Wie mache ich die Anmeldung sicher?
Der erste Schritt zum sicheren Mac ist es, Fremden die Anmeldung zu erschweren. Jeder Benutzer muss sich am System anmelden. Wenn Sie das noch nie gemacht haben, liegt das daran, dass Mac-OS X in der Standardkonfiguration so eingestellt ist, dass es den bei der Installation angelegten Benutzer automatisch beim Start des Macs anmeldet. Damit ist nun Schluss.
Um die automatische Anmeldung zu deaktivieren, öffnen Sie in den Systemeinstellungen die Benutzerverwaltung. Dort öffnen Sie am unteren Rand der Account-Liste die Anmeldeoptionen. Im Menü "Automatische Anmeldung" wählen Sie "Deaktiviert". Darunter stellen Sie ein, dass sich Benutzer durch "Name und Kennwort" ausweisen müssen. Nun erscheint nach dem Systemstart ein Anmeldedialog, der zur Eingabe von Name (oder Kurzname) und Kennwort auffordert. Das ist vielleicht weniger komfortabel als die automatische Anmeldung, schützt aber vor unerwünschten Benutzern. Wer auf Nummer sicher gehen will, kann auch noch die anderen Optionen deaktivieren. Vor allem die Kennwortmerkhilfe ist ein zweischneidiges Schwert, da sie eventuell auch Fremden beim Erraten der Zugangsdaten hilft.
Der schnelle Benutzerwechsel ist ebenfalls ein kleines Risiko, da ein parallel angemeldeter Benutzer sich etwas leichter den Zugang zu Daten anderer erschleichen kann. Das ist aber schon eher was für Profis. Und die kann man nur mit der Anmeldung ohnehin nicht aufhalten.
Muss ich weitere Benutzer anlegen?
Die Antwort ist, Sie müssen nicht, aber Sie sollten es tun. Bei der Installation von Mac-OS X legen Sie einen Benutzer an, aber es gibt gute Gründe, noch mindestens einen weiteren über die Benutzereinstellungen hinzuzufügen. Der erste Benutzer ist automatisch ein Administrator, der weitreichende Rechte hat, um Software zu installieren oder wichtige Systemfunktionen zu konfigurieren. Für die tägliche Arbeit sollten Sie aber lieber einen Benutzer vom Typ "Standard" nehmen, der praktisch nur auf seine Daten Zugriff hat. Das schützt Sie davor, versehentlich Änderungen an Einstellungen vorzunehmen oder wichtige Dateien zu löschen. Außerdem arbeitet eingeschleuste Schadsoftware meist mit den Rechten des aktiven Benutzers. Hat der nur Standardrechte, bleibt der Schaden kleiner oder die Software verrät sich durch unerlaubte Zugriffsversuche auf Systemressourcen.
Der Gast ist ein weiterer Benutzertyp. Er darf sich ohne Kennwort am Mac anmelden und dort die installierten Programme benutzen. Wenn er sich abmeldet, wird aber sein kompletter Benutzerordner wieder gelöscht. Den Gastzugang sollten Sie nur bei Bedarf aktiveren. Die zugehörige Funktion finden Sie in der Benutzerverwaltung, wenn Sie in der Liste auf "Gast-Account" klicken. Dort können Sie auch die Kindersicherung für Gäste aktivieren, um deren Möglichkeiten einzuschränken (siehe nächste Frage). Das System kennt auch noch "Sharing"-Benutzer, die Dienste des Mac im Netzwerk nutzen können, sich aber nicht direkt am Mac anmelden können und auch kein Home-Verzeichnis erhalten.
Zum Schluss gibt es noch den Sonderfall des "Root"-Benutzers. Er ist nicht über die Benutzereinstellungen erreichbar, unterliegt keinen Einschränkungen und ist deshalb aus Sicherheitsgründen deaktiviert. Sie können ihn bei Bedarf über das Dienstprogramm Verzeichnisdienste aktivieren.
Was macht die Kindersicherung?
Über die Kindersicherung können Sie die Möglichkeiten von Benutzern einschränken. Die Konfiguration erfolgt über das gleichnamige Modul der Systemeinstellungen. Dort wählen Sie den Benutzer, der überwacht werden soll, und klicken dann auf "Kindersicherung aktivieren". Alternativ legen Sie über die Benutzerverwaltung gleich einen "Verwalteten Benutzer" an. Sie können dort auch nachträglich die Kindersicherung für einen vorhandenen Benutzer (de)aktivieren und so dessen Befugnisse ändern.
Die Funktionen sind in fünf Bereiche eingeteilt. Unter "System" können Sie unter anderem eine Liste der erlaubten Programme anlegen und einige Funktionen sperren, zum Beispiel das Brennen von CDs/DVDs oder das Ändern des Docks. Für kleine Kinder können Sie auch den "einfachen Finder" aktivieren, der nur noch ein simpler Programmstarter ist.
Im Bereich "Inhalt" legen Sie fest, welche Webseiten besucht werden dürfen und welche nicht. Helfen kann dabei eine Automatikfunktion, die, ähnlich wie der Junkmail-Filter, eine Seite auf jugendgefährdende Inhalte untersucht und bewertet.
Unter "Mail & iChat" kontrollieren Sie die Kommunikation und können Mail- und Chatpartner vorgeben. In "Zugriffszeiten" können Sie einen Zeitplan aufstellen, wann die Rechnernutzung erlaubt ist. Dazu lässt sich ein Zeitkonto einrichten. Ist das aufgebraucht, ist keine Anmeldung mehr möglich. Im Bereich "Protokoll" lässt sich das Verhalten eines verwalteten Benutzers überwachen. Er zeigt zum Beispiel, welche Programme benutzt oder welche Webseiten aufgerufen wurden.
Wie sichere ich den Mac in kurzen Pausen?
Wenn Sie den Arbeitsplatz nur mal kurz für eine Kaffeepause verlassen, lohnt es nicht, sich abzumelden, um den Rechner vor unerwünschten Zugriffen zu schützen. Als schnelle Sicherung des Macs können Sie eine Passwortabfrage beim Beenden des Bildschirmschoners oder des Ruhezustands aktivieren. Diese Option finden Sie in "Systemeinstellungen > Sicherheit > Allgemein". Danach reicht es, beim Verlassen des Platzes kurz den Bildschirmschoner oder den Ruhezustand zu aktivieren. Am schnellsten geht das über eine "aktive Ecke". Diese konfigurieren Sie in den Exposé-Einstellungen. Dort können Sie für jede Ecke Funktionen festlegen, darunter auch Ruhezustand und Bildschirmschoner. Dann reicht es, einfach mit der Maus in die passende Ecke zu fahren, um den Mac sofort zu schützen. Die Aktivierungszeit des Bildschirmschoners können Sie trotzdem auf "nie" stellen.
Wie schützte ich die Systemeinstellungen?
Damit wichtige Systemeinstellungen nur noch von Administratoren geändert werden können, öffnen Sie die Sicherheitseinstellungen und aktivieren unter "Allgemein" die Option "Kennwortabfrage für die Freigabe jeder geschützten Systemeinstellung". Dadurch werden alle Module gesperrt, die unten links das Schloss-Icon zeigen. Als Folge kann man die Einstellungen zwar sehen, aber nicht mehr ändern.
Um das Schloss zu öffnen und Änderungen vornehmen zu können, klicken Sie es an. Es erscheint der Dialog zur Passworteingabe. Nach erfolgreicher Eingabe der Zugangsdaten eines Administrators, öffnet sich das Schloss und gibt das Einstellungsmodul frei. Beim Beenden des Programms werden die Einstellung automatisch wieder gesichert.
Sie können das Schloss auch manuell per Mausklick schließen. Das klappt auch, wenn die Kennwortoption nicht aktiv ist. Es wirkt dann aber nur bis zur Abmeldung des Benutzers.
Die Einstellungen der Benutzerverwaltung ("Benutzer" und "Kindersicherung") sind übrigens immer geschützt.
Wie sieht ein gutes Passwort aus?
Die üblichen Schutzmechanismen beruhen alle auf Passwörtern. Wer Letzteres kennt oder errät, erhält Zugang. Die Sicherheit des System hängt also letztlich von der Qualität des Kennworts ab. Aber was ist ein gutes Passwort? Es folgen ein paar Tipps, damit Unbefugte es nicht so leicht herausbekommen können. Ihr Name sowie die von Familienmitgliedern scheiden schon mal aus, auch rückwärts. Bekannte Geburtstage ebenfalls, auch in Kombination mit dem Namen. Autokennzeichen und Haustiere sind auch keine gute Wahl. All diese Angaben lassen sich relativ leicht durch Raten finden.
Ein gutes Passwort steht nicht im Wörterbuch, enthält Zahlen und Sonderzeichen und ist nicht zu kurz. 8 bis 16 Zeichen sollten es schon sein, je nach Anspruch. Auf der Schreibtischunterlage oder auf einem Post-it am Monitor oder an der Pinnwand sollte es natürlich auch nicht stehen.
Der Anfang von einem Lied oder Sprichwort lässt sich gut merken. Zahlen lassen sich einstreuen, indem Sie sie Buchstaben zuordnen, zum Beispiel "o" durch Null ersetzen oder hinter jedes "a" eine "1". Viele Fenster zur Passworteingabe rufen über ein kleines Schlüsselsymbol den Kennwortassistenten auf, der Ihre Eingabe prüft und eigene Vorschläge machen kann.
Wie schütze ich private Daten?
Den Zugang zum Rechner zu schützen ist wichtig, aber für sensible Daten reicht das nicht aus. Einen dauerhaften Schutz bietet nur die Verschlüsselung sensibler Daten.
Der einfachste Weg ist die Speicherung auf einem verschlüsselten Disk-Image. Beim Erzeugen wählen Sie ein Passwort, mit dem dann alle Daten beim Schreiben auf das Image verschlüsselt werden. Beim Lesen werden Sie wieder entschlüsselt. Wenn Sie mit dem Festplatten-Dienstprogramm ein Image anlegen (Seite 22), können Sie zwischen 128- und 256-Bit-AES wählen. Die erste Variante ist schneller und reicht für den Hausgebrauch aus. Ein 256-Bit-AES-Archiv mit einem guten und mindestens zwölf Zeichen langen Passwort darf man dagegen nach heutigen Maßstäben als nicht knackbar betrachten. Wollen Sie nur einen Ordner sicher archivieren, können Sie ihn auch mit "Ablage > Neu > Image von Ordner" direkt umwandeln, ohne erst ein leeres Image zu erzeugen. Wichtig ist, dass Sie die Originale hinterher sicher löschen, damit man sie nicht mit einem Rettungsprogramm finden kann.
In den Sicherheitseinstellungen des Systems können Sie unter "Filevault" die gleichnamige Funktion für einen Benutzer aktivieren. Dann verschlüsselt Leopard den kompletten Benutzerordner. Dieser Aufwand lohnt sich aber nur in Ausnahmefällen.
Wollen Sie nur etwas Text, wie Zugangsdaten oder PIN-Nummern sicher speichern, können Sie im Dienstprogramm Schlüsselbundverwaltung eine verschlüsselte Notiz anlegen. Eine einzelne Datei können Sie auch mit der Shareware Fileward verschlüsseln.
Wie konfiguriere ich die Firewall?
Eine Firewall filtert den Datenverkehr zwischen Rechner und Netzwerk und schützt so vor Einbruchsversuchen aus dem Internet. Auch Mac-OS X bringt eine Firewall mit. Um sie anzuschalten, öffnen Sie die Sicherheitseinstellungen und klicken auf den Reiter "Firewall". Mit "Nur notwendige Dienste erlauben" schalten Sie die Firewall scharf und lassen nur die vom System aktivierten Dienste zu. Das sind allerdings mehr, als man auf den ersten Blick in den Sharing-Einstellungen sieht.
Die Leopard-Firewall arbeitet programmbasiert. In der dritten Einstellung können Sie sie gezielt für bestimmte Applikationen öffnen. Um zum Beispiel die gemeinsame Nutzung Ihrer iTunes-Sammlung durch andere Benutzer zu ermöglichen, müssen Sie nach dem Aktivieren der Funktion in iTunes auch Verbindungen zu iTunes durch die Firewall erlauben. Hierzu klicken Sie auf die Plustaste unten in den Firewall-Einstellungen und wählen dann iTunes im Auswahldialog aus. Wenn Sie in Sharing weitere Systemdienste starten, wie zum Beispiel File- oder Websharing, so fügt das System automatisch Regeln für die Firewall hinzu. Sie stehen in der Liste oben, die Programme darunter. Auf der rechten Seite haben die Programmeinträge noch ein kleines Aufklappmenü. Hier können Sie wählen, ob die Verbindung erlaubt oder blockiert werden soll. So lassen sich gezielt bestimmte Programme sperren.
Unter "Weitere Optionen" können Sie einen Tarnmodus aktivieren. Der Mac reagiert dann nicht mehr auf unerwünschte Anfragen wie zum Beispiel Pings.
Vor Leopard nutzte Apple die Firewall ipfw, die immer noch beiliegt. Sie arbeitet netzwerkbasiert und setzt damit tiefer auf der Ebene von IP-Adressen, Ports und Protokollen an. (Macwelt/haf)