Bundesamt für Sicherheit in der Informationstechnik

M 4.374 Zugriffschutz der Benutzerkonten unter Mac OS X

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Auf einem Client unter Mac OS X müssen die Einstellungen der Benutzerkonten angepasst werden, um die System-Sicherheit zu erhöhen. Zum Beispiel könnte die Merkhilfe für Passwörter von Unbefugten genutzt werden, um Hinweise auf das Passwort zu erhalten. Diese Anpassungen lassen sich in den Systemeinstellungen unter "Benutzer" vornehmen.

Die Sicherheit eines Benutzerkontos vor unbefugtem Zugriff ist im hohen Maße von dem verwendeten Passwort abhängig, daher muss ein starkes Passwort verwendet werden. Hierzu müssen die Empfehlungen aus M 4.376 Festlegung von Passwortrichtlinien unter Mac OS X umgesetzt werden. Eine weitere wichtige Bedingung für ein sicheres Benutzerkonto ist das Deaktivieren von Merkhilfen des Passwortes, durch die ein Angreifer wichtige Hinweise auf das Passwort erhalten kann. Da die Informationen in der Merkhilfe im schlimmsten Fall dem eigentlichen Passwort entsprechen, sollte diese Funktion deaktiviert werden. Wird eine Passwort-Merkhilfe dennoch eingesetzt, müssen unbedingt alle Benutzer für diese mögliche Gefahr sensibilisiert werden. Ebenfalls sollte das Anmeldefenster nicht in Form einer Liste aller Benutzer angezeigt werden, da ein Angreifer damit alle Informationen über auf dem System existierende Benutzer erhält. Er benötigt dann nur noch die entsprechenden Passwörter, um unerlaubten Zugriff auf das System zu erhalten. Ohnehin sollte die Anmeldung am System grundsätzlich nicht automatisch erfolgen sondern nur mit Benutzername und Passwort möglich sein.

Alternativ können diese Restriktionen per Befehlszeile für den aktuell angemeldeten Benutzer umgesetzt werden:

# Keine Merkhilfe für Passwörter

defaults write /Library/Preferences/com.apple.loginwindow RetriesUntilHint -int 0

# Abfrage von Name und Passwort im Anmeldefenster, keine Anzeige von Namensliste

defaults write /Library/Preferences/com.apple.loginwindow SHOWFULLNAME -bool yes

# Deaktivieren von Neustart, Ruhezustand und Herunterfahren

defaults write /Library/Preferences/com.apple.loginwindow PowerOffDisable -bool yes

Die oben vorgenommenen Einstellungen sollten nach jeder Systemaktualisierung überprüft werden.

Prüffragen:

  • Ist die automatische Anmeldung unter Mac OS X deaktiviert?

  • Wurde ein komplexes Benutzerkonten-Passwort unter Mac OS X gewählt?

  • Wurden die Passwort-Merkhilfen unter Mac OS X für das Benutzerkonto deaktiviert oder die Benutzer diesbezüglich sensibilisiert?

Stand: 13. EL Stand 2013