Wie entferne ich vom Standard-User aus einen Admin-User?

[LosDosos]

Ich habe alle meine Passwörter notiert: es reicht ja, wenn der Hinweis dazu fehlt, wofür sie sind.

Aber davon ab, um die Diskussion abzukürzen, die an anderer Stelle schon vielfach und ausgiebig diskutiert wurde:
ich würde den Empfehlungen des Bundesamts für Sicherheit mehr Glauben schenken, als so manch selbsternanntem IT-Profi aus einem Internetforum.
Über den Sinn eines solchen Vorgehens lässt sich ausgiebig recherchieren und nachlesen, ohne dass hier alles zum 10000. Mal wiederholt werden muss.

 

[Franken]

Standard ist der Admin Account und mit jedem versionsupgrade von OS X schrumpft der vermeintliche sicherheitsvorteil des standardnutzers.

Versteh ich nicht.

 

[LosDosos]

Das geht als Admin aber auch nicht einfach so...

Das hat zb Flashback ganz gut gezeigt, eine Variante davon konnte sich übrigens installieren und die Passwortabfrage umgehen.
http://www.gizmodo.de/2012/04/05/flashback-osx-trojaner-installiert-sich-ohne-passwort.html

 

[MacEnroe]

Über den Sinn eines solchen Vorgehens lässt sich ausgiebig recherchieren und nachlesen, ohne dass hier alles zum 10000. Mal wiederholt werden muss.

Das hab ich schon mal. Dabei ist rausgekommen, dass man als Einzelnutzer genausogut
als Admin eingeloggt sein kann, auch die Zugriffe von außen sind deshalb nicht leichter.

Aber ich werd nicht wieder neu recherchieren. Kann jeder selber machen.

 

[Macs Pain]

Das hat zb Flashback ganz gut gezeigt, eine Variante davon konnte sich übrigens installieren und die Passwortabfrage umgehen.
http://www.gizmodo.de/2012/04/05/flashback-osx-trojaner-installiert-sich-ohne-passwort.html

Da steht aber nichts davon ob Admin oder normaler User, also würde es sich so oder so installieren.

 

[LosDosos]

Da steht aber nichts davon ob Admin oder normaler User, also würde es sich so oder so installieren.

Nein, das war unter Admin Accounts.

 

[Schiffversenker]

Ich habe alle meine Passwörter notiert: es reicht ja, wenn der Hinweis dazu fehlt, wofür sie sind.

Sofern sie einfach irgendwo stehen und nicht dick "Passwörter" drüber steht… sonst wäre es ja eher simpel, alle mal durchzuprobieren, nur wenige Systeme reagieren nach einigen fehlerhaften Eingaben verärgert.
Da wird's dann halt leider mit nicht-lexikalischen Passwörtern - die ja sinnvoll sind - schwierig, einen anderen Sinn vorzutäuschen. Bei einer Liste mit Marion, Annabelle, Kunigunde kann sich der Leser vielleicht denken, es seien alle deine Verflossenen, aber bei &zu/7gb, 88(/hJkl, mneDfg könnte rasch der Verdacht aufkeimen, da es um Paßwörter geht.
Aber solange man die Notiz nicht an die Haustür tackert…

 

[LosDosos]

Ich gehe ehrlich gesagt auch davon aus, dass wenn hier eingebrochen wird, der Einbrecher anderes mitnehmen wird, als eine Kiste mit alten, verschmierten Zetteln zwischen schmutzigen Socken.

Die meisten Passwörter werden in der Regel aber nicht auf diese Art und Weise gestohlen.

Und die größte Schwachstelle ist immer noch der häufig vertretene User mit seinem Passwort qwertz oder password selber..

 

[bernie313]

Versteh ich nicht.

Per default wird beim Einrichten des Macs ein Admin Account erstellt.
Der vermeintliche Vorteildes Arbeiten unter einem StandardAccount liegt darin, das man als Standardnutzer nicht in systemrelevante Bereiche schreiben kann oder schreiben lassen kann, dieses galt bis Lion, ab Mountain Lion und neuer ist dieser Vorteil sehr geschrumpft, unter einem Admin ist dieses jetzt auch nicht mehr möglich, das meinte ich mit dem Schrumpfen der Vorteile.

 

[LosDosos]

Per default wird beim Einrichten des Macs ein Admin Account erstellt.
Der vermeintliche Vorteildes Arbeiten unter einem StandardAccount liegt darin, das man als Standardnutzer nicht in systemrelevante Bereiche schreiben kann oder schreiben lassen kann, dieses galt bis Lion, ab Mountain Lion und neuer ist dieser Vorteil sehr geschrumpft, unter einem Admin ist dieses jetzt auch nicht mehr möglich, das meinte ich mit dem Schrumpfen der Vorteile.

Was soll ab Mountain Lion nicht mehr möglich sein?

OS X Mountain Lion: Administratoraccounts

Ein Administrator ist ein Benutzer, der andere Benutzer hinzufügen und verwalten, Software in den Ordnern „Programme“ und „Library“ installieren und die Einstellungen des Computers ändern kann.

http://support.apple.com/kb/PH10802?viewlocale=de_DE

 

[spaceman88]

Außerdem kann es eh sinnvoll sein, als Standarduser unterwegs zu sein und nicht als Admin.

Wenn es halt nicht so nervig wäre....von Zeit zu Zeit probier ich es immer mal wieder aus (jetzt grade erst wieder) und bisher bin ich immer wieder zurück zum Admin-Account.

 

[LosDosos]

Ich versteh sehr gut, was Du meinst.

 

[MacEnroe]

Was soll ab Mountain Lion nicht mehr möglich sein?

http://support.apple.com/kb/PH10802?viewlocale=de_DE

Natürlich ist es möglich. Gemeint ist wohl „ohne Passwort-Eingabe“ .. und die muss ich als
Admin genauso bei Installieren eines Programmes, bei Eingriffen ins System immer neu eingeben.

Deshalb passiert auch als Admin kein ungewolltes Ändern des Systems.
Ist aber auch schon unter 10.6 so

 

[LosDosos]

..
Deshalb passiert auch als Admin kein ungewolltes Ändern des Systems.

Den Link von mir hast Du nicht gelesen, oder?
Da wird nämlich erklärt, dass in der Vergangenheit sich Schadsoftware unter Admin-Accounts ohne Passwortabfrage per drive-by-download installieren und Schadcode nachladen konnte.
Das würde ich durchaus als "ungewolltes Ändern des Systems" bezeichnen.

... Gemeint ist wohl...

Ich will nicht rätseln, was wohl gemeint gewesen sein könnte, sondern lieber von bernie selber hören, was er damit genau gemeint hat.

[...]
das man als Standardnutzer nicht in systemrelevante Bereiche schreiben kann oder schreiben lassen kann, dieses galt bis Lion, []... unter einem Admin ist dieses jetzt auch nicht mehr möglich [...]

 

[MacEnroe]

Den Link von mir hast Du nicht gelesen, oder?
Da wird nämlich erklärt, dass in der Vergangenheit sich Schadsoftware unter Admin-Accounts ohne Passwortabfrage per drive-by-download installieren und Schadcode nachladen konnte.
Das würde ich durchaus als "ungewolltes Ändern des Systems" bezeichnen.

Warst du davon betroffen?

Ich habe noch nie von einem konkreten Fall gehört. Nur von „solle, hätte, könnte“ ....
genau wie auch in deinem Link.

 

[LosDosos]

Warst du davon betroffen?

Ich habe noch nie von einem konkreten Fall gehört. Nur von „solle, hätte, könnte“ ....
genau wie auch in deinem Link.

Du kannst gerne selbständig weiterrecherchieren, es gibt zahllose Quellen und Erhebungen dazu, wie viele Rechner weltweit betroffen waren.

Edit: zu dem Flashback gab es übrigens auch hier im Forum einen großen Thread mit vielen nützlichen Infos und Links.

 

[bernie313]

Ich will nicht rätseln, was wohl gemeint gewesen sein könnte, sondern lieber von bernie selber hören, was er damit genau gemeint hat.

Ich meinte dieses hier,(nur auf die Schnelle gesucht, ärgere mich immer noch, das der HSV wieder einmal von der Schippe gesprungen ist) http://www.heise.de/mac-and-i/artik...lashback-Trojaner-1525100.html?artikelseite=5
das hat sich ab Mountain Lion geändert. Übrigens hat der Install von Programmen nur bedingt mit Sicherheitsproblemen zu tun, wichtiger ist hier, das es ausgeführten Programmen nicht ermöglicht wird zum Beispiel per driveBy zu etwas installieren

 

[LosDosos]

Ja, den Artikel kenne ich, eine gute Analyse des Flashback.
Aber - da steht auch deutlich, dass das Recht durch Eingabe des Administrator-Kennwortes erlangt werden kann.

Die Hauptvariante des Flashback hat sich ja nur per Passwortabfrage installieren können.
Es gab aber kurz danach eine -weniger verbreitete- Variante, die gezeigt hat, dass dies technisch auch ohne Abfrage möglich ist.

Ich kann nur jedem empfehlen, Java im Browser zu deaktivieren und die Tips des BSI zu beherzigen.

Wenn irgendwann etwas passiert ist, ist das Gejammer und Geschimpfe groß, dabei sind das sehr einfach durchzuführende Sicherheitsvorkehrungen.

 

[bernie313]

Driveby Injektionen werden jetzt verhindert( vor Mountain Lion waren sie möglich), das böse Programme oder Skripte die eine passwortabfrage erfordern nicht verhindert werden sollte jedem klar sein, denn sonst müsste man auf jede zusätzliche Installation verzichten oder nur noch den AppStore nutzen.
Und ich gebe dir Brief und Siegel, wenn ein standardnutzer die Meldung bekommt, etwas zu installieren, zum Beispiel Flash, dann wird er, wie auch der Admin kurz nachdenken ( hier sollte man dann sowohl als standardnutzer als auch Admin Brain 2.0 oder höher anschmeißen und sich fragen, ob man es denn überhaupt will, angefordert hat, braucht oder ob es überhaupt etwas sinnvolles ist und dann zumindest die offiziellen Seiten ansteuern, im Fälle von Flash dann Adobe oder Apple und von dort laden)und dann vermutlich den install anstoßen oder anstoßen lassen, also entweder das adminpasswortes eingeben oder sich als Admin anmelden.

 

[LosDosos]

Beispielsweise so lassen sich Sicherheitsvorkehrungen umgehen.

Und selbst Apple empfiehlt auch für Mavericks:

Sie können die Sicherheit erhöhen, wenn Sie festlegen, dass die automatische Anmeldung an Ihrem Mac nicht dem Account eines Administrators erfolgt.

http://support.apple.com/kb/PH14411?viewlocale=de_DE&locale=de_DE

Usern, die sich am Mac nicht gut auskennen, Admin statt Standarduser als täglichen Gebrauch zu empfehlen, halte ich für grob fahrlässig.