Bundesamt für Sicherheit in der Informationstechnik

M 2.478 Planung des sicheren Einsatzes von Mac OS X

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Die geregelte und sichere Einführung von Mac OS X setzt eine umfangreiche Planung voraus. In dieser Maßnahme wird auf softwaretechnische Aspekte eingegangen, um eine reibungslose Projektumsetzung zu ermöglichen. Die verwendeten Hardwarekomponenten in einem Mac-System sind von Apple vorgegeben und daher überschaubar. Beim Prozessor besteht jedoch ein gravierender Unterschied zwischen den früheren und den aktuell verwendeten Mac-Systemen. Mac OS X unterstützt ab der Version Snow Leopard (10.6) keine PowerPC-Prozessoren mehr. Eine Installation von Mac OS X 10.6 auf älteren Apple-Computern ohne Intel- CPU ist nicht möglich. Wird von PowerPC-basierten Apple Computern zu Apple Computern mit Intel-Prozessor gewechselt, muss im Vorfeld geprüft werden, ob es sich um "Universal"-Anwendungen handelt, also Anwendungen, die sowohl auf PowerPC-Prozessoren als auch auf Intel-Prozessoren ausführbar sind.

Bei einem Plattformwechsel von einem anderen Betriebssystem zu Mac OS X muss ebenfalls im Vorfeld geprüft werden, ob gleiche oder gleichwertige Anwendungen für Mac OS X zur Verfügung stehen und ob diese zu bestehenden Systemen (wie einem Lotus Domino-Server oder Microsoft Exchange-Server) kompatibel sind. Dies betrifft nicht nur die Anwendungen, die direkt auf dem Client betrieben werden, sondern auch serverbasierte Anwendungen, mit bestimmten Voraussetzungen. Zum Beispiel benötigen bestimmte webbasierte Anwendungen ActiveX. ActiveX steht unter Mac OS X nicht zur Verfügung. Vorhandene Software, die nicht kompatibel zu Mac OS X ist, kann mithilfe einer Software-Virtualisierungslösung betrieben werden. Jedoch ist dies nur als Notlösung anzusehen, da zum einen höhere Ansprüche an die Hardware gestellt werden und es um ein Vielfaches komplexer ist, eine Anwendung in einer virtualisierten Umgebung zu betreiben.

Generell sollte geprüft werden, ob bestehende Software-Lizenzverträge auch Mac OS X Systeme abdecken. Falls nicht, sollte in zukünftigen Lizenzverträgen nach Möglichkeit darauf geachtet werden, dass Software gewählt wird, die auf verschiedenen Plattformen betrieben werden kann bzw. deren Lizenzverträge den Einsatz auf anderen Plattformen gestatten.

Bei der Einführung von Mac OS X Systemen muss ebenfalls geprüft werden, ob bestehende externe Hardware, wie zum Beispiel Drucker, Plotter, Kartenlesegeräte oder sonstige benötigte Geräte kompatibel zu Mac OS X sind und entsprechende Gerätetreiber zur Verfügung stehen. Ebenfalls muss geprüft werden, ob die eingesetzten Netzprotokolle von Mac OS X unterstützt werden, um eine Verbindung zwischen unterschiedlichen IT -Systemen herstellen zu können. Wird zum Beispiel das "Andrew File System"-Protokoll (AFS) als verteiltes Netz-Dateisystem verwendet, muss im Vorfeld ein geeigneter Client für Mac OS X gewählt werden.

Benutzerkonzept

Ein Benutzerkonzept legt fest, mit welchen Rechten die Benutzer bestimmte Arbeiten verrichten können. Bei der Planung des Benutzerkonzepts ist zwischen lokalen und domänenweiten Benutzerkonten zu unterscheiden. Sowohl bei lokalen als auch bei domänenweiten Benutzerkonten ist darauf zu achten, dass die Benutzerrechte möglichst restriktiv gewählt werden. So wird das mögliche Schadensmaß bei einer absichtlichen oder versehentlichen missbräuchlichen Nutzung des Benutzerkontos begrenzt. Unter Mac OS X ist für jeden Benutzer ein Konto mit Standardbenutzer-Rechten einzurichten, dass zum täglichen Arbeiten verwendet werden sollte.

Wenn die Clients unter Mac OS X in einen Verzeichnisdienst integriert werden, sollte B 5.15 Allgemeiner Verzeichnisdienst beachtet werden. Falls es sich um ein heterogenes Netz mit einem Windows-Server als Basis des Verzeichnisdienstes handelt, ist auch B 5.16 Active Directory zu beachten.

Administrationskonzept

Im Vorfeld der Einführung von Mac OS X ist ein Administrationskonzept zu erstellen, falls es noch nicht vorhanden ist. Es sind grundsätzlich zwei verschiedene Konten für die Administration vorzusehen.

Mac OS X unterscheidet zwischen Benutzer- und Administratorenkonten. Ein Benutzer, der unter einem Benutzerkonto angemeldet ist, kann keine Systemeinstellungen verändern, Applikationen in allgemein zugängliche Verzeichnisse installieren oder andere Benutzerkonten verwalten. Administratoren haben hingegen diese genannten Möglichkeiten. Soweit möglich, sollten die Administratoren für ihre Arbeit ein Konto mit den Privilegien eines Standardbenutzers verwenden. Nur wenn diese Privilegien nicht mehr ausreichend sind, sollte ein Konto mit administrativen Privilegien genutzt werden. Bei Mac OS X sind Aufgaben, die die erweiterten Rechte eines Administrators erfordern, durch das Symbol eines kleinen Vorhängeschlosses gekennzeichnet. Bei Klick auf das Schloss werden die Zugangsdaten des Administrators abgefragt, danach sind Änderungen mit administrativen Privilegien möglich. Nach der Erfüllung der Aufgaben sollte sich der Administrator durch einen weiteren Klick auf das Symbol wieder vom Konto mit administrativen Privilegien abmelden und mit dem Standardbenutzerkonto weiterarbeiten.

Als Besonderheit existiert bei Mac OS X zudem ein root-Konto, dass in der Standardeinstellung deaktiviert ist. Administratoren- und root-Konto unterscheiden sich dahingehend, dass ein Administratorkonto keine Berechtigung besitzt, um Informationen aus wichtigen Systemordnern zu löschen. Somit kann ein Administrator zwar viele Änderungen am System vornehmen, aber nicht das gesamte Betriebssystem komplett unbrauchbar machen.

Es ist jedoch möglich, mit einem Administratorenkonto das root-Konto zu aktivieren und zu nutzen. Die Deaktivierung des root-Kontos stellt also nur einen unvollständigen Schutz gegen das unbeabsichtigte Löschen von Systemdateien dar.

Protokollierungskonzept

Um Angriffe oder Unregelmäßigkeiten erkennen zu können, sollten die Protokollierungsmöglichkeiten des einzelnen Systems aktiviert und benutzt werden. Die Maßnahmen M 4.106 Aktivieren der Systemprotokollierung und M 4.25 Einsatz der Protokollierung im Unix-System sind ebenfalls für Mac OS X zutreffend, da es auf Unix basiert. Um sinnvoll zu protokollieren, sollte im Vorfeld überlegt werden, welche Programme auf dem Client unter Mac OS X eine bedeutende Rolle einnehmen. Allen geschäftskritischen Anwendungen sollte ein möglichst hohes Log-Level zugeordnet werden, dadurch können insbesondere alle (Warn-)Meldungen protokolliert werden. In einem Störfall stehen dann genug Informationen zur Fehlerbeseitigung zur Verfügung. Wird ein Client zum Beispiel hauptsächlich zum Versenden von E-Mail-Nachrichten verwendet, sollten jegliche Hinweise bezüglich des E-Mail-Programms an eine zentrale Stelle weitergeleitet und ausgewertet werden.

Datenablage, Datensicherung und Verschlüsselung

Es ist festzulegen, wo die Benutzerdaten gespeichert werden (siehe M 2.138 Strukturierte Datenhaltung ). Werden alle relevanten Daten auf Servern gespeichert, so kann auf Verschlüsselung der lokalen Festplatten des Client-Rechners verzichtet werden. Dadurch ist es auch möglich, Datensicherungen zentral durchzuführen, so dass auch auf lokale Datensicherungen verzichtet werden kann. Werden alle relevanten Daten auf Servern gespeichert, so kann auf Verschlüsselung der lokalen Festplatten des Client-Rechners verzichtet werden. Dadurch ist es außerdem auch möglich, Datensicherungen zentral durchzuführen, so dass auch auf lokale Datensicherungen verzichtet werden kann. Dieses Vorgehen ist jedoch stark von den lokalen Gegebenheiten abhängig. Wird zum Beispiel auf einem Client spezielle Software eingesetzt, die nach einem Defekt nur mit hohem Arbeitsaufwand wieder in Betrieb genommen werden kann, sollte eine Datensicherung des Clients in regelmäßigen Zyklen erfolgen. Weitere Informationen zum Thema Datensicherung finden sich in den Maßnahmen M 6.146 Datensicherung und Wiederherstellung von Mac OS X Clients und M 6.32 Regelmäßige Datensicherung sowie dem Baustein B 1.4 Datensicherungskonzept .

Werden mobile Computer eingesetzt, so ist zumindest eine temporäre lokale Datenhaltung erforderlich. Somit sollte die clientseitige Datenablage und ihr (kryptographischer) Schutz geplant werden (siehe M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme ). Ist eine Verschlüsselung des Benutzerverzeichnisses ausreichend, kann FileVault (siehe M 4.372 Einsatz von FileVault unter Mac OS X ) verwendet werden. Werden sicherheitsrelevante Daten außerhalb des Benutzerlaufwerks abgelegt, sollten diese ebenfalls verschlüsselt werden. Weitere Informationen, wie Daten sicher abzulegen oder zu transportieren sind, sind in M 4.379 Sichere Datenhaltung und sicherer Transport unter Mac OS X zu finden. Bei höherem Schutzbedarf ist der hierdurch erreichte Schutz im Allgemeinen nicht ausreichend, so dass hier zusätzliche Sicherheitsapplikationen eingesetzt werden müssen, beispielsweise ein Verschlüsselungsprogramm, das die gesamte Festplatte des Clients verschlüsseln kann.

Prüffragen:

  • Ist sichergestellt, dass Administratoren für alle nicht-administrativen Arbeiten ein Konto mit unprivilegierten Rechten benutzen?

  • Gibt es ein Benutzer- und Administrationskonzept unter Mac OS X?

  • Gibt es ein Protokollierungskonzept für Mac OS X genutzt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK