Bundesamt für Sicherheit in der Informationstechnik

M 4.378 Einschränkung der Programmzugriffe unter Mac OS X

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Um unter Mac OS X den Zugriff auf bestimmte Funktionen des Computers einzuschränken, können die "Parental Controls" eingesetzt werden. Obwohl diese Funktion als "Parental Controls" oder Kindersicherung bezeichnet wird, kann deren Nutzung auch in Behörden oder Unternehmen sinnvoll sein. Durch diese Kindersicherung, zu finden in den Systemeinstellungen, können Benutzerkonten weiter eingeschränkt werden. Auch die Programmzugriffe lassen sich mit der Kindersicherung weiter einschränken, nachdem alle nicht benötigten Programme entfernt wurden, wie in M 4.371 Konfiguration von Mac OS X Clients im Abschnitt "Entfernen nicht benötigter Programme" beschrieben. Unter Umständen können Einschränkungen hierdurch präziser eingestellt werden.

So kann zum Beispiel für die Benutzer der Zugriff auf bestimmte Anwendungsprogramme, Webseiten oder Computerkomponenten beschränkt werden. Dieses Vorgehen ist auch geeignet, um das Verzeichnis "Dienstprogramme" zu sperren, da hier Programme zur Administration des Computers liegen, die tiefere Einblicke in das System ermöglichen. Soll nur der Zugriff auf bestimmte Webseiten bzw. Domänen erlaubt sein, kann unter dem Menüpunkt "Inhalt" beziehungsweise "Content" der Zugriff auf eine Domäne wie "*.bund.de" erlaubt werden. Weiterhin ist es möglich, die E-Mail-Kommunikation nur zwischen vorher festgelegten Partnern zu erlauben.

Unter dem Menüpunkt "Mail & iChat" kann eine Liste von freigegebenen E-Mail- sowie iChat-Kommunikationspartnern erstellt werden. Durch diese Einstellung lässt sich das Abfließen von Informationen über die Programme Mail und iChat vermeiden. Es muss jedoch beachtet werden, dass weiterhin HTTP -Webmailer benutzt werden können, um E-Mails an nicht autorisierte Personen zu versenden. Jedoch ist es zurzeit nicht möglich, die Liste der erlaubten Kommunikationspartner mittels regulären Ausdrücken anzupassen. Die Anmeldezeiten für Benutzerkonten lassen sich unter dem Menüpunkt "Time Limits" anpassen. Wird zum Beispiel davon ausgegangen, dass die Hauptarbeitszeit zwischen 7 und 17 Uhr liegt, sollten die erlaubten Benutzeranmeldezeiten diesen Zeiten ungefähr entsprechen.

Weitere verfügbare Einstellungsmöglichkeiten, wie zum Beispiel der Zugriff auf CD -/ DVD -Laufwerke, sollten möglichst restriktiv gehalten werden. Jedoch muss beachtet werden, dass eine zu starke Einschränkung hinderlich und demotivierend sein kann. Daher sollte im Vorfeld durch den Leiter der IT und den IT-Sicherheitsbeauftragten geklärt werden, welche Restriktionen an welchen Clients umgesetzt werden sollen. Dies sollte dokumentiert werden.

Eine zentrale Steuerung der Client-Computer ist ebenfalls möglich. Wird in den "Systemeinstellungen" unter "Kindersicherung" die Option "Kindersicherung von einem anderen Computer aus verwalten" aktiviert, können Benutzerkonten auf entfernten Computern mittels Kindersicherung eingeschränkt werden. Hierfür wird der Benutzername und das Passwort eines Administrators auf dem zu steuernden IT-System benötigt. Mit diesen Zugangsdaten können die Benutzerrechte auf dem zu steuernden IT-System vom administrierenden IT-System aus, so wie oben beschrieben, eingeschränkt werden.

Prüffragen:

  • Sind die Programmzugriffe mithilfe entsprechender Maßnahmen entsprechend der Sicherheitsrichtlinien so weit wie möglich eingeschränkt worden?

Stand: 13. EL Stand 2013