicht empfehlen, da man dann sich einigen Ärger einhandelt, z. B. dass neu installierte Software für andere nicht nutzbar ist. Also besser chmod 700 auf das Home, hilft halt nicht gegen Admins und schützt auch Backups nicht gegen Lesezugriffe.
 
Oben Unten