Який сенс у використанні щоденного облікового запису без адміністратора в OS X?

Ця порада давня, але повертається в моду. Я бачив це багато останнім часом на ряді веб-сайтів або форумів Mac. "Ваш щоденний обліковий запис користувача не повинен бути обліковим записом адміністратора. Це повинен бути стандартний обліковий запис, створений для цієї мети, і ви повинні входити в обліковий запис адміністратора лише для виконання дійсних завдань адміністратора."

Здається, це звичайна порада у світі Windows, але для сучасної системи OS X я просто не можу зрозуміти, яку користь вона приносить. Давайте розберемося:

• Облікові записи адміністратора OS X не є кореневими обліковими записами. Будь-яка програма, яка хоче отримати root, все одно запитає ваш пароль, тому я не бачу додаткового рівня захисту тут. Спробуйте покласти /varв смітник.
• Глибока модифікація ОС або введення коду в найважливіші файли SIP запобігла з El Capitan, будь то адміністратор, root або ніхто. Більше того, у чутливих місцях, де вони все ще дозволені, такі зміни вимагатимуть кореневого пароля, принаймні, навіть з облікового запису адміністратора, повертаючи нас до першого аргументу.
• Для шпигунських програм, проблем конфіденційності та подібних речей використання стандартних облікових записів забезпечує невеликий додатковий захист, якщо такий є. Наскільки мені відомо, навіть коли вони використовуються зі стандартного облікового запису, програми мають повний доступ до особистих файлів користувача та мають повний доступ до мережі (мінус будь-який брандмауер тощо). Якщо поганий додаток хоче надіслати додому свої документи, це може ідеально зробити це зі звичайного облікового запису.
• Основні лінії захисту (брандмауер, запущені довірені програми тощо) є загальносистемними.
• З іншого боку, болісно перейти на ваш обліковий запис адміністратора, потім перейти назад до свого стандартного облікового запису, назад і назад. Це може фактично закінчитися тим, що користувач затримує оновлення або обслуговування адміністратора, просто заощадити час і відкласти справу з клопотами.

Отже, чому б не використовувати обліковий запис адміністратора? Сподіваюся, це не буде позначено як повторне, інші питання, пов’язані з цим питанням, не розглядали цих аргументів.

Редагувати: питання стосується комп’ютера, яким ви володієте та керуєте.

На кожному комп’ютері OS X є лише один кореневий обліковий запис, і він за умовчанням відключений . У нього немає пароля, і ви не можете ввійти як корінь, якщо спеціально не скористаєтеся утилітою Directory і не включите його. Це небезпечно, оскільки при вході в систему як root система обходить всю авторизацію - навіть не запитує пароль. У цьому аспекті комп'ютер OS X справді без корінь , що є гарною річчю ™.

Облікові записи адміністраторів - це просто стандартні облікові записи, які також є в групі адміністратора . Будь-яка дія в OS X, здійснена користувачем, який увійшов у систему, перевіряється на базі даних авторизації (ви можете побачити її правила в /System/Library/Security/authorization.plist, щоб побачити, чи не потрібна автентифікація чи достатньо її автентифікації як власник сесії (стандартний користувач, який увійшов у систему), або ви повинні бути членом групи адміністратора. Він дає дуже тонкий контроль, тому можуть виникнути три можливості, наприклад, у системних налаштуванняхпри натисканні на заблокований замок. Після натискання він може просто розблокуватись без автентифікації, він може запропонувати діалогове вікно автентифікації з уже введеним іменем облікового запису (що означає, будь ласка, підтвердьте, що це ви), або може запропонувати діалогове вікно автентифікації з полями імені облікового запису та паролем пустими (це означає, що ви не адміністратор, будь ласка зателефонуйте адміністратору для введення його облікових даних).

Основне правило полягає в тому, що все, що може вплинути на інших користувачів комп'ютера (зміна в масштабах системи), потребує адміністративної автентифікації. Але це складніше за це. Стандартні користувачі, наприклад, можуть встановлювати додатки з магазину додатків Mac у папці / Applications (що є зміною для всієї системи), але не можуть обійти GateKeeper для запуску непідписаних програм, навіть лише в межах власних даних. Стандартні користувачі не можуть посилатися на sudo, який має поганий побічний ефект, не вимагаючи автентифікації у вікні 10-15 хвилин після цього. Грамотно розроблений сценарій попросить вас пройти автентифікацію адміністратора на те, що ви схвалюєте, але після цього він зробить всілякі хитрі речі, про які ви нічого не знаєте.

Стандартним користувачам також можна керувати через батьківський контроль або конфігураційні профілі, і вони можуть застосовувати політику паролів. Користувачі адміністраторів не можуть цього робити.

Захист цілісності системи стосується того, що люди так легко клацали через пакети встановлення та надавали паролі, що користувачі стали найслабшою ланкою. SIP просто намагається тримати систему на плаву, нічого іншого (а іноді і в цьому не вдається).

Ви б не повірили, скільки людей, яких я бачив, у яких на комп’ютері є лише один користувач (який також є обліковим записом адміністратора) і навіть без пароля облікового запису, лише щоб відчути незначне зменшення роздратування у вигляді активності вікна входу.

Я не можу погодитися з вашою думкою, що болісно переходити на обліковий запис адміністратора, коли це необхідно. Якщо ви перебуваєте в терміналі, вам потрібно лише подати заявку на міадмінакт перед тим, як робити що-небудь, включаючи sudo або запустити Finder як іншого користувача, виконавши /System/Library/CoreServices/Finder.app/Contents/MacOS/Finder .

У графічному інтерфейсі добре, що для оновлень магазину додатків Mac (включаючи оновлення OS X) не потрібно автентифікацію адміністратора. Ті пакунки для встановлення, які потрапляють у папку "Завантаження", включаючи оновлення Adobe Flash, так, ви повинні бути дуже обережними, перш ніж відкривати тих, хто виконує додаткову роботу, і зробити потрійну впевненість, що вони приходять з потрібного місця і не мають повної кількості неприємностей.

Ось чому я вважаю, що використання Mac із стандартним обліковим записом краще та безпечніше, ніж з адміністратором, оскільки це захищає мене від моїх власних помилок та пропусків. Навіть більшість знаючих користувачів не перевіряють кожен завантажений сценарій по черзі, щоб побачити, чи відбувається щось рибне.

Я сподіваюся, що в майбутньому елементи управління можуть стати ще жорсткішими, наприклад, введення умов або графіків, коли додаток (сценарій або будь-який виконуваний файл) може запускатися або мати доступ до мережі, або що виконуваний файл може навіть не запускатися, якби я цього не зробив явно не дозволив це (діалог аутентифікації) протягом останнього місяця або близько того.

Безпека найкраще реалізується як багатошарова, багатовекторна стратегія .

Принцип мінімальних привілеїв (POLP) є ще одним гвинтиком в машині , яка тримає ваш комп'ютер в безпеці.

Все, що ви там перераховували, - це все добре, але жодне з цього не заважає комусь заволодіти вашим комп'ютером таким чином, як, наприклад, Drocked Drive Hack .

• Яким чином брандмауер перешкоджає користувачеві вставляти USB з використанням пульта дистанційного керування, вбудованого на диск?

• Як SIP запобігає захопленню кейлоггера від ваших натискань клавіш?

• Яке значення має навіть SIP, коли він може бути легко відключений адміністратором?

• Як запобігти встановленню несанкціонованого / незаконно ліцензованого програмного забезпечення? Обмежений обліковий запис користувача гарантує, що користувачі, які не повинні встановлювати програмне забезпечення, не встановлюють програмне забезпечення.

На вашій останній лінії захисту використовується обліковий запис, який не є обліковим записом адміністратора, щоб ви могли пом'якшити загрозу, встановивши інший рівень безпеки (автентифікацію користувача), коли частина шкідливого ПЗ намагається встановити себе.

Я говорю це вже зараз, як здається, еони:

"Безпека" - це не товар, який ви купуєте, або комутатор, який ви перемикаєте; це практика , це розум , щоб використовувати всі інструменти, які ви можете, щоб мінімізувати ризик.

Як правило, найкращою практикою є використання облікового запису, який не має більше привілеїв, ніж потрібно. Це загалом означає, що ви повинні використовувати обліковий запис, який має найнижчий можливий рівень привілеїв, і підвищувати свої привілеї, коли це потрібно для конкретного завдання, яке вимагає більш високих привілеїв.

Однак це стає дратує досить швидко. Причиною цього є те, що те, що видається вам чи мені простим завданням ("я хотів лише включити WiFi"), сприймається як привілейована операція для ОС ("Ви хочете включити мережевий пристрій і дозволити машині ставити на якусь випадкову мережу ").

Домогтися балансу між зручністю та безпекою набагато важче, ніж це звучить, і моє особисте відчуття полягає в тому, що OS X виконує набагато кращу роботу, ніж деякі інші ОС, такі як Windows.

Якщо ви постійно працюєте в якості адміністратора, ви можете випадково натиснути на електронний лист, який містить деяку посилання на сайт, що містить програмне забезпечення, і він автоматично запускає сценарій, який виконує певну конфігурацію без вашого відома. Але якщо ви працюєте як непривілейований користувач, то як тільки цей сценарій буде запущений, ОС з'явиться діалогове вікно із записом "цей шкідливий сценарій хоче зробити щось на вашому комп'ютері. Підтвердьте, ввівши свій пароль". Зазвичай це викликає тривогу або здивування, якщо це не те, що ви очікували б побачити в цей момент.

Також - що важливіше, ви налаштували комп’ютер для когось іншого. Хтось не грамотний у вашій родині. Відмінна ідея дати їм непривілейований логін та зберегти пароль адміністратора для себе, тому наступного разу, коли вони натискають на будь-який старий сміття (як це їх бачать), вони НЕ МОЖУТЬ заразити комп’ютер крафтовим програмним забезпеченням. Вони іноді скаржаться, коли ви це робите, але вам потрібно лише нагадати їм про те, що у них було встановлено 35 панелей інструментів на IE 6, і кожен раз, коли вони робили пошук в Google, вони отримували сторінки поп-сайтів порнографів, перш ніж вони з грубою згодою вважають, що це може бути бути гарною ідеєю. Мінус полягає в тому, що вони будуть дзвонити вам частіше, щоб змусити вас розблокувати їх комп'ютер, коли вони хочуть оновити плагін Flash.

Як було сказано раніше: безпека - це відношення, а не простий перемикач, який можна перевернути.

Дозвольте мені побачити, як працюватимуть ваші причини:

1. Облікові записи адміністратора не є кореневими. Хоча це правда, вони можуть зателефонуватиsudo і, можливо, вони навіть можуть мати готовий пароль для введення (або sudoналаштовано не запитувати пароль).

2. SIP (Захист цілісності системи): Це лише один шар, якого недостатньо для всіх атак. Можна відключити? Навіть краще!

3. Аргумент шпигунських програм: ну, мабуть. Пільги все ще недостатньо відокремлені. Але навіть так, це все-таки обмеження.

4. Основні лінії захисту є загальносистемними: # 1 говорить, що програми, що працюють на адміністраторських акаунтах, можуть отримати корінь.

5. Перемикання? Загальновідомо, що ви можете виконувати завдання, пов’язані з адміністратором, зі стандартних облікових записів, поки ви введете пароль облікового запису адміністратора. Не потрібно насправді робити реальний комутатор рахунків.

Якщо у вас є інші члени сім’ї, які не володіють комп'ютером, або ви хочете обмежити їх доступ (наприклад, діти), або ви роботодавець, який хоче обмежити доступ до працівників, які можуть користуватися машиною, то абсолютно так; Є все ще причини мати облікові записи не в адміністраторах в ОСХ для щоденного використання.

Якщо ви володієте комп’ютером і хочете ним керувати, використовуйте адміністративний обліковий запис.

Якщо ви не хочете, щоб інші користувачі могли будь-що "адмініструвати", тоді облікові записи, які не є адміністраторами, дуже корисні. Крім того, ви ніколи не знаєте, коли вам може знадобитися позичити машину з манжети, якщо момент хтось запитує: "Ей, я можу просто позичити ваш мак, щоб зробити щось дійсно швидко?", Це дає спокій, щоб можна було вийти з системи та увійти. їх можна назвати тим, що деякі можуть вважати обліковим записом "напівпрограма", для якого ви створили та підготували дозволи.

Можливо, є й інші причини, але ось моя: неможливо розміщувати обмеження на обліковому записі адміністратора. Корисно встановити обмеження для запобігання відвідуванню небажаних або небезпечних сайтів.