Start

Der erste Start des Programms

Wenn Sie TinkerTool System zum ersten Mal starten, integriert sich das Programm automatisch in das Sicherheitsmodell von macOS. Dies ist notwendig, da das Programm benutzt werden kann, um kritische Vorgänge in macOS durchzuführen, zum Beispiel um Betriebssystemdateien zu ändern oder sogar zu löschen. Nur verantwortlichen Systemverwaltern, die die Installation des jeweiligen Computers übernehmen, sollten solche Aktionen gestattet werden.

Aus diesem Grund enthält TinkerTool System eine Wächterkomponente, die mit den Sicherheitsfunktionen von macOS kommuniziert. Unter normalen Umständen ist TinkerTool System darauf beschränkt, sich wie ein normales Anwenderprogramm zu verhalten, wobei es keine erweiterten Rechte hat. Zum Beispiel kann es keine Systemfunktionen verwenden, die auf mehr als den aktuellen Benutzer Auswirkungen haben können. Gewisse Wartungsfunktionen erfordern allerdings, dass TinkerTool System erlaubt wird, für den ganzen Computer und alle seine Benutzer zu handeln. In diesem Fall beantragt der eingebaute Wächter von TinkerTool System die Erlaubnis bei macOS, vorübergehend eine Systemfunktion nutzen zu dürfen, die erweiterte Berechtigungen benötigt. Als Antwort auf diesen Antrag „friert“ macOS das Programm TinkerTool System vollständig ein und öffnet ein Kennworteingabefenster, in das Sie ein gültiges Kennwort eines Systemverwalters eingeben müssen. Ist das Kennwort richtig, erlaubt macOS, dass TinkerTool System seine Arbeit fortsetzt und es kann die angeforderte Aktion durchführen. Ist das Kennwort falsch, darf TinkerTool System ebenfalls weiterlaufen, erhält jedoch die Rückantwort, dass die Erlaubnis nicht erteilt wurde und die laufende Anforderung zurückgewiesen wurde. In diesem Fall kann TinkerTool System die gerade ausgewählte Aktion nicht durchführen. Durch dieses Verfahren wird es unmöglich, dass ein Unbefugter Programme wie TinkerTool System missbrauchen könnte.

Um die Sicherheit weiter zu erhöhen, verwendet das Programm zusätzlich das Konzept der Benutzerrechtetrennung über mehrere Ebenen. Wenn ein Vorgang mit erweiterten Benutzerrechten ausgeführt werden muss, ist es nicht das Hauptprogramm selbst, das macOS um Erlaubnis fragt. Stattdessen erledigen zwei Zusatzprogramme, nämlich die Privileganforderung und das privilegierte Hilfsprogramm, jedes mit Berechtigungen, die unabhängig vom Hauptprogramm sind, diese Aufgabe. Auf diese Weise kann ein theoretisches Sicherheitsleck in einer dieser Komponenten sich nicht leicht in andere Teile von TinkerTool System ausweiten. Die folgende Skizze zeigt das prinzipielle Design. Alle drei Komponenten kommunizieren über abgesicherte Kanäle, die von macOS überwacht werden.

Sicherheitsarchitektur für die Ausführung privilegierter Vorgänge
Sicherheitsarchitektur für die Ausführung privilegierter Vorgänge

Dieses Vorgehen hält sich streng an Apples Software-Richtlinien für systembezogene Dienstprogramme. Beachten Sie, dass TinkerTool System noch nicht einmal das Verwalterkennwort „erfährt“, wenn dieses eingegeben wird. Alle sicherheitsbezogenen Abläufe werden direkt von macOS behandelt und überwacht. Sogar in dem unwahrscheinlichen Fall, dass ein Computervirus TinkerTool System mit der Absicht angreifen würde, die Kennworteingabe „abzuhören“ um das Kennwort hierbei zu speichern und zu stehlen, hätte der Virus keinen Erfolg, da nur der gesondert geschützte Kern von macOS das Kennwort tatsächlich erhält und überprüft.

Die erste Kennworteingabe wird von macOS angefordert, wenn Sie TinkerTool System zum ersten Mal starten. Das erlaubt dem Programm, das oben erwähnte Vertrauensverhältnis und den Schutzmechanismus aufzubauen. Andere Kennwortanfragen werden folgen, sobald Sie eine Operation starten, die erweiterte Rechte benötigt.

Alle beschriebenen Sicherheitsmaßnahmen werden ausschließlich durch macOS kontrolliert. Sie haben nichts mit der Registrierung oder Freischaltung der Software zu tun, sondern sind nötig, um Sicherheitslücken im Betriebssystem zu vermeiden.

macOS stellt automatisch sicher, dass der Benutzer nicht zu oft nach Kennworten gefragt wird. Nachdem ein Kennwort eingegeben wurde, „vertraut“ macOS allen Programmen, die vom gleichen Benutzer gestartet worden sind, für einen Zeitraum von 5 Minuten und gibt diesen ebenfalls alle Verwaltungsrechte.

Die folgenden Abschnitte enthalten Informationen für erfahrene Systemverwalter. Sie können beim ersten Lesen übersprungen werden.

Ändern der Sicherheitsrichtlinie

Wie oben erwähnt, „erinnert“ sich macOS normalerweise für 5 Minuten daran, dass ein Verwalter erfolgreich ein Kennwort eingegeben hat. Diese Erinnerung kann sogar von verschiedenen Programmen in der gleichen Benutzersitzung gemeinsam verwendet werden. Beispielsweise können Sie nach dem Anmelden als Verwalter möglicherweise sehen, dass sich einige Schlosssymbole in manchen Programmen in der „geöffneten“ Position befinden, so dass Sie Ihr Kennwort nicht erneut angeben müssen. Diese Schlösser schließen sich automatisch, nachdem diese Vertrauenszeit abgelaufen ist. Einige Details können über die Einstellungskarte Sicherheit in den Systemeinstellungen gesteuert werden.

TinkerTool System lässt Sie entscheiden, ob es von dieser vorübergehenden Zwischenspeicherung der Anmeldedaten eines Systemverwalters Gebrauch machen soll. Standardmäßig folgt macOS der voreingestellten Strategie, eine erfolgreiche Anmeldung wiederzuverwenden, wenn TinkerTool System zuerst einen bevorrechtigten Vorgang A ausführen möchte und innerhalb eines Zeitraums von 5 Minuten eine weitere bevorrechtigte Operation B. Alternativ kann TinkerTool System macOS auch dazu veranlassen, die Anmeldedaten nicht wiederzuverwenden. Danach fragt macOS bei jedem einzelnen Vorgang, den TinkerTool System durchführen möchte, erneut nach einer Verwalteranmeldung. Um zu dieser stärker abgesicherten Strategie zu wechseln, führen Sie die folgenden Schritte durch:

  1. Wählen Sie den Menüpunkt TinkerTool System > Einstellungen … oder drücken Sie die Tastenkombination ⌘ + ,.
  2. Kreuzen Sie die Auswahl Nach jedem abgeschlossenen Vorgang Verwalterautorisierung aufheben an.

In diesem Zusammenhang bedeutet der Begriff „Vorgang“ eine zusammenhängende Prozedur, die durch eine einzelne Interaktion des Benutzers mit TinkerTool System ausgelöst wurde, z.B. eine Reparaturfunktion, die durch Drücken eines OK-Knopfes gestartet wird. Diese Prozedur kann intern aus mehreren kleinen Operationen bestehen, die unterschiedliche Rechte benötigen, z.B. zuerst eine Systemdatei zu löschen und danach eine neue an deren Stelle anzulegen. macOS fragt nicht nach einer Neuanmeldung für die kleineren Operationen, sondern nur für den wahrgenommenen Gesamtvorgang.

Technische Details für fortgeschrittene Benutzer

Die Sicherheitskomponente wird im Ordner /Library/PrivilegedHelperTools abgelegt, der Apples empfohlenen Ort für solche Hilfsprogramme darstellt. Der Name der Komponente lautet com.bresink.system.privilegedhelper-ts5. macOS startet und beendet das Programm automatisch, wie es gerade erforderlich ist, und vermeidet es, es längere Zeit im Hintergrund laufen zu lassen.

Sie können sich jederzeit dazu entscheiden, das Sicherheitsprogramm ohne Spuren zu entfernen. In diesem Fall verliert TinkerTool System seine Fähigkeit, auf privilegierte Systembereiche zugreifen zu dürfen, so dass das Programm gezwungen wird, sich ebenso abzuschalten. Führen Sie die folgenden Schritte durch, um die Komponente zu entfernen:

  1. Starten Sie TinkerTool System falls es noch nicht läuft.
  2. Wählen Sie den Menüpunkt Zurücksetzen > Sicherheitskomponente entfernen ….
  3. Folgen Sie den Anweisungen, die das Programm gibt. Als letzter Schritt dieses Vorgangs beendet sich das Programm selbst.

Ändern der Sicherheitsrichtlinien

Sich nur mit einem Name-/Kennwortpaar eines Systemverwalters zu identifizieren, ist möglicherweise in großen Organisationen nicht ausreichend. Vielleicht sollte der Benutzer zusätzlich Mitglied in einer weiteren Gruppe speziell ausgebildeten Personals sein, um einen gewissen Vorgang auslösen zu können, oder vielleicht sollten andere Regeln entschärft werden, so dass auch nicht-administrative Benutzer das Recht bekommen, privilegierte Aufgaben erledigen zu dürfen. TinkerTool System folgt Apples Richtlinien, intern mit benannten Rechten für jede Klasse von Operationen zu arbeiten und diese Namen in der Sicherheitsrichtliniendatenbank von macOS zu registrieren. Auf diese Weise können fortgeschrittene Systemverwalter die Rechte in der Datenbank feinanpassen, falls nötig, so dass Rechte an bestimmte Authentifizierungsmechanismen gebunden werden. Details werden in einem separaten Kapitel erläutert.