Bundesamt für Sicherheit in der Informationstechnik

M 4.371 Konfiguration von Mac OS X Clients

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Nach der Installation von Mac OS X auf den Clients erfolgt deren Konfiguration. Die jeweils vorzunehmenden Einstellungen hängen wesentlich vom Verwendungszweck ab. In dieser Maßnahme wird auf die sichere Client-Konfiguration eingegangen.

Folgende Punkte sind für die sichere Grundkonfiguration eines Mac OS X Systems zu beachten:

Aktualisierung des Betriebssystems

Grundsätzlich sollte ein Betriebssystem nach der Installation sofort aktualisiert werden, um bekannte Fehler in Softwarekomponenten zu beheben. Weiterhin sollte regelmäßig überprüft werden, ob Programmaktualisierungen vorliegen. Unter Mac OS X kann dies in den Systemsteinstellungen unter "Softwareaktualisierung" konfiguriert werden.

Um den Update-Server swupdate.apple.com zu verwenden, kann folgender Kommandozeilen-Befehl genutzt werden:

sudo defaults write /Library/Preferences/com.apple.SoftwareUpdate CatalogURL http://swupdate.apple.com:8088/index-leopard-snowleopard.merged-1.sucatalog

Um das Betriebssystem per Kommandozeilen-Befehl zu aktualisieren, kann im Terminal der Befehl "softwareupdate --download --all --install" ausgeführt werden. Zur Installation von Updates werden zwingend Administratorrechte benötigt. Existiert ein interner Update-Server im lokalen Netz, sollte dieser benutzt werden.

Internen Apple-Update-Server festlegen

Um das Betriebssystem Mac OS X auf dem neuesten Stand zu halten, kann die integrierte Update-Funktion benutzt werden. Es empfiehlt sich, einen eigenen internen Update-Server zu nutzen. Damit können interne Netzverbindungen genutzt und höhere Transferraten erreicht werden. Es ist weniger Datenaustausch mit dem Internet nötig und die Updates müssen nur einmal auf Viren oder Veränderungen geprüft werden. Ein weiterer Grund für einen internen Update-Server ist, dass eine hinreichende Kompatibilitätsprüfung zwischen Update und bestehenden Softwarekomponenten durchgeführt werden kann, bevor ein Update im gesamten Netz verteilt wird.

Den Gültigkeitszeitraum des sudo-Befehls herabsetzen

Wurde der sudo-Befehl genutzt, um ein Programm mit root-Privilegien auszuführen und das entsprechende Passwort eingegeben, so bleibt das Passwort fünf Minuten gespeichert. Selbst wenn der Konsolen-Prozess geschlossen und ein neues Konsolenfenster geöffnet wird, erscheint keine erneute Aufforderung zur Passworteingabe und jegliche Programme können mit root-Privilegien ausgeführt werden. Daher sollte die Datei /etc/sudours wie folgt geändert werden:

Defaults timestamp_timeout=0

Defaults tty_tickets

Damit wird erreicht, dass nur ein Befehl mit root-Privilegien pro Authentisierung ausgeführt werden kann und die Authentisierungsinformationen an den jeweiligen Terminalprozess gebunden sind, in dem die Authentisierung stattgefunden hat.

Liste der zuletzt verwendeten Objekte reduzieren

Mac OS X speichert eine Liste der zuletzt verwendeten Anwendungen, Dokumente und Serververbindungen. In erster Linie erleichtern diese Informationen das Arbeiten, jedoch sind damit auch Rückschlüsse auf vertrauliche Informationen möglich, wie zum Beispiel mit welchen Dokumenten kürzlich gearbeitet wurde oder die Adressen der zuletzt benutzten Server. Um diese Informationen auf ein Minimum zu beschränken, kann in den Systemeinstellungen unter Erscheinungsbild die Einstellung "Benutzte Objekte merken" auf "Keine" geändert werden. Alternativ kann dies per Kommandozeilen-Befehl erfolgen:

defaults write com.apple.recentitems Applications -dict MaxAmount 0

Automatisches Öffnen "sicherer Dateien" in Safari deaktivieren

Der mitgelieferte Browser Safari von Apple bietet die Möglichkeit, Dateien direkt nach einem Download mit dem damit verknüpften Programm zu öffnen. Diese Einstellung ermöglicht es auch, Dateien automatisch und ohne Nachfrage auszuführen, die Schadcode enthalten könnten. Wird zum Beispiel aus einer unsicheren Quelle, wie einer manipulierten Webseite im Internet, eine präparierte PDF-Datei heruntergeladen und automatisch geöffnet, könnte angehängter Schadcode ausgeführt werden, was zu Datenverlusten oder anderen Problemen führen kann. Um das automatische Öffnen zu deaktivieren, muss in den Safari-Einstellungen unter "Allgemein" der Punkt "Sichere Dateien nach dem Laden öffnen" deaktiviert werden.

Installation eines Viren-Schutzprogramms

Auf jedem Mac OS X Client muss ein Viren-Schutzprogramm installiert sein. Dabei muss darauf geachtet werden, dass dessen Signaturen regelmäßig aktualisiert werden. Das Viren-Schutzprogramm sollte im Hintergrund laufen und mindestens beim Zugriff auf eine Datei eine Virenüberprüfung durchführen. Weitere Informationen sind in der Maßnahme M 4.3 Einsatz von Viren-Schutzprogrammen zu finden. Dabei sollte beachtet werden, dass das Viren-Schutzprogramm auch Schadsoftware für Windows-Systeme erkennt, damit gefahrlos mit Windows-Systemen kommuniziert werden kann.

Datensicherung

Um bei einem Störfall möglichst wenige Informationen zu verlieren und schnell normal weiterarbeiten zu können, sollte eine regelmäßige Datensicherung durchgeführt werden. Ausführliche Informationen sind in der Maßnahme M 6.146 Datensicherung und Wiederherstellung von Mac OS X Clients finden.

Zeitzone und Zeitsynchronisation anpassen

Auf jedem IT-System sollten Uhrzeit und Datum korrekt eingestellt sein. Ist der Zeitunterschied zwischen zwei IT -Systemen zu groß, können Fehler beim Authentisieren eintreten. Zum Beispiel erfordert das Kerberos-Protokoll eine korrekte Uhrzeit und Datum. In den Systemeinstellungen unter "Datum und Uhrzeit" können die aktuell eingestellte Uhrzeit und das Datum eingesehen und geändert werden. Es wird empfohlen, einen eigenen, vorzugsweise internen Zeitserver zu verwenden. Besteht diese Möglichkeit nicht, kann ein externer Zeitserver verwendet werden, zum Beispiel der Zeitserver ptbtime1.ptb.de der Physikalisch-Technischen Bundesanstalt (PTB) in Braunschweig (siehe M 4.227 Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation ).

Sicheres Entleeren des Papierkorbes aktivieren

Um zu verhindern, dass gelöscht geglaubte Dateien aus dem Papierkorb unter Mac OS X wiederhergestellt werden können, sollte der Papierkorb regelmäßig entleert werden. Mac OS X bietet zudem die Einstellung "Sicheres Entleeren" an, bei der das Betriebssystem die Dateien nach dem Entleeren des Papierkorbs mit einem Bitmuster überschreibt. Um diese Einstellung zu aktivieren, muss der Finder geöffnet und im Abschnitt "Erweitert" der Haken bei "Papierkorb sicher entleeren" gesetzt werden.

Autostart-Funktion deaktivieren

Die Funktion Autostart ermöglicht es, Programme von externen Datenträgern sofort auszuführen, wenn diese, wie zum Beispiel CD s, DVD s oder externe Festplatten, mit dem Computer verbunden werden. Da die hierdurch automatisch ausgeführten Programme auch Schadsoftware enthalten könnten, sollte diese Funktion für jeden Benutzer deaktiviert werden. In den Systemeinstellungen unter CDs & DVDs muss bei allen aufgeführten Parametern die Option "Keine Aktion" festgelegt werden.

Bemerkung: Die Funktion Autostart greift nur, wenn das eingelegte Medium als leere CD/DVD, "Musik-CD", "Bilder-CD" oder "Video-CD" von Mac OS X erkannt wird.

Diese Einstellungen können auch über die Konsole festgelegt werden:

# Disable blank CD automatic action:

defaults write /Library/Preferences/com.apple.digihub

com.apple.digihub.blank.cd.appeared -dict action 1

# Disable music CD automatic action:

defaults write /Library/Preferences/com.apple.digihub

com.apple.digihub.cd.music.appeared -dict action 1

# Disable picture CD automatic action:

defaults write /Library/Preferences/com.apple.digihub

com.apple.digihub.cd.picture.appeared -dict action 1

# Disable blank DVD automatic action:

defaults write /Library/Preferences/com.apple.digihub

com.apple.digihub.blank.dvd.appeared -dict action 1

# Disable video DVD automatic action:

defaults write /Library/Preferences/com.apple.digihub

com.apple.digihub.dvd.video.appeared -dict action 1

Entfernen nicht benötigter Programme

Mit Mac OS X werden standardmäßig einige Programme installiert, die entfernt werden sollten, um die mögliche Angriffsfläche zu minimieren. Zu diesen Programmen zählen beispielsweise Spiele oder diverse Multimedia-Anwendungen. Jedoch muss abhängig von den lokalen Gegebenheiten beurteilt werden, welche Programme notwendig sind und welche entfernt werden sollten. Auf produktiven Systemen dürfen nur die zum Arbeiten notwendigen Programme installiert sein. Wurden Standardprogramme entfernt, müssen diese Veränderungen dokumentiert werden.

Folgende Programme sollten mindestens entfernt werden:

  • AppleScript-Ordner samt Inhalt
  • Automator
  • Chess
  • Front Row
  • iTunes
  • iChat
  • Photo Booth
  • QuickTime
  • Dashboard

Die Programme sind im Finder, nach Auswahl des Startlaufwerks, im Verzeichnis "Programme" zu finden. Einige dieser Programme sind ebenfalls im Mac OS X Dock hinterlegt. Diese Verweise müssen ebenfalls entfernt werden.

Das Dashboard kann alternativ mit folgendem Kommandozeilen-Befehl deaktiviert werden:

defaults write com.apple.dashboard mcx-disabled -boolean yes

In jedem Fall sollten alle Minianwendungen ("Widgets") aus dem Verzeichnis Finder | Festplatte | Library | Widgets gelöscht werden. Zusätzlich installierte Widgets können sich in den Benutzerverzeichnissen jeweils unter Library | Widgets befinden. Alternativ kann eine Suche nach "*.wdgt" ausgeführt werden, um alle Widgets auf dem System zu finden und zu entfernen.

"Sicheren virtuellen Speicher" aktivieren

Sofern nicht genügend freier Arbeitsspeicher zur Verfügung steht, sieht das Speicherverhalten von Mac OS X vor, Teilinhalte des Arbeitsspeichers auf der lokalen Festplatte zu speichern. Diese Daten werden in einer "Swap"-Datei unverschlüsselt abgelegt und können mitunter sensitive Informationen beinhalten. Wenn das IT-System ausgeschaltet wird, werden alle Daten im Arbeitsspeicher verworfen. Die Daten in der gespeicherten "Swap"-Datei bleiben jedoch auch nach einem Neustart erhalten, bis sie überschrieben werden. Wird das System in den Schlafmodus (Hibernation Mode) versetzt, wird zusätzlich in der bereits vorhandenen "Swap"-Datei der gesamte Inhalt des Arbeitsspeichers unverschlüsselt in ein sogenanntes "sleepimage" gesichert. Wenn die Verwendung des sicheren virtuellen Speichers aktiviert ist, werden die Daten in der "Swap"- und der in der "sleepimage"-Datei nur noch verschlüsselt auf der lokalen Festplatte gespeichert. Aktiviert werden kann der sichere virtuelle Speicher unter "Systemeinstellungen | Sicherheit | Allgemein | Sicheren virtuellen Speicher verwenden". Alternativ kann diese Einstellung auch in der Anwendung "Terminal" mit folgendem Befehl konfiguriert werden:

defaults write /Library/Preferences/com.apple.virtualMemory UseEncryptedSwap -bool YES

Ortungsdienste deaktivieren

Unter Verwendung der Daten aus WLAN-Netzen ist es möglich, den ungefähren Aufenthaltsort eines Mac OS X Clients zu ermitteln. Diese Standortinformationen können dazu verwendet werden, Systemdienste wie die Zeitzone für das aktuelle Datum und die Uhrzeit automatisch einzustellen. Jedoch können auch Webseiten mit Lokalisierungsfunktion diese Informationen nutzen, um den Standort des Webseiten-Besuchers zu bestimmen. Dies kann nützlich, aber auch aus Datenschutz- und Sicherheitssicht problematisch sein. Beispielsweise kann mithilfe der Ortungsdienste der Standort des nächsten Bankautomaten oder Postamtes angezeigt werden. Möchte eine Webseite den Standort lokalisieren, erscheint normalerweise ein Dialogfenster, um die Erlaubnis des Benutzers dazu einzuholen. Dennoch sollten die Ortungsdienste in den Systemeinstellungen unter "Sicherheit | Allgemein" generell deaktiviert werden.

Automatische Anmeldung deaktivieren

Das automatische Anmelden am System muss deaktiviert werden. Ist es möglich, sich an einem Mac OS X System ohne Passwortabfrage anzumelden, werden viele Sicherheitsfunktionen übergangen. Die Option "Automatisches Anmelden deaktivieren" ist in den Systemeinstellungen unter Sicherheit imMenüreiter "Allgemein" zu finden und muss aktiviert werden.

Aktivierung der Bildschirmsperre

Wird der Bildschirmschoner oder der Ruhezustand beendet, muss zwingend eine erneute Kennwortabfrage für den aktuell angemeldeten Benutzer erfolgen. Die Option "Kennwort erforderlich":

  • sofort
  • 5 Sekunden
  • 1 Minute
  • 5 Minuten
  • 15 Minuten
  • 1 Stunde
  • 4 Stunden

nach Beginn des Ruhezustandes oder Bildschirmschoners" ist in den Systemeinstellungen unter Sicherheit in dem Menüreiter "Allgemein" zu finden und muss aktiviert werden. Dieser Wert muss möglichst niedrig gewählt werden. Es empfiehlt sich eine Einstellung von höchstens 15 Minuten (siehe auch M 4.2 Bildschirmsperre ).

Abmelden nach X Minuten Inaktivität

Befindet sich das IT-System längere Zeit im Leerlauf, kann eine automatische Abmeldung des Benutzers sinnvoll sein. Die Option "Abmelden nach X Minuten Inaktivität" ist in den Systemeinstellungen unter Sicherheit in dem Menüreiter "Allgemein" zu finden und kann aktiviert werden. Dieser Wert sollte möglichst niedrig gewählt werden. Wenn das System den Benutzer nach einer bestimmten Zeit automatisch abmelden soll, empfiehlt sich eine Einstellung von 15 Minuten.

Aktivieren des Firmware-Kennworts

Um Änderungen an der System-Firmware zu unterbinden, sollte das Firmware-Kennwort aktiviert werden. Sofern dieses aktiviert ist, können ohne Authentisierung keine Änderungen an den Einstellungen, wie den Bootoptionen, durchgeführt werden. Auf der Installations-DVD von Mac OS X ist eine Applikation mit dem Namen "Open Firmware Password Utility" zu finden, mit der das Firmware-Passwort gesetzt und zurückgesetzt werden kann.

Zusätzlich zum Kennwortschutz der Firmware kann mithilfe des systemeigenen Tools NVRAM zwischen drei verschiedenen Sicherheitsmodi gewählt werden. Die Auswahl erfolgt über Terminalbefehle innerhalb des Betriebssystems:

  • None: Diese Einstellung bietet keinen Schutz des Extensible Firmware Interfaces (EFI) eines Mac OS X-Systems und der Standardwert ist:
    $ sudo nvram security-mode = none
  • Command: Diese Einstellung bietet einen Kennwortschutz gegen Änderungen an der Firmware und gegen das Booten von einem anderen Medium oder Datenträger als der Systempartition.
    $ sudo nvram security-mode = command
  • Full: Diese Sicherheitsrichtlinie bietet aufbauend auf der "Command"-Einstellung ein übergreifendes Systempasswort beim Starten und Neustarten des Rechners.
    $ sudo nvram security-mode = full

Der Standardwert sollte von "none" auf mindestens "command" angehoben werden.

Bemerkung: Das NVRAM-Tool benötigt Administratoren- oder root-Berechtigungen, um die Sicherheitsempfehlung umzusetzen. Des Weiteren muss beachtet werden, dass das Firmware-Kennwort nicht verschlüsselt im NVRAM abgelegt wird, sondern im Klartext in hexadezimaler Schreibweise. Es ist jedem System-Administrator möglich, dieses Kennwort auszulesen.

Sicherheit des Schlüsselbundes erhöhen

Das Passwort des Schlüsselbundes sollte geändert werden, sodass es nicht mehr mit dem Passwort des aktuell angemeldeten Benutzers übereinstimmt. Damit wird verhindert, dass eine Person, die unberechtigten Zugang zum Computer erlangt, auch Zugang zu allen Informationen im Schlüsselbund erhält. Um das Passwort zu ändern, muss unter den Dienstprogrammen die Applikation "Schlüsselbund" aufgerufen und unter dem Menüpunkt "Bearbeiten" die Option "Kennwort für Schlüsselbund "Anmeldung" ändern" gewählt werden. Dadurch wird die Synchronisation zwischen Benutzeraccount-Passwort und Schlüsselbund-Passwort aufgehoben. Zusätzlich sollte die Option "Einstellungen für den Schlüsselbund "Anmeldung" ändern" aufgerufen werden, um die Optionen "Nach X Minuten Inaktivität schützen" und "Bei Wechsel in Ruhezustand schützen" zu aktivieren. Bei der ersten Option empfiehlt es sich, 15 Minuten einzustellen.

Verwenden der Passwortabfrage für jede Systemeinstellung

Es sollte die "Kennwortabfrage für die Freigabe jeder geschützten Systemeinstellung" aktiviert werden, damit nur Administratoren die Systemeinstellungen ändern können. Weiterhin sorgt diese Einstellung dafür, dass bei einem unbefugten Zugriff nur freigeschaltete Systemeinstellungen verändert werden können. Die Option "Kennwortabfrage für die Freigabe jeder geschützten Systemeinstellung" ist in den Systemeinstellungen unter Sicherheit in dem Menüreiter "Allgemein" zu finden.

Gast-Benutzer-Account deaktivieren

Der Gast-Benutzer-Account unter Mac OS X ist standardmäßig aktiviert und muss zusammen mit dem Zugriff für Gäste auf freigegebene Ordner deaktiviert werden. Unter "Systemeinstellungen | Benutzer | Andere Accounts | Gast-Account" muss die Option "Gästen den Zugriff auf freigegebene Ordner erlauben" deaktiviert werden.

Manuelle Anpassung von Konfigurationsdateien

Um unter Mac OS X die Systemkonfiguration zu verändern, können die Konfigurationsdateien mit einem Texteditor, per Kommandozeilenaufruf oder über die grafische Benutzeroberfläche angepasst werden. Werden verschiedene Methoden eingesetzt, um Änderungen am System vorzunehmen, können Inkonsistenzen entstehen, da die Anpassungen oft in unterschiedlichen Konfigurationsdateien gespeichert werden und zwischen diesen nicht synchronisiert wird. Weiterhin können sich Sicherheitseinstellungen gegenseitig aufheben oder die Verwaltung des Clients unter Mac OS X komplizieren.

Wird zum Beispiel mit einem Texteditor in der SSH-Konfigurationsdatei "sshd_conf" ein Benutzer freigeschaltet und ein anderer Benutzer über die grafische Benutzeroberfläche in den Systemeinstellungen für die "Entfernte Anmeldung" freigegeben, so wird sich keiner dieser Benutzer per SSH am System anmelden können.

Daher sollte festgelegt werden, welche Methode zur Anpassung von Konfigurationsdateien unter Mac OS X verwendet wird. Alle Administratoren müssen über diese Vorgehensweise informiert werden.

Prüffragen:

  • Gibt es Regelungen, wie Mac OS X zu konfigurieren ist?

  • Ist sichergestellt, dass nach der Installation eine Aktualisierung des Betriebssystems und der Anwendungsprogramme vorgenommen wird?

  • Wurde das automatische Öffnen "sicherer Dateien" durch Safari unter Mac OS X deaktiviert?

  • Wurden der Gast-Benutzer-Account und die Autostart-Funktion von Mac OS X deaktiviert?

  • Wurde ein Firmware-Kennwort für Mac OS X gesetzt?

  • Wurde das Gültigkeitszeitfenster des sudo-Befehls herabgesetzt?

Stand: 13. EL Stand 2013