Built-in Mac Security und ihre Tücken
Apple schreibt auf der eigenen Website, dass Sicherheit in das Mac Betriebssystem macOS „schon integriert“ sei und liegt damit sicher auch nicht falsch. Um die eingebauten Features allerdings zuverlässig auf jedem der Geräte im Unternehmenskontext zu nutzen, führt kein Weg an einer Verwaltungslösung vorbei. Folgend einige Sicherheitsfeatures, bei denen es sich lohnt, aufmerksam zu sein und wo wir eine Umsetzung auf privat wie geschäftlich genutzten Macs empfehlen können:
Firewall standardmäßig aus
Das wohl Auffälligste bei einer frischen macOS-Installation oder einem frisch ausgelieferten Mac (ja, auch direkt von Apple) ist die deaktivierte Firewall. Das ergibt durchaus Sinn, wenn davon ausgegangen wird dass der Mac ausschließlich im heimischen Netzwerk verwendet wird, wo ein Router (und dessen vergleichbare Firewall) zwischen Endgerät und Internet vermittelt.
Wird jedoch im öffentlichen Raum, zum Beispiel über Hotspots in Cafés, auf das Internet zugegriffen ist es ratsam die macOS-eigene Firewall einzuschalten. Am besten ist diese immer aktiviert, dann entfällt das situative Einschalten. Unsere Macs bei SPIRIT/21 intern konfigurieren wir deshalb so, dass die Firewall standardmäßig aktiviert ist und nicht ausgeschaltet werden kann.
FileVault 2 (Festplattenverschlüsselung) aktivieren
Mac OS X Lion (2011) und neuere Versionen bieten FileVault 2 an. Dieses verschlüsselt das gesamte Startvolume und schließt in der Regel auch das Home-Verzeichnis ein. Automatisch geschieht das aber nicht, FileVault muss zuvor eingeschaltet werden. Damit sind alle Daten verschlüsselt und können lediglich durch das bekannte Passwort wieder entschlüsselt werden. Dieses Passwort kann jedoch über die Firmware (EFI) zurückgesetzt werden, darum sollte auch ein EFI Passwort gesetzt werden.
Firmware mit Passwort schützen
Ein Firmware-Passwort schützt gegen lokale Angriffsversuche, in dem es eine Sicherheitsschicht auf Hardware-Ebene hinzufügt und den Zugriff auf verschiedene Boot-Optionen einschränkt. Sei es das Booten von einem externen Speichermedium aus oder das Starten im Wiederherstellungsmodus, um die dortigen Mechanismen zur Manipulation zu verwenden, wie zum Beispiel das Zurücksetzen des Administrator-Kennworts.
Wenn es mit FileVault 2 kombiniert wird, macht das Firmware-Kennwort den Mac sehr sicher. Damit jemand Ihre Informationen stehlen kann, müsste er die Festplatte entfernen und sie entschlüsseln. Das bedeutet aber auch, dass der Verlust dieses Kennworts katastrophal sein kann. Umso besser, wenn FileVault durch eine Verwaltungslösung wie Jamf aktiviert wird und der Wiederherstellungsschlüssel dabei zentral gesichert wird.
Achtung bei neueren MacBooks mit Apple’s M1-Chip:
Bei diesen bietet Apple aufgrund der neuen Architektur bisher kein Firmware Passwort an. Um zumindest in ähnlichem Maße Kontrolle über das Gerät zu behalten empfehlen wir die Verwendung von Apple’s DEP, der automatischen Geräteregistrierung. So kann das Gerät ausschließlich mit dem zugewiesenen MDM eingerichtet werden. Vor dem einfachen Löschen des Macs schützt aber auch dies nicht, hier erwarten wir von Apple noch eine Lösung für Unternehmen; vor allem für solche ohne DEP.
Bis dahin können M1 Macs lediglich durch das Aktivieren der Festplattenverschlüsselung vor einem einfachen Passwort Reset bewahrt werden, in diesem Fall wird nach dem Wiederherstellungsschlüssel gefragt. Andernfalls kann das Passwort mittels Recovery ungehindert zurückgesetzt werden, falls der Mac in die falschen Hände gerät.
Freigaben deaktivieren
Manche Freigaben ergeben in einem lokalen Netzwerk Sinn, erleichtern die Zusammenarbeit oder ermöglichen Remote Zugriff für den eigenen IT-Support. Dennoch sollte hier folgende Regel angewandt werden: Ist man unsicher welche Freigabe wofür explizit gebraucht wird, deaktiviert man diese besser. Möglichen Angreifern (vor allem außerhalb des heimischen oder Firmen- Netzes) soll es nicht zu leicht gemacht werden.
Wie sich die eingebauten Sicherheitsmechanismen einfach per zentraler Geräteverwaltung umsetzen lassen, zeigen wir gerne in einem direkten Austausch auf. Setzen Sie sich mit uns in Verbindung und vereinbaren ein unverbindliches erstes Beratungsgespräch.
Mehr erfahren
Erfahren Sie alles über macOS Ventura und seine aufregenden neuen Funktionen. Lesen Sie unseren Blog für die neuesten Updates und Verbesserungen.
Das neue macOS „Monterey“ ist verfügbar und bringt einige Verbesserungen sowie neue Funktionen mit sich. Welche das sind, lesen Sie in folgendem Artikel.
Das aktuelle macOS (Big Sur) verwendet kryptographische Technologien um Zugriff auf Dateien ohne gültige Signatur zu verhindern.
Jens Reichardt
Business Development Executive
E-Mail: jreichardt@spirit21.com
Jens ist Experte für Smart Workplace-Lösungen mit Fokus Digital Employee Experience- und Endgeräte-Management. Ganz gleich, ob es um iOS, Android, Windows oder macOS geht, bei Jens sind Sie in den besten Händen, wenn Sie Fragen haben.