Qual o sentido de usar uma conta diária não-administrativa no OS X?

19

Este conselho é antigo, mas está voltando à moda. Eu já vi isso muito recentemente, em vários sites ou fóruns do Mac. "Sua conta de usuário 'cotidiana' não deve ser uma conta de administrador. Deve ser uma conta padrão criada para esse fim, e você deve fazer logon na conta de administrador apenas para executar tarefas de administrador reais.»

Esse parece ser um conselho comum no mundo do Windows, mas para um sistema OS X atualizado, simplesmente não consigo entender que tipo de benefícios ele traz. Vamos cavar:

  • As contas de administrador do OS X não são contas raiz. Qualquer aplicativo que deseje obter root solicitará sua senha de qualquer maneira, portanto, não vejo nenhuma camada de segurança adicional aqui. Tente colocar /varno lixo.
  • A modificação profunda do SO ou a injeção de código nos arquivos mais críticos foi impedida pelo SIP do El Capitan, seja você administrador, raiz ou ninguém. Além disso, em locais sensíveis onde ainda são permitidos, essas modificações exigiriam uma senha root, no mínimo, mesmo de uma conta de administrador, trazendo-nos de volta ao primeiro argumento.
  • Para spyware, preocupações com privacidade e esse tipo de coisa, o uso de contas padrão fornece pouca proteção adicional, se houver. Até onde eu sei, mesmo quando usados ​​em uma conta padrão, os aplicativos têm acesso total aos arquivos pessoais do usuário e acesso total à rede (menos qualquer firewall, etc.). Se um aplicativo inválido quiser enviar para casa seus documentos, ele poderá fazê-lo perfeitamente em uma conta padrão.
  • As linhas básicas de defesa (firewall, execução de aplicativos confiáveis ​​etc.) são abrangentes ao sistema.
  • Por outro lado, é doloroso mudar para a sua conta de administrador e depois voltar para a sua conta padrão. Isso pode acabar atrasando as atualizações do usuário ou a manutenção do administrador, apenas para economizar tempo e adiar o aborrecimento.

Então, por que não usar uma conta de administrador? Espero que isso não seja marcado como duplicado, outras questões relacionadas a esse problema não abordaram esses argumentos.

Editar: a pergunta se aplica a um computador que você possui e controla.

macos  security  permission  user-account 

Respostas:

6

Há apenas uma conta raiz em todos os computadores com OS X e ela é desativada por padrão. Ele não possui uma senha e você não pode fazer login como root, a menos que use especificamente o Directory Utility e ative-o. É perigoso, porque quando logado como root, o sistema ignora todas as autorizações - nem sequer pede uma senha. Nesse aspecto, um computador OS X é realmente sem raízes , o que é uma coisa boa ™.

As contas de administrador são simplesmente contas padrão que também estão no grupo de administradores . Qualquer ação no OS X executada por um usuário conectado é verificada no banco de dados de autorização (você pode ver suas regras em /System/Library/Security/authorization.plist para verificar se nenhuma autenticação é necessária ou é suficiente para ser autenticada como o proprietário da sessão (usuário padrão que está conectado) ou você deve ser membro do grupo de administradores.Ele fornece um controle muito refinado.Portanto, três possibilidades podem ocorrer, por exemplo, em Preferências do Sistemaao clicar no cadeado bloqueado. Ao clicar, ele pode simplesmente ser desbloqueado sem autenticação, pode oferecer uma caixa de diálogo de autenticação com o nome da conta já inserido (o que significa que você deve confirmar que você é) ou pode oferecer uma caixa de diálogo de autenticação com os campos nome da conta e senha em branco (o que significa que você não é administrador, por favor chame um administrador para digitar suas credenciais).

Uma regra prática é que qualquer coisa que possa afetar outros usuários no computador (alteração em todo o sistema) exigirá autenticação administrativa. Mas é mais complexo que isso. Usuários padrão, por exemplo, podem instalar aplicativos da Mac App Store na pasta / Applications (que é uma alteração em todo o sistema), mas não podem ignorar o GateKeeper para executar aplicativos não assinados, mesmo que apenas dentro de seus próprios dados. Os usuários padrão não podem chamar o sudo, que tem um efeito colateral ruim de não exigir autenticação em uma janela de 10 a 15 minutos depois disso. Um script habilmente projetado solicitará uma autenticação de administrador para algo que você aprove, mas depois disso fará todo tipo de coisas malucas que você não conhece.

Os usuários padrão também podem ser gerenciados por meio de controles dos pais ou perfis de configuração e podem ter políticas de senha aplicadas. Os usuários administrativos não podem fazer isso.

O System Integrity Protection aborda o fato de as pessoas clicarem nos pacotes do instalador e fornecerem senhas tão facilmente que os usuários se tornaram o elo mais fraco. O SIP apenas tenta manter o sistema funcionando, nada mais (e às vezes falha nisso também).

Você não acreditaria em quantas pessoas eu vi que têm apenas um usuário no computador (que também é uma conta de administrador) e mesmo sem uma senha de conta, apenas para perceber uma ligeira diminuição no aborrecimento na forma de uma atividade da janela de login.

Não posso concordar com sua opinião de que é doloroso mudar para uma conta de administrador quando necessário. Se você estiver no Terminal, precisará apenas su myadminacct antes de fazer qualquer coisa, incluindo sudo ou iniciar o Finder como outro usuário executando /System/Library/CoreServices/Finder.app/Contents/MacOS/Finder .

Na GUI, bem, as atualizações da Mac App Store (incluindo atualizações do OS X) não requerem autenticação de administrador. Esses pacotes de instalador que acabam na pasta Downloads, incluindo atualizações do Adobe Flash, sim, você deve ter muito cuidado antes de abrir os trabalhos extras e garantir o triplo de que eles vêm do lugar certo e não estão cheios de maldade.

É por isso que acho que usar um Mac com uma conta padrão é melhor e mais seguro do que com um administrador, porque me protege de meus próprios erros e descuidos. Mesmo a maioria dos usuários experientes não inspeciona todos os scripts baixados linha por linha para ver se há algo suspeito acontecendo.

Espero que os controles possam ficar ainda mais rígidos no futuro, por exemplo, introduzindo condições ou agendamentos quando um aplicativo (ou script ou qualquer executável) puder ser executado ou ter acesso à rede ou que um executável possa nem mesmo ser iniciado se eu não o permitiu explicitamente (caixa de diálogo de autenticação) no mês passado.

boris42
fonte
1
Muito obrigado, e 50, esta é realmente a primeira resposta real (ea única até agora) que eu tenho
Gostaria de salientar que, como não administrador, posso ignorar o Gatekeeper com o xattrcomando no Terminal.
SilverWolf - Restabelece Monica
9

A segurança é melhor implementada como uma estratégia de várias camadas e de vários vetores .

O Princípio do Menor Privilégio (POLP) é apenas mais uma engrenagem na máquina que mantém seu computador seguro.

Tudo o que você listou é bom, mas nada impede que alguém assuma o controle do seu computador com uma exploração como o Dropped Drive Hack .

  • Como um firewall impede que um usuário insira um USB com uma exploração de controle remoto incorporada na unidade?

  • Como o SIP impede que um keylogger capture as teclas digitadas?

  • Como o SIP é importante quando pode ser facilmente desabilitado pelo administrador?

  • Como você impede a instalação de software não autorizado / licenciado ilegalmente? Uma conta de usuário restrita garantirá que os usuários que não deveriam instalar o software não estejam instalando o software.

Sua última linha de defesa está usando uma conta que não é uma conta de administrador, para que você possa atenuar a ameaça colocando outra camada de segurança (autenticação do usuário) quando um malware tenta se instalar.

Venho dizendo isso pelo que parece eras agora:

"Segurança" não é um produto que você compra ou um interruptor no qual você liga; é uma prática , é uma mentalidade , aproveitar todas as ferramentas possíveis para minimizar seu risco.

Allan
fonte
2
Obrigado; na verdade, isso realmente não responde à pergunta, eu deveria ter deixado mais claro que usei firewalls e SIP apenas como exemplos. "A segurança não é uma opção, o uso de uma conta que não seja administrador adiciona uma camada de segurança" Boas palavras, mas minha pergunta é como . Você pode descrever uma situação em que a conta padrão realmente evita uma ameaça melhor do que uma conta de administrador solicitando a senha root, que pode ser aceita / negada? Um keylogger, até onde eu sei, não está nem perto de se encaixar nessa categoria. E se você pode desativar o SIP sem ser solicitada sua senha root, mostre-me como!
O que faz você pensar que todas as ameaças são limitadas a malware? Por que você permitiria que um usuário instalasse um software que acessa dados / sistema que eles não têm acesso comercial? Em segundo lugar, você percebe que o "sudo" está disponível para os administradores, certo?
Allan
Não estou negando a utilidade de contas comuns em uma tempestade de estupidez. A questão não é: por que existem contas padrão? É justo: quando você usa seu próprio Mac, existe uma razão precisa e factual, do ponto de vista da segurança, para usar uma conta padrão para tarefas diárias, em vez de fazer login na sua conta de administrador.
Essa distinção não existe em sua pergunta, agora é? Agora, como no Windows, ele reduz automaticamente seu POLP com base no que você está fazendo, mesmo que seja um administrador. Você também parece encobrir o "Dropped Drive Hack", em que as pessoas simplesmente digitam "sua senha" em qualquer caixa de diálogo exibida. Ter uma conta padrão protege contra isso.
Allan
3

É geralmente considerado uma prática recomendada usar uma conta que não tenha mais privilégios do que o necessário. O que isso significa geralmente é que você deve usar uma conta com o menor nível de privilégio possível e elevar seus privilégios quando for necessário para uma tarefa específica que exija os privilégios mais altos.

No entanto, isso fica irritante rapidamente. A razão para isso é que o que parece uma tarefa simples para você ou para mim ("Eu só queria ligar o Wi-Fi") é visto como uma operação privilegiada para o sistema operacional ("Você deseja ativar um dispositivo de rede e permitir que a máquina para ser colocado em alguma rede aleatória ").

Encontrar um equilíbrio entre conveniência e segurança é muito mais difícil do que parece, e meu sentimento pessoal é que o OS X faz um trabalho muito melhor do que outros sistemas operacionais existentes, como o Windows.

Se você executa como administrador o tempo todo, pode clicar acidentalmente em um email que contém algum link para um site que contém crapware, e ele executa automaticamente um script que faz alguma reconfiguração sem o seu conhecimento. Mas se você estiver executando como um usuário não privilegiado, assim que o script for executado, o sistema operacional exibirá uma caixa de diálogo dizendo "esse script malicioso deseja fazer algo no seu computador. Confirme digitando sua senha". Isso geralmente causaria alarme ou surpresa, se não for algo que você esperaria ver naquele momento.

Além disso - mais importante, você configura um computador para outra pessoa. Alguém que não tenha conhecimentos de informática em sua família. É uma excelente idéia dar a eles um login sem privilégios e manter a senha de administrador, assim, da próxima vez que clicarem em qualquer lixo antigo (como é o seu costume), NÃO PODEM infestar o computador com crapware. Às vezes, eles reclamam quando você faz isso, mas você só precisa lembrá-los de que tinham 35 barras de ferramentas instaladas no IE 6 e, toda vez que faziam uma pesquisa no google, recebiam páginas de pop-ups pornográficos, antes de concordar de má vontade que seja uma boa ideia A desvantagem é que eles ligam para você com mais frequência para desbloquear o computador deles quando desejam atualizar o plug-in Flash.

Como já foi dito: segurança é uma atitude, não um simples interruptor que você pode ativar.

Scott Earle
fonte
1
Obrigado! Algum exemplo desse script? Quero dizer, um script porcaria de um site que será executado sem nenhum prompt de senha se for iniciado como administrador, mas bloqueado se você estiver usando uma conta padrão? - Eu não quero parecer irritante, eu realmente me pergunto ;-) Minha impressão é que, como você disse, o OS X eleva a fasquia bastante em termos de requisitos de senha, mesmo dos administradores (daí a pergunta)
Eu não tenho um exemplo, mas é bem possível que um script seja criado para que ele apareça uma solicitação de aparência inócua para ser executada (não deve exigir elevação para isso) e, se o usuário não for um administrador, será necessário peça para se autenticar como administrador, caso contrário, se o usuário atual já for um administrador.
Scott Earle
2

Deixe-me ver como seus motivos funcionariam ou não:

  1. Contas de administrador não são raiz. Embora verdadeiros, eles podem ligar sudoe talvez até tenham a senha pronta para entrada (ou sudofoi configurada para não solicitar senha).

  2. SIP (System Integrity Protection): Esta é apenas uma camada que não é suficiente para todos os ataques. Pode ser desativado? Melhor ainda!

  3. Argumento de spyware: Bem, talvez. Privilégios ainda não estão separados o suficiente. Mas, mesmo assim, ainda é uma limitação.

  4. As linhas de defesa básicas abrangem todo o sistema: o nº 1 diz que aplicativos executados em contas de administrador podem ganhar raiz.

  5. Mudando? É sabido que você pode executar tarefas relacionadas a administradores de contas padrão, desde que insira a senha da conta de administrador. Não é necessário fazer uma troca real de contas.

Paul Stelian
fonte
Bem-vindo ao perguntar diferente. Um conselho ... não "atacamos" nada aqui. Considere reescrever sua resposta para não ser tão conflituosa.
Allan
@ Allan Talvez essa edição faça com que "pareça" melhor?
Paul Stelian
1
Muito melhor. Veja minhas edições para obter exemplos de como formatar usando a marcação HTML (limitada) e algumas frases.
Allan Allan
@ Allan Obrigado pelas edições. A marcação do código na qual eu era realmente versada, no entanto, não pensei em colocar o sudonome " " nesse código. Eu não sei como você fez isso enumeração real embora (Eu também estou acostumado a Quora que faz isso automaticamente tipo de agora)
Paul Stelian
1
Eu não sei. Basta tentar na sua próxima pergunta / resposta.
Allan Allan
2

Se você tem outros membros da família que não possuem conhecimentos de informática, ou deseja restringir o acesso deles (por exemplo, filhos), ou se é um empregador que deseja restringir o acesso a funcionários que podem usar a máquina, então sim; ainda existem razões para ter contas não administrativas no osx para uso diário.

Se você possui um computador e deseja controlá-lo, use uma conta administrativa.

Se você não deseja que outros usuários possam "administrar" nada, as contas não administrativas são muito úteis. Além disso, você nunca sabe quando pode precisar emprestar a máquina do manguito, dado um momento em que alguém pergunta "ei, eu poderia simplesmente pedir emprestado ao seu Mac para fazer algo muito rapidamente?" eles para o que alguns consideram uma conta de 'semi-convidado' para a qual você criou e adaptou permissões.

Phil Rawson
fonte
0

Provavelmente existem outros motivos, mas aqui está o meu: não é possível colocar restrições na conta de administrador. É útil ter restrições para impedir que você visite sites indesejáveis ​​ou perigosos.

KittyKatCoder
fonte
Por que o voto negativo?
KittyKatCoder
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.