¿Qué punto tiene usar una cuenta cotidiana que no sea de administrador en OS X?

19

Este consejo es antiguo pero vuelve a estar de moda. Lo he visto mucho recientemente, en varios sitios web o foros de Mac. "Su cuenta de usuario 'cotidiana' no debe ser una cuenta de administrador. Debe ser una cuenta estándar creada para este propósito, y debe iniciar sesión en la cuenta de administrador solo para realizar tareas de administrador reales».

Este parece ser un consejo común en el mundo de Windows, pero para un sistema OS X actualizado, simplemente no puedo entender qué tipo de beneficios trae. Vamos a profundizar en eso:

  • Las cuentas de administrador de OS X no son cuentas raíz. Cualquier aplicación que desee ir a la raíz le pedirá su contraseña de todos modos, por lo que no veo ninguna capa de seguridad adicional aquí. Intenta ponerlo /varen la basura.
  • La modificación profunda del sistema operativo o la inyección de código en los archivos más críticos ha sido impedida por SIP de El Capitan, ya sea administrador, root o nadie. Lo que es más, en lugares sensibles donde todavía están permitidos, tales modificaciones requerirían al menos una contraseña de root, incluso desde una cuenta de administrador, lo que nos lleva de vuelta al primer argumento.
  • Para el spyware, las preocupaciones de privacidad y este tipo de cosas, el uso de cuentas estándar proporciona poca protección adicional, si la hay. Hasta donde yo sé, incluso cuando se usan desde una cuenta estándar, las aplicaciones tienen acceso total a los archivos personales del usuario y tienen acceso completo a la red (menos cualquier firewall, etc.). Si una mala aplicación quiere enviar a casa sus documentos, puede hacerlo perfectamente desde una cuenta estándar.
  • Las líneas básicas de defensa (firewall, ejecución de aplicaciones confiables, etc.) abarcan todo el sistema.
  • Por otro lado, es difícil cambiar a su cuenta de administrador y luego volver a su cuenta estándar, de ida y vuelta. En realidad, esto puede terminar con el usuario retrasando las actualizaciones o el mantenimiento del administrador, solo para ahorrar tiempo y posponer el manejo de la molestia.

Entonces, ¿por qué no usar una cuenta de administrador? Espero que esto no se marque como duplicado, otras preguntas relacionadas con este problema no abordaron estos argumentos.

Editar: la pregunta se aplica a una computadora que posee y controla.


fuente

Respuestas:

6

Solo hay una cuenta raíz en cada computadora con OS X y está deshabilitada de manera predeterminada. No tiene una contraseña y no puede iniciar sesión como root a menos que use específicamente la Utilidad de directorio y la habilite. Es peligroso, porque cuando se inicia sesión como root, el sistema omite toda autorización, ni siquiera pide una contraseña. En ese aspecto, una computadora con OS X está desarraigada , lo cual es A Good Thing ™.

Las cuentas de administrador son simplemente cuentas estándar que también están en el grupo de administradores . Cualquier acción en OS X realizada por un usuario conectado se compara con la base de datos de autorizaciones (puede ver sus reglas en /System/Library/Security/authorization.plist para ver si no se requiere autenticación o si es suficiente para autenticarse como el propietario de la sesión (usuario estándar que ha iniciado sesión), o debe ser miembro del grupo de administración. Proporciona un control muy preciso. Por lo tanto, se pueden presentar tres posibilidades, por ejemplo, en Preferencias del sistemaal hacer clic en el candado bloqueado. Al hacer clic, puede simplemente desbloquearse sin autenticación, puede ofrecer un diálogo de autenticación con el nombre de la cuenta ya ingresado (lo que significa que confirma que es usted) o puede ofrecer un diálogo de autenticación con los campos de nombre de cuenta y contraseña en blanco (lo que significa que no es administrador, por favor llame a un administrador para escribir sus credenciales).

Una regla general es que cualquier cosa que pueda afectar a otros usuarios en la computadora (cambio en todo el sistema) requerirá autenticación administrativa. Pero es más complejo que eso. Los usuarios estándar, por ejemplo, pueden instalar aplicaciones desde Mac App Store en la carpeta / Aplicaciones (que es un cambio en todo el sistema) pero no pueden omitir GateKeeper para ejecutar aplicaciones sin firmar, incluso si solo están dentro de sus propios datos. Los usuarios estándar no pueden invocar sudo que tiene un efecto secundario negativo de no requerir autenticación en una ventana de 10-15 minutos después de eso. Un script diseñado inteligentemente le pedirá una autenticación de administrador para algo que aprueba, pero después de eso hará todo tipo de cosas extrañas de las que no sabe nada.

Los usuarios estándar también se pueden administrar a través de controles parentales o perfiles de configuración y se pueden aplicar políticas de contraseña. Los usuarios administradores no pueden hacer tal cosa.

La Protección de integridad del sistema aborda el hecho de que las personas han estado haciendo clic a través de paquetes de instalación y proporcionando contraseñas tan fácilmente que los usuarios se han convertido en el enlace más débil. SIP solo intenta mantener el sistema a flote, nada más (y a veces falla en eso también).

No creería cuántas personas que he visto tienen un solo usuario en la computadora (que también es una cuenta de administrador) e incluso sin una contraseña de cuenta, solo para percibir una ligera disminución de molestia en forma de una actividad de ventana de inicio de sesión.

No puedo estar de acuerdo con tu opinión de que es difícil cambiar a una cuenta de administrador cuando sea necesario. Si está en la Terminal, solo necesita su myadminacct antes de hacer cualquier cosa, incluyendo sudo o iniciar Finder como otro usuario ejecutando /System/Library/CoreServices/Finder.app/Contents/MacOS/Finder .

En la GUI, bueno, las actualizaciones de Mac App Store (incluidas las actualizaciones de OS X) no requieren autenticación de administrador. Esos paquetes de instalación que terminan en la carpeta Descargas, incluidas las actualizaciones de Adobe Flash, sí, debe tener mucho cuidado antes de abrir los que realizan el trabajo adicional y asegurarse de que vengan del lugar correcto y que no estén llenos de problemas.

Es por eso que creo que usar una Mac con una cuenta estándar es mejor y más seguro que con un administrador, porque me protege de mis propios errores y descuidos. Incluso la mayoría de los usuarios expertos no inspeccionan cada script descargado línea por línea para ver si hay algo sospechoso.

Espero que los controles puedan ser aún más estrictos en el futuro, por ejemplo, la introducción de condiciones o cronogramas cuando una aplicación (o script o cualquier ejecutable) pueda ejecutarse o tener acceso a la red o que un ejecutable no pueda iniciarse si no lo hice No lo permití explícitamente (diálogo de autenticación) en el último mes más o menos.

boris42
fuente
1
Muchas gracias, y +50, esta es realmente la primera respuesta real (y la única hasta ahora) que obtuve
Me gustaría señalar que, como no administrador, puedo omitir Gatekeeper con el xattrcomando en la Terminal.
SilverWolf - Restablece a Mónica el
9

La seguridad se implementa mejor como una estrategia de múltiples capas y múltiples vectores .

El Principio de Privilegio Mínimo (POLP) es solo otro engranaje en la máquina que mantiene su computadora segura.

Todo lo que enumeró allí es bueno, pero nada de eso evitará que alguien se apodere de su computadora con una vulnerabilidad como el Hack de unidad caída .

  • ¿Cómo impide un firewall que un usuario inserte un USB con un exploit de control remoto incrustado en la unidad?

  • ¿Cómo impide SIP que un keylogger capture tus pulsaciones de teclas?

  • ¿Qué importancia tiene tener SIP cuando el administrador puede desactivarlo fácilmente ?

  • ¿Cómo evita que se instale software no autorizado / con licencia ilegal? Una cuenta de usuario restringida asegurará que los usuarios que no deberían estar instalando software no lo estén instalando.

Su última línea de defensa es usar una cuenta que no sea una cuenta de administrador para que pueda mitigar la amenaza al poner otra capa de seguridad (autenticación de usuario) cuando una pieza de malware intenta instalarse.

He estado diciendo esto por lo que parece eones ahora:

"Seguridad" no es un producto que compra o un interruptor que enciende; Es una práctica , es una mentalidad , aprovechar todas las herramientas que pueda para minimizar su riesgo.

Alano
fuente
2
Gracias; en realidad esto no responde realmente a la pregunta, debería haber dejado más claro que usé firewalls y SIP solo como ejemplos. "La seguridad no es un cambio, el uso de una cuenta que no sea de administrador agrega una capa de seguridad" , dice agradable, pero mi pregunta es cómo . ¿Puede describir una situación en la que la cuenta estándar realmente previene una amenaza mejor que una cuenta de administrador que solicita la contraseña de root, que puede ser aceptada / negada? Un keylogger, que yo sepa, ni siquiera está cerca de caer en esta categoría. Y si puede deshabilitar SIP sin que se le solicite su contraseña de root, ¡muéstreme cómo!
¿Qué te hace pensar que todas las amenazas están limitadas al malware? ¿Por qué permitiría que un usuario instale software que accede a datos / sistemas a los que no tiene acceso comercial? En segundo lugar, te das cuenta de que "sudo" está disponible para los administradores, ¿verdad?
Allan
No estoy negando la utilidad de las cuentas estándar en una tormenta de estupidez. La pregunta no es: ¿por qué existen cuentas estándar? Es solo: cuando usa su propia Mac, ¿hay una razón precisa y objetiva, desde un punto de vista de seguridad, para usar una cuenta estándar para las tareas cotidianas, en lugar de iniciar sesión en su cuenta de administrador?
Esa distinción no está en tu pregunta, ¿verdad? Ahora, en cuanto a Windows, reduce automáticamente tu POLP en función de lo que estás haciendo, incluso si eres administrador. También parece pasar por alto el "Hack de unidad caída" donde las personas simplemente escribirán "willy nilly" su contraseña en cualquier cuadro de diálogo que aparezca. Tener una cuenta estándar protege contra eso.
Allan
3

En general, se considera una mejor práctica utilizar una cuenta que no tenga más privilegios de los necesarios. En general, esto significa que debe usar una cuenta que tenga el nivel de privilegio más bajo posible y elevar sus privilegios cuando sea necesario para una tarea específica que requiere los privilegios más altos.

Sin embargo, esto se vuelve molesto bastante rápido. La razón de esto es que lo que parece una tarea simple para usted o para mí ("Solo quería encender el WiFi") es visto como una operación privilegiada para el sistema operativo ("Desea habilitar un dispositivo de red y permitir la máquina para ser puesto en alguna red aleatoria ").

Lograr un equilibrio entre conveniencia y seguridad es mucho más difícil de lo que parece, y mi sensación personal es que OS X hace un trabajo mucho mejor que algunos otros sistemas operativos como Windows.

Si se ejecuta como administrador todo el tiempo, puede hacer clic accidentalmente en un correo electrónico que contiene algún enlace a un sitio que contiene crapware, y automáticamente ejecuta un script que realiza alguna reconfiguración sin su conocimiento. Pero si está ejecutando como un usuario no privilegiado, tan pronto como se ejecute ese script, el sistema operativo abrirá un cuadro de diálogo que dice "este script malicioso quiere hacer algo a su computadora. Confirme escribiendo su contraseña". Esto generalmente causaría alarma o sorpresa, si no es algo que esperaría ver en ese momento.

Además, lo que es más importante, configura una computadora para otra persona. Alguien que no tenga conocimientos de informática en su familia. Es una excelente idea darles un inicio de sesión no privilegiado y conservar la contraseña de administrador para usted, por lo que la próxima vez que hagan clic en cualquier basura vieja (como es habitual), NO PUEDEN infestar la computadora con crapware. A veces se quejan cuando haces esto, pero solo tienes que recordarles que en ese momento tenían 35 barras de herramientas instaladas en IE 6, y cada vez que hicieron una búsqueda en Google obtuvieron páginas de ventanas emergentes pornográficas, antes de aceptar a regañadientes que podría Se una buena idea. La desventaja es que lo llamarán con más frecuencia para que desbloquee su computadora cuando quieran actualizar el complemento Flash.

Como se dijo antes: la seguridad es una actitud, no un simple cambio que puede cambiar.

Scott Earle
fuente
1
¡Gracias! ¿Algún ejemplo de tal script? Quiero decir, ¿un script de basura de un sitio web que se ejecutará sin ninguna solicitud de contraseña si se inicia como administrador, pero se bloquea si está utilizando una cuenta estándar? - No quiero sonar molesto, realmente me pregunto ;-) Mi impresión es que, como dijiste, OS X eleva el listón bastante alto en términos de requisitos de contraseña, incluso de los administradores (de ahí la pregunta)
No tengo un ejemplo, pero es muy posible que se pueda crear un script para que aparezca una solicitud de aspecto inocuo para ejecutar (no debería requerir elevación para hacerlo), y si el usuario no es un administrador, entonces lo haría pida autenticarse como administrador, donde podría no hacerlo si el usuario actual ya es administrador.
Scott Earle
2

Déjame ver cómo funcionarían tus razones o no:

  1. Las cuentas de administrador no son root. Si bien es cierto, es posible que puedan llamar sudoy tal vez incluso tengan la contraseña lista para ingresar (o sudose configuró para que no solicite la contraseña).

  2. SIP (Protección de integridad del sistema): esta es solo una capa que no es suficiente para todos los ataques. Puede ser deshabilitado? ¡Aun mejor!

  3. Argumento de spyware: Bueno, tal vez. Los privilegios aún no están lo suficientemente separados. Pero aun así, sigue siendo una limitación.

  4. Las líneas básicas de defensa abarcan todo el sistema: el número 1 dice que las aplicaciones que se ejecutan en cuentas de administrador pueden obtener root.

  5. ¿Traspuesta? Es ampliamente conocido que puede realizar tareas relacionadas con el administrador desde cuentas estándar siempre que ingrese la contraseña de la cuenta de administrador. No es necesario hacer un cambio real de cuentas.

Paul Stelian
fuente
Bienvenido a Ask Different. Un consejo ... no "atacamos" nada aquí. Considere reescribir su respuesta para no ser tan conflictivo.
Allan
@Allan ¿Quizás esta edición lo haría "parecer" mejor?
Paul Stelian
1
Mucho mejor. Vea mis ediciones para ver ejemplos de cómo formatear usando el marcado HTML (limitado) y algunas de las frases.
Allan
@Allan Gracias por las ediciones. El marcado del código en realidad estaba bastante versado, sin embargo, en realidad no pensé en poner el " sudo" nombre en dicho código. Sin embargo, no estoy seguro de cómo hiciste esa enumeración real (también estoy acostumbrado a Quora, que lo hace de forma automática ahora)
Paul Stelian
1
Eso no lo sé. Solo inténtalo en tu próxima pregunta / respuesta.
Allan
2

Si tiene otros miembros de la familia que no son expertos en informática, o si desea restringir su acceso (por ejemplo, niños), o si es un empleador que desea restringir el acceso a los empleados que pueden usar la máquina, entonces absolutamente sí; Todavía hay razones para tener cuentas no administrativas en osx para uso diario.

Si posee una computadora y desea controlarla, use una cuenta administrativa.

Si no desea que otros usuarios puedan "administrar" nada, entonces las cuentas que no son de administrador son muy útiles. Además, nunca se sabe cuándo es posible que deba prestar la máquina fuera del brazalete en un momento en que alguien pregunta "oye, ¿podría prestarme tu Mac para hacer algo realmente rápido?", Da tranquilidad para poder cerrar sesión y volver a iniciar sesión en lo que algunos pueden considerar como una cuenta 'semi-invitado' para la que ha creado y adaptado permisos.

Phil Rawson
fuente
0

Probablemente haya otras razones, pero esta es la mía: no es posible establecer restricciones en la cuenta de administrador. Es útil tener restricciones para evitar visitar sitios indeseables o peligrosos.

KittyKatCoder
fuente
¿Por qué el voto negativo?
KittyKatCoder