Apa gunanya menggunakan akun non-admin sehari-hari di OS X?

19

Nasihat ini sudah tua tetapi kembali menjadi mode. Saya telah melihatnya banyak baru-baru ini, di sejumlah situs web Mac atau forum. "Akun pengguna 'sehari-hari' Anda tidak boleh menjadi akun admin. Itu harus akun standar yang dibuat untuk tujuan ini, dan Anda harus masuk ke akun admin hanya untuk melakukan tugas-tugas admin yang sebenarnya.»

Ini tampaknya menjadi saran umum di dunia Windows, tetapi untuk sistem OS X terbaru, saya tidak bisa mengerti manfaat apa yang diberikannya. Mari kita gali:

  • Akun admin OS X bukan akun root. Aplikasi apa pun yang ingin di-root akan tetap meminta kata sandi Anda, jadi saya tidak melihat lapisan keamanan tambahan di sini. Coba masukkan /varke Tempat Sampah.
  • Modifikasi OS yang dalam atau injeksi kode ke dalam sebagian besar file penting telah dicegah oleh SIP dari El Capitan, apakah Anda admin, root atau bukan siapa-siapa. Terlebih lagi, di tempat-tempat sensitif di mana mereka masih diizinkan, modifikasi seperti itu membutuhkan paling tidak kata sandi root, bahkan dari akun admin, membawa kita kembali ke argumen pertama.
  • Untuk spyware, masalah privasi, dan hal-hal semacam ini, menggunakan akun standar memberikan sedikit perlindungan tambahan, jika ada. Sejauh yang saya tahu, bahkan ketika digunakan dari akun standar, aplikasi memiliki akses penuh ke file pribadi pengguna dan memiliki akses jaringan penuh (minus firewall apa pun, dll.). Jika aplikasi yang buruk ingin mengirimkan dokumen Anda ke rumah, ia dapat melakukannya dengan sempurna dari akun standar.
  • Garis dasar pertahanan (firewall, menjalankan aplikasi tepercaya, dan sebagainya) adalah sistem yang luas.
  • Di sisi lain, sulit untuk beralih ke akun admin Anda, lalu beralih kembali ke akun standar Anda, bolak-balik. Ini sebenarnya bisa berakhir dengan pengguna menunda pembaruan atau pemeliharaan admin, hanya untuk menghemat waktu dan menunda berurusan dengan kerumitan.

Jadi, mengapa tidak menggunakan akun admin? Saya harap ini tidak akan ditandai sebagai duplikat, pertanyaan lain yang terkait dengan masalah ini tidak membahas argumen ini.

Sunting: pertanyaan ini berlaku untuk komputer yang Anda miliki dan kendalikan.

macos security permission user-account
sumber

Jawaban:

6

Hanya ada satu akun root di setiap komputer OS X dan dinonaktifkan secara default. Tidak memiliki kata sandi dan Anda tidak dapat masuk sebagai root kecuali Anda secara khusus menggunakan Direktori Utility dan mengaktifkannya. Ini berbahaya, karena ketika login sebagai root , sistem akan melewati semua otorisasi - bahkan tidak meminta kata sandi. Dalam aspek itu, komputer OS X memang tak menentu , yaitu A Good Thing ™.

Akun admin hanyalah akun standar yang juga ada di grup admin . Setiap tindakan dalam OS X yang dilakukan oleh pengguna yang masuk diperiksa terhadap basis data otorisasi (Anda dapat melihat aturannya di /System/Library/Security/authorization.plist untuk melihat apakah tidak diperlukan otentikasi atau cukup disahkan sebagai otentikasi pemilik sesi (pengguna standar yang login), atau Anda harus menjadi anggota grup admin. Ini memberikan kontrol yang sangat halus. Jadi, tiga kemungkinan dapat terjadi, misalnya dalam Preferensi Sistemsaat mengklik gembok yang terkunci. Setelah mengklik, itu mungkin hanya membuka kunci tanpa otentikasi, mungkin menawarkan dialog otentikasi dengan nama akun yang sudah dimasukkan (yang berarti harap konfirmasi itu Anda) atau dapat menawarkan dialog otentikasi dengan bidang nama akun dan kata sandi kosong (yang berarti Anda bukan admin, tolong panggil admin untuk mengetikkan kredensial di).

Aturan praktisnya adalah bahwa apa pun yang dapat memengaruhi pengguna lain di komputer (perubahan di seluruh sistem) akan memerlukan otentikasi administratif. Tapi ini lebih kompleks dari itu. Pengguna standar, misalnya, dapat menginstal aplikasi dari Mac App Store di folder / Aplikasi (yang merupakan perubahan seluruh sistem) tetapi tidak dapat mem-bypass GateKeeper untuk menjalankan aplikasi yang tidak ditandatangani bahkan jika hanya di dalam data mereka sendiri. Pengguna standar tidak dapat memanggil sudo yang memiliki efek samping buruk karena tidak memerlukan otentikasi dalam jendela 10-15 menit setelah itu. Sebuah skrip yang dirancang dengan cerdik akan meminta Anda untuk autentikasi admin untuk sesuatu yang Anda setujui, tetapi setelah itu skrip ini akan melakukan segala macam hal aneh yang tidak Anda ketahui.

Pengguna standar juga dapat dikelola melalui kontrol orang tua atau profil konfigurasi dan dapat menerapkan kebijakan kata sandi. Pengguna admin tidak dapat melakukan hal seperti itu.

System Integrity Protection membahas fakta bahwa orang-orang telah mengklik melalui paket-paket pemasang dan menyediakan kata sandi dengan begitu mudahnya sehingga pengguna menjadi tautan terlemah. SIP hanya mencoba untuk menjaga sistem tetap terapung, tidak ada yang lain (dan terkadang gagal juga).

Anda tidak akan percaya berapa banyak orang yang saya lihat yang hanya memiliki satu pengguna di komputer (yang juga merupakan akun admin) dan bahkan tanpa kata sandi akun, hanya untuk merasakan sedikit penurunan gangguan dalam bentuk aktivitas jendela masuk.

Saya tidak setuju dengan pendapat Anda bahwa sulit untuk beralih ke akun admin bila perlu. Jika Anda berada di Terminal, Anda hanya perlu su myadminacct sebelum melakukan apa pun, termasuk sudo atau meluncurkan Finder sebagai pengguna lain dengan menjalankan /System/Library/CoreServices/Finder.app/Contents/MacOS/Finder .

Di GUI, well, pembaruan Mac App Store (termasuk pembaruan OS X) tidak memerlukan otentikasi admin. Paket-paket installer yang berakhir di folder Unduhan, termasuk pembaruan Adobe Flash, ya, Anda harus sangat berhati-hati sebelum membuka mereka yang melakukan pekerjaan ekstra dan memastikan triple bahwa mereka datang dari tempat yang tepat dan tidak penuh dengan kejahatan.

Itu sebabnya saya pikir menggunakan Mac dengan akun standar lebih baik dan lebih aman daripada dengan admin, karena melindungi saya dari kesalahan dan pengawasan saya sendiri. Bahkan mayoritas pengguna yang berpengetahuan luas tidak memeriksa setiap skrip unduhan baris demi baris untuk melihat apakah ada sesuatu yang mencurigakan.

Saya berharap bahwa kontrol dapat menjadi lebih ketat di masa depan, misalnya memperkenalkan kondisi atau jadwal ketika aplikasi (atau skrip atau yang dapat dieksekusi) dapat dijalankan atau memiliki akses ke jaringan atau bahwa yang dapat dieksekusi bahkan mungkin tidak dimulai jika saya tidak melakukannya. dapat secara eksplisit mengizinkannya (dialog otentikasi) dalam sebulan terakhir ini.

boris42
sumber
1
Terima kasih banyak, dan +50, ini benar-benar jawaban nyata pertama (dan satu-satunya sejauh ini) yang saya dapat
Saya ingin menunjukkan bahwa sebagai non-administrator, saya dapat mem-bypass Gatekeeper dengan xattrperintah di Terminal.
SilverWolf - Pasang kembali Monica
9

Keamanan paling baik diimplementasikan sebagai Strategi Multi Layered, Multi Vectored .

The Prinsip Least Privilege (POLP) hanya gigi lain di mesin yang membuat komputer Anda aman.

Semua yang Anda daftarkan semuanya baik-baik saja tetapi tidak ada yang akan mencegah seseorang mengambil alih komputer Anda dengan exploit seperti Dropped Drive Hack .

  • Bagaimana cara firewall mencegah pengguna memasukkan USB dengan eksploit kendali jarak jauh yang tertanam di drive?

  • Bagaimana SIP mencegah keylogger dari menangkap penekanan tombol Anda?

  • Bagaimana bahkan memiliki SIP ketika dapat dengan mudah dinonaktifkan oleh Admin?

  • Bagaimana Anda mencegah perangkat lunak yang tidak sah / berlisensi tidak diinstal? Akun pengguna terbatas akan memastikan bahwa pengguna yang tidak boleh menginstal perangkat lunak tidak menginstal perangkat lunak.

Baris pertahanan terakhir Anda menggunakan akun yang bukan akun Admin sehingga Anda dapat mengurangi ancaman dengan memasang lapisan keamanan lain (otentikasi pengguna) ketika sepotong malware mencoba memasang sendiri.

Saya telah mengatakan ini selama ribuan tahun sekarang:

"Keamanan" bukanlah produk yang Anda beli atau sakelar yang Anda nyalakan; itu adalah praktik , itu pola pikir , untuk memanfaatkan semua alat yang Anda bisa untuk meminimalkan risiko Anda.

Allan
sumber
2
Terima kasih; sebenarnya ini tidak benar-benar menjawab pertanyaan, saya harus menjelaskan bahwa saya menggunakan firewall dan SIP sebagai contoh saja. "Keamanan bukan saklar, menggunakan akun non-admin menambah lapisan keamanan" Perkataan yang bagus, tapi pertanyaan saya adalah bagaimana . Bisakah Anda menggambarkan situasi di mana akun standar sebenarnya mencegah ancaman lebih baik daripada akun admin yang meminta kata sandi root, yang dapat diterima / ditolak? Keylogger, sejauh yang saya tahu, bahkan tidak termasuk dalam kategori ini. Dan jika Anda dapat menonaktifkan SIP tanpa diminta kata sandi root Anda, well, tunjukkan caranya!
Apa yang membuat Anda berpikir bahwa semua ancaman terbatas pada malware? Mengapa Anda mengizinkan pengguna untuk menginstal perangkat lunak yang mengakses data / sistem yang tidak mereka akses bisnis? Kedua, Anda menyadari bahwa "sudo" tersedia untuk Admin, bukan?
Allan
Saya tidak menyangkal kegunaan akun standar dalam badai kebodohan. Pertanyaannya bukan: mengapa akun standar ada? Hanya saja: ketika Anda menggunakan Mac Anda sendiri, adakah alasan yang tepat dan faktual, dari sudut pandang keamanan, untuk menggunakan akun standar untuk tugas sehari-hari, alih-alih masuk ke akun admin Anda.
Perbedaan itu ada di mana dalam pertanyaan Anda, sekarang kan? Sekarang, seperti untuk Windows, itu secara otomatis mengurangi POLP Anda berdasarkan apa yang Anda lakukan bahkan jika Anda seorang admin. Anda juga tampaknya mengabaikan "Dropped Drive Hack" di mana orang hanya akan "mau tak mau" mengetik kata sandi mereka di kotak dialog apa pun yang muncul. Memiliki akun standar melindungi dari itu.
Allan
3

Biasanya dianggap praktik terbaik untuk menggunakan akun yang tidak memiliki hak istimewa lebih dari yang diperlukan. Apa artinya ini secara umum adalah bahwa Anda harus menggunakan akun yang memiliki tingkat privilege serendah mungkin, dan meningkatkan hak istimewa Anda ketika diperlukan untuk tugas tertentu yang membutuhkan hak istimewa lebih tinggi.

Namun, ini agak cepat mengganggu. Alasan untuk ini adalah bahwa apa yang tampak seperti tugas sederhana untuk Anda atau saya ("Saya hanya ingin mengaktifkan WiFi") dipandang sebagai operasi istimewa untuk OS ("Anda ingin mengaktifkan perangkat jaringan dan memungkinkan mesin untuk dimasukkan ke beberapa jaringan acak ").

Mencapai keseimbangan antara kenyamanan dan keamanan jauh lebih sulit daripada kedengarannya, dan perasaan pribadi saya adalah bahwa OS X melakukan pekerjaan yang jauh lebih baik daripada beberapa OSen lain di luar sana seperti Windows.

Jika Anda menjalankan sebagai administrator sepanjang waktu, Anda mungkin secara tidak sengaja mengklik email yang berisi beberapa tautan ke situs yang berisi crapware, dan secara otomatis menjalankan skrip yang melakukan konfigurasi ulang tanpa sepengetahuan Anda. Tetapi jika Anda menjalankan sebagai pengguna yang tidak memiliki hak istimewa, maka segera setelah skrip dijalankan OS akan memunculkan dialog yang mengatakan "skrip berbahaya ini ingin melakukan sesuatu pada komputer Anda. Harap konfirmasi dengan mengetikkan kata sandi Anda". Ini biasanya akan menyebabkan alarm atau kejutan, jika itu bukan sesuatu yang Anda harapkan untuk dilihat pada saat itu.

Juga - yang lebih penting, Anda mengatur komputer untuk orang lain. Seseorang yang tidak melek komputer di keluarga Anda. Ini adalah ide yang bagus untuk memberi mereka login non-istimewa, dan simpan kata sandi admin untuk Anda sendiri, jadi lain kali mereka mengklik sampah lama (seperti biasa), mereka TIDAK BISA menginfestasi komputer dengan crapware. Mereka terkadang mengeluh ketika Anda melakukan ini, tetapi Anda hanya perlu mengingatkan mereka saat itu bahwa mereka memasang 35 toolbar di IE 6, dan setiap kali mereka melakukan pencarian google, mereka mendapat halaman-halaman popup pornografi, sebelum mereka dengan enggan setuju bahwa itu mungkin menjadi ide yang bagus. Kelemahannya adalah bahwa mereka akan memanggil Anda lebih sering untuk membuat Anda membuka kunci komputer mereka ketika mereka ingin memperbarui plugin Flash.

Seperti dikatakan sebelumnya: keamanan adalah suatu sikap, bukan saklar sederhana yang dapat Anda balikkan.

Scott Earle
sumber
1
Terima kasih! Adakah contoh naskah seperti itu? Maksud saya, skrip omong kosong dari situs web yang akan dijalankan tanpa kata sandi jika diluncurkan sebagai admin, tetapi diblokir jika Anda menggunakan akun standar? - Saya tidak ingin terdengar menyebalkan, saya benar-benar bertanya-tanya ;-) Kesan saya adalah bahwa, seperti yang Anda katakan, OS X menaikkan standar persyaratan kata sandi, bahkan dari admin (karenanya pertanyaannya)
Saya tidak punya contoh, tetapi sangat mungkin bahwa skrip mungkin dibuat sehingga muncul permintaan yang tampak tidak berbahaya untuk dijalankan (tidak perlu elevasi untuk melakukan itu), dan jika pengguna bukan admin maka akan meminta untuk mengotentikasi sebagai admin, di mana mungkin tidak jika pengguna saat ini sudah menjadi admin.
Scott Earle
2

Biarkan saya melihat bagaimana alasan Anda akan berfungsi atau tidak:

  1. Akun admin tidak root. Meskipun benar, mereka mungkin dapat menelepon sudodan mungkin mereka bahkan memiliki kata sandi yang siap untuk input (atau sudodikonfigurasi untuk tidak meminta kata sandi).

  2. SIP (System Integrity Protection): Ini hanya satu lapisan yang tidak cukup untuk semua serangan. Bisakah dinonaktifkan? Bahkan lebih baik!

  3. Argumen spyware: Ya, mungkin. Hak istimewa masih belum cukup terpisah. Namun demikian, itu masih sebuah batasan.

  4. Garis pertahanan dasar bersifat sistem: # 1 mengatakan aplikasi yang berjalan di akun admin bisa mendapatkan root.

  5. Beralih? Sudah diketahui secara luas bahwa Anda dapat melakukan tugas terkait admin dari akun standar selama Anda memasukkan kata sandi akun admin. Tidak perlu benar-benar melakukan pergantian akun yang nyata.

Paul Stelian
sumber
Selamat Datang di Tanya Berbeda. Sepotong nasihat ... kita tidak "menyerang" apa pun di sini. Pertimbangkan untuk menulis ulang jawaban Anda agar tidak terlalu konfrontatif.
Allan
@ Allan Mungkin hasil edit ini akan membuatnya "tampak" lebih baik?
Paul Stelian
1
Jauh lebih baik. Lihat hasil edit saya untuk contoh cara memformat menggunakan markup HTML (terbatas) dan beberapa frasa.
Allan
@ Allan Terima kasih atas suntingannya. Markup kode saya sebenarnya cukup berpengalaman tetapi saya tidak benar-benar berpikir untuk menempatkan nama " sudo" dalam kode tersebut. Saya tidak yakin bagaimana Anda melakukan enumerasi yang sebenarnya (saya juga terbiasa dengan Quora yang melakukannya secara otomatis sekarang)
Paul Stelian
1
Saya tidak tahu itu. Coba saja pertanyaan / jawaban Anda berikutnya.
Allan
2

Jika Anda memiliki anggota keluarga lain yang tidak paham komputer, atau Anda ingin membatasi akses mereka (mis. Anak-anak), atau Anda adalah majikan yang ingin membatasi akses ke karyawan yang mungkin menggunakan mesin, maka tentu saja ya; masih ada alasan untuk memiliki akun non-admin di osx untuk penggunaan sehari-hari.

Jika Anda memiliki komputer dan ingin mengendalikannya, gunakan akun administratif.

Jika Anda tidak ingin pengguna lain dapat "mengelola" apa pun, maka akun non-admin sangat membantu. Anda juga tidak pernah tahu kapan Anda mungkin perlu meminjamkan mesin dari borgol ketika seseorang bertanya "hei, bisakah saya meminjam mac Anda untuk melakukan sesuatu dengan sangat cepat?", Memberikan ketenangan pikiran untuk dapat logout dan log mereka menjadi apa yang beberapa orang anggap sebagai akun 'semi-tamu' yang telah Anda buat dan izin yang disesuaikan untuk.

Phil Rawson
sumber
0

Mungkin ada alasan lain, tapi ini alasan saya: tidak mungkin untuk membuat batasan pada akun admin. Berguna untuk memiliki batasan untuk mencegah seseorang mengunjungi situs yang tidak diinginkan atau berbahaya.

KittyKatCoder
sumber
Mengapa downvote?
KittyKatCoder