Start

Die Sicherheitsrichtlinien von Mac Power Monitor

Sicherheitsarchitektur

Wenn Sie Mac Power Monitor zum ersten Mal starten, integriert sich das Programm automatisch in das Sicherheitsmodell von macOS. Dies ist notwendig, da das Programm benutzt werden kann, um kritische Vorgänge in macOS durchzuführen, zum Beispiel die Liste aller laufenden Prozesse aller Benutzer anzuzeigen. Nur verantwortliche Systemverwalter, die den jeweiligen Computer warten, sollten das Recht für solche Aktionen haben.

Um einen hohen Sicherheitsstandard zu garantieren, arbeitet Mac Power Monitor zweigeteilt: Das normale Hauptprogramm mit der grafischen Oberfläche koordiniert alle Vorgänge. Es führt außerdem alle Arbeiten durch, für die keinen besonderen Berechtigungen erforderlich sind. Sobald jedoch ein sogenannter privilegierter Vorgang ausgeführt werden muss, also eine besondere, mit Berechtigungen geschützte Operation, wie zum Beispiel das Abfragen von Statistiken über laufende Prozesse aller Benutzer, prüft das Programm intern, ob der aktuelle Benutzer die Erlaubnis hat, die angeforderte Aufgabe ausführen zu dürfen. Wenn dies der Fall ist, wird die Arbeit fortgesetzt und die entsprechende privilegierte Operation kann starten. Falls nein, wird das Hauptprogramm vorübergehend angehalten und Benutzer werden darum gebeten, sich zuerst als Administrator auszuweisen.

Der privilegierte Vorgang wird jedoch nicht vom Hauptprogramm selbst abgearbeitet. Eine zweite Komponente, das privilegierte Hilfsprogramm, übernimmt diese Arbeit, indem es über einen geschützten, abhörsicheren Kanal den Auftrag des Hauptprogramms entgegennimmt. Selbst wenn es einem unbefugten Angreifer gelingen würde, das Hauptprogramm zu manipulieren, kann es keine kritischen Schadfunktionen im Computer auslösen, weil es dazu nicht berechtigt ist. Nur die privilegierte Komponente, die von macOS überwacht wird und besonders geschützt ist, hat diese technische Möglichkeit. Es findet also eine Trennung der Benutzerrechte statt. Das Hilfsprogramm wird in diesem Zusammenhang auch als Sicherheitskomponente bezeichnet.

Kann sich der aktuelle Benutzer nicht als Systemverwalter ausweisen, wird der privilegierte Vorgang abgewiesen und die Ausführung verweigert. Sie erhalten in der grafischen Oberfläche den Hinweis, dass die anstehende Aktion aus Berechtigungsgründen nicht fortgeführt werden konnte.

Genehmigung der Sicherheitskomponente

Apples Richtlinien erfordern es, dass ein Administrator den automatischen Start der Sicherheitskomponente genehmigt, bevor Mac Power Monitor genutzt werden kann, da die Sicherheitskomponente Dienste für alle Benutzer gleichzeitig erbringt. Solche Programme werden von Apple als Hintergrundobjekt bezeichnet.

Die Sicherheitskomponente wird von macOS automatisch gestartet, wenn Sie Mac Power Monitor starten. Sie läuft nicht im Hintergrund, wenn Mac Power Monitor nicht läuft.

Die Genehmigung kann auf zwei Arten erteilt werden, entweder beim ersten Start des Programms oder jederzeit über das Programm Systemeinstellungen. Beim ersten Start ist der normale Ablauf wie folgt:

  1. Starten Sie Mac Power Monitor zum ersten Mal. Das Programm öffnet sein Bedienungsfenster nicht, sondern zeigt stattdessen eine Hinweismeldung an, dass es erforderlich ist, die Sicherheitskomponente zu genehmigen.
  2. macOS blendet über die Mitteilungszentrale rechts oben eine Anfrage ein, ob Sie ein neues Hintergrundobjekt zulassen möchten. Wählen Sie in diesem Dialog Optionen > Erlauben.
  3. Bestätigen Sie über das Kennwort eines Administrators, dass Sie dies für alle Benutzer erlauben.
  4. Mac Power Monitor entfernt sein Hinweisfenster und startet die volle Bedieneroberfläche.

Sie können die Genehmigung auch jederzeit über das Programm Systemeinstellungen erteilen:

  1. Beenden Sie Mac Power Monitor, falls es läuft.
  2. Starten Sie Systemeinstellungen.
  3. Öffnen Sie Allgemein > Anmeldeobjekte.
  4. Suchen Sie Mac Power Monitor in der Liste Im Hintergrund erlauben.
  5. Stellen Sie sicher, dass der Schalter bei diesem Eintrag eingeschaltet ist.

Bestätigen eines privilegierten Vorgangs

Um die erwähnte, von macOS überwachte Bindung zwischen Hauptprogramm und privilegierter Komponente aufzubauen, fragt macOS beim ersten Start von Mac Power Monitor nach der Berechtigung, ein Hilfsprogramm einrichten zu dürfen. Wurde das spezielle Vertrauensverhältnis zwischen Hauptprogramm und Hilfsprogramm aufgebaut, übernimmt von da an Mac Power Monitor die Steuerung der Sonderrechte. Für das Überprüfen der Berechtigung, einen geschützten Vorgang ausführen zu dürfen, gelten folgende Regeln:

(1) Die Hauptaufgabe von Mac Power Monitor, nämlich Leistungsstatistiken von macOS anzuzeigen, darf von allen Benutzern verwendet werden, falls ein Administrator dem einmalig durch Eingabe eines Kennworts zugestimmt hat.

(2) In allen anderen Fällen, in den privilegierte Rechte erforderlich sind, muss die laufende Benutzersitzung einem Administrator gehören: Aus Sicherheitsgründen können nur diejenigen Benutzer einen privilegierten Vorgang in Mac Power Monitor aufrufen, für die der Punkt Der Benutzer darf diesen Computer verwalten in der Benutzerverwaltung von macOS eingeschaltet ist. Dieses Sonderrecht ist die Standardeinstellung für denjenigen Benutzer, dem der Computer gehört und der ihn eingerichtet hat. Die Anmeldesitzung, in der Mac Power Monitor arbeitet, muss auf diesen Benutzer angemeldet sein, oder auf einen anderen, dem ebenso Administrationsrecht erteilt wurde. Es ist also nicht möglich, einen privilegierten Vorgang von einem Benutzer-Account aus aufzurufen, der im Moment nicht als Verwalter angemeldet ist. Sie können während der Bestätigung Ihrer Identität nicht vom Programm aus auf einen anderen Benutzer umschalten, indem Sie dessen Name und Kennwort in Mac Power Monitor eingeben.

Dies entspricht den klassischen Sicherheitsregeln, die für die ersten Generationen von macOS (damals Mac OS X) üblich waren und ist strenger als die Regeln, die moderne Versionen von macOS normalerweise für grafische Programme einsetzen. Diese Vorgehensweise ist ähnlich der, die macOS und andere Unix-Systeme für die Nutzung des Befehls sudo auf der Befehlszeile verwenden, der ebenso privilegierte Vorgänge einzeln freischaltet.

Wenn Sie gerade mit einem Benutzer-Account arbeiten, der keine Verwaltungsrechte hat, müssen Sie die laufende Bildschirmsitzung aber nicht unbedingt abbrechen, um mit Mac Power Monitor arbeiten zu können. Durch das Einschalten der Funktion Schneller Benutzerwechsel über Systemeinstellungen können Sie sich einfach über einen Punkt rechts oben im Menü über die grafische Oberfläche von macOS ummelden und eine zweite Sitzung als Systemverwalter starten. Sie arbeiten dann mit mehreren Bildschirmsitzungen für unterschiedliche Benutzer, zwischen denen Sie schnell hin und her schalten können. Weitere Informationen hierzu finden Sie im Benutzerhandbuch von macOS, das Sie über das Menü Hilfe des Finders aufrufen können.

Das Programm liest Ihr Kennwort nicht mit: Weder das Hauptprogramm noch die privilegierte Komponente sind direkt an der Kennworteingabe und an der Überprüfung dieses Kennworts beteiligt. Beide Vorgänge werden ausschließlich durch macOS vorgenommen, so dass Ihr Kennwort nicht mitgelesen werden kann. Erst nachdem macOS Ihre Identität überprüft hat, wird das Ergebnis dem Programm mitgeteilt.

Ein Administrator darf kein leeres Kennwort haben: Obwohl es mit früheren Versionen von macOS möglich war, Benutzer-Accounts mit Verwalterrecht ohne ein Kennwort anzulegen (was konkret bedeutet, dass ein Passwort der Länge Null vorliegt), sehen aktuelle Versionen von macOS dies als Konfigurationsfehler an. Betroffene Administrator-Accounts können sich nicht mehr in allen Fällen authentifizieren und einige Systemdienste werden die Arbeit verweigern. Dies schließt die privilegierten Vorgänge mit ein, die unter Kontrolle von Mac Power Monitor ausgeführt werden können. Auf normalen Wegen können Accounts ohne Kennwort nicht mehr eingerichtet werden. Falls Sie noch einen solchen Account haben, der aus einer älteren Version von macOS übernommen wurde, müssen Sie für ihn ein Kennwort definieren damit ihm gestattet wird, Funktionen von Mac Power Monitor zu verwenden, für die privilegierte Vorgänge notwendig sind.

Auf Computern mit Touch ID kann die Überprüfung auch per Fingerabdruck erfolgen: Ist Ihr Computer mit Apples Fingerabdrucklesegerät Touch ID ausgestattet, kann die Überprüfung Ihrer Identität wahlweise auch per Fingerabdruck erfolgen. Zur Kontrolle wird auf den anstehenden Vorgang außerdem noch einmal in einer kurzen Beschreibung in der Touch Bar hingewiesen.

Eine Bestätigung gilt jeweils für den laufenden Vorgang und fünf (5) Minuten für weitere Vorgänge: In einigen Fällen muss Mac Power Monitor mehrere privilegierte Einzeloperationen schnell hintereinander ausführen, um einen bestimmten Ablauf zu erreichen, z.B. muss oft eine geschützte Datei gelöscht und dann eine neue Datei in einem geschützten Ordner angelegt werden. Das Programm ist darauf ausgelegt, solche zusammengesetzten Vorgänge als Einheit zu behandeln, auch wenn diese intern als zwei einzelne Operationen verarbeitet werden, die unterschiedliche Rechte erfordern. Sie müssen sich nur einmal und nicht zweimal identifizieren. Aber auch mehrere nicht zusammengehörende Vorgänge führen nicht immer zu einer erneuten Kennworteingabe: Falls zwischen einem privilegierten Vorgang und Ihrer letzten Bestätigung im Programm weniger als fünf Minuten liegen, wird auf eine erneute Überprüfung Ihrer Identität verzichtet.

Eine Bestätigung wird nicht mit anderen Programmen geteilt: Wenn Sie Mac Power Monitor Ihre Identität bestätigt haben, um einen privilegierten Vorgang auszuführen zu können, gilt diese Bestätigung nur für das Programm selbst, jedoch nicht für andere Programme. Auch dies ist strenger als die üblichen Sicherheitsregeln in macOS, die es zulassen würden, innerhalb von fünf Minuten nach der Kennworteingabe auf weitere Bestätigungen in allen Programmen der gleichen Anmeldesitzung zu verzichten.