Im Alltag sicherer als Standard-Nutzer
Privileges.app von SAP: Nur noch auf Zuruf zum Admin
Die Software-Schmiede SAP, zuletzt vor allem als Entwickler der offiziellen Corona-Warn-App in den Schlagzeilen, bietet mit Privileges.app eine Open-Source-App für Mac-Anwender an, die sich vor allem an Nutzern im Unternehmensumfeld richtet. Die Idee hinter Privileges.app ist schnell erklärt.
Statt sich auf dem persönlichen Mac standardmäßig als Admin einzuloggen, soll Privileges.app die Nutzung der eigenen Maschine mit einem regulären Account komfortabler machen, indem die App eine einfache Möglichkeit zur Verfügung stellt, sich im Bedarfsfall schnell als Admin zu autorisieren.
Im Alltag sicherer als Standard-Nutzer
Dies kann in der Privileges.app zudem vorübergehend erfolgen. Statt sich aktiv wieder zum Wechsel auf den regulären Nutzer-Account zu entscheiden, bietet Privileges.app ein Zeitfenster an, nach dessen Ablauf die Admin-Rechte wieder entzogen werden.
Einmal installiert, lassen sich die Admin-Rechte mit einem Klick auf das Dock-Symbol der Privileges.app aktivieren.
Von macOS Sierra bis macOS Ventura
Die Open-Source-Anwendung ist über das Code-Portal GitHub erhältlich und lässt sich auf allen macOS-Versionen seit macOS 10.12.6 einsetzen, bis hin zu den jüngsten Vorabversionen von macOS 13 beta. Auf GitHub äußern sich die SAP-Verantwortlichen auch zur Motivation hinter der Bereitstellung der nur sechs Megabyte kleinen Applikation.
Bei SAP ist man der Überzeugung, dass der Einsatz des eigenen Macs als Standardbenutzer anstelle eines Administratoren die Sicherheit des Systems positiv beeinflussen kann. Die Privileges.app würde es dann möglich machen, nur bei wirklichem Bedarf als Systemadministrator zu agieren.
Privileges.app steht inzwischen in Version 1.5.3 zum Download zur Verfügung und bietet per Rechtsklick zudem die beiden Möglichkeiten an, schnell den Bildschirm zu sperren und schnell zum Anmeldebildschirm zu wechseln.
Klingt gut – aber ist man als Admin-User beim Mac nicht sowieso mit eingeschränkten Rechten unterwegs und muss für bestimmte Aktionen sein Passwort eingeben (um den Admin-Zugriff zu bestätigen)?
Z.B. nach Klick auf ein Vorhängeschloss?
So ist es. Ein Benutzer hat „normale“ User-Rechte, ist er zusätzlich „Admin“, kann er bei Bedarf seine Rechte analog zu sudo heraufstufen. Technisch ist es wirklich ein sudo, nur eben grafisch.
Das stimmt zwar, trotzdem bin ich immer als normaler Benutzer unterwegs und habe für administrative Arbeiten zusätzlich ein Administrationskonto. Dies erhöht noch einmal die Sicherheit und hat im Alltag fast keine Komforteinbußen. Falls z. B. ein Prozess meines normalen Benutzers gekapert wird, kann er nur so viel Schaden anrichten wie es eben mein Standardbenutzer zulässt – und nichts weiter. Um weiteren Schaden anrichten zu können ist erst einmal ein weiterer Benutzerwechsel notwendig.
Wenn ein Prozess gekapert wird, ist es ein Standardbenutzer. Ohne deine Zustimmung kann der nicht zu root werden.
Wie schon gesagt, das stimmt. Nur ist so noch ein Schritt mehr nötig. Und das kann entscheidend sein.
Ich nutze Previleges seit über einem Jahr, finde die App praktisch und möchte sie nicht mehr missen.
Wir haben was ähnliches auf unseren Jamf-verwalteten Macs im Jamf App Catalog und können uns damit temporär zum Admin per Knopfdruck machen, unheimlich praktisch.
Also ich kann für Unternehmen Admin By Request empfehlen!