macOS High Sierra: root-Account absichern

Apple hat sich einen schweren Schnitzer erlaubt und versehentlich eine große Sicherheitslücke in macOS 10.13 und 10.13.1 eingebaut. Diese wurde über die vergangenen Tage ausführlich in den Medien diskutiert. Oft wird dabei nicht erwähnt, wie sich die Lücke schließen lässt. Denn ein Angreifer kann darüber Admin-Rechte erhalten.

Bei der Sicherheitslücke kann ein lokaler Nutzer Administratorrechte bekommen. Dabei ist keine Eingabe des Passworts notwendig. Das ganze funktioniert mit nur wenigen Klicks. Dieser Beitrag zeigt ein Workaround um den root-Account unter macOS High Sierra abzusichern. Damit müssen Benutzer nicht auf ein Update von Apple warten.

macOS High Sierra: root-Account absichern

Um den root-Account zu sichern, muss dieser aktiviert und mit einem Passwort versehen werden. Das funktioniert über das Dienstprogramm „Verzeichnisdienste“. Dieses lässt sich über die Spotlight-Suche aufrufen (Lupensymbol in der rechten oberen Ecke des Bildschirms). In der Spotlight-Suche muss nach „Verzeichnisdienste“ gesucht werden. Anschließend die Enter-Taste drücken.

Um die Verzeichnisdienste bearbeiten zu können, sind diese über das Schloss freizugeben. Es wird dazu der Nutzername und das Passwort eines Administrators benötigt. Unter „Bearbeiten“ findet sich die Funktion „root-Benutzer aktivieren“.

macOS High Sierra root-Benutzer aktivieren
macOS High Sierra root-Benutzer aktivieren (Bild: Screenshot).

Über einen Klick darauf kann ein Passwort für den root-Benutzer gesetzt werden. Jetzt ist der Zugang abgesichert. Ist der root-Benutzer bereit aktiv, sollte zur Sicherheit ein neues Passwort vergeben werden. Das lässt sich über „root-Passwort ändern“ (ebenfalls unter „Bearbeiten“ zu finden) bewerkstelligen. Dabei sollte ein sicheres Passwort gewählt werden.

Sobald Apple die Sicherheitslücke in macOS High Sierra über ein Update behebt, sollte der root-Zugang aus Sicherheitsgründen wieder deaktiviert werden. Dies ist ebenfalls über das Dienstprogramm „Verzeichnisdienste“ möglich. Unter „Bearbeiten“ findet sich bei aktiviertem root-Benutzer die Funktion „root-Benutzer deaktivieren“.

Kommentar verfassen