5 berichten aan het bekijken - 1 tot 5 (van in totaal 5)
  • Q:

    Bijdrager
    corb

    MB Pro inrichten voor bedrijfsomgeving

    Hallo,

    Ik ben beheerder in een windows omgeving en heb een jaar geleden een PowerBook G4 aangeschaft om te kijken in hoeverre dit toepasbaar was binnen ons bedrijf. Met name door de Intel MacBook Pro’s en parallels heb ik de knoop doorgehakt en een drietal MBP’s besteld om te verstrekken aan gebruikers op ons netwerk.

    Ik ben echter benieuwd of iemand ‘best practices’ heeft voor het inrichten van zo’n machine, met name security is bij ons een issue.
    Voor de windows laptops gebruik ik Protectdrive, dat is harddiskencryptie waarbij alvorens het booten een inlognaam en wachtwoord ingevoerd moet worden waardoor de decryptie van de schijf in werking gesteld wordt en er met de machine gewerkt kan worden.
    Nu heeft Mac OsX filevault en dit leek mij misschien een geschikte vervanger. De vragen waarmee ik zit zijn:
    – Wordt de hele harddisk beveiligd of zijn er delen die gewoon zonder inlognaam en wachtwoord (net zoals in windows met een bootdisk) te benaderen zijn, waardoor er misschien accounts gereset kunnen worden e.d.
    – Is het verstandig om naast de gewone useraccount ook een aparte administratoraccount te maken, waarmee een door filevault beveiligde account weer ‘los te maken’ is als de gebruiker zijn wachtwoord kwijt is o.i.d. (dus i.p.v. een hoofdwachtwoord)? En zo ja, deze administrator account ook beveiligen met Filevault, of kan dat problemen geven?
    – Zijn er mensen die slechte ervaringen hebben met Filevault?
    – Kan ik er vanuitgaan dat Filevault ook echt veilig is? Dus bij een machine die gestolen wordt waar de harddisk eventueel uit verwijderd wordt, kan niet gelezen worden zonder inlognaam / wachtwoord?

    Misschien lastige vragen, maar bij voorbaat dank voor jullie antwoorden.

    Cor


    Bijdrager
    Juch

    Filevault locked jouw User Account, niet de hele hardeschijf. Dat wil zeggen:

    Documenten voor zover die in de daarvoor bestemde map zitten
    Desktop
    Muziek
    FIlms
    Library (met persoonlijke settings)

    Je kan er alleen bij met je eigen wachtwoord of een nader in te stellen MASTER wachtwoord. Ik zou ook zeker een Administrator account maken, maar volgens mij is dat in principe niet nodig vanwege de ingestelde MASTER account. De administrator kan ook zijn user-account locken, maar dat heeft weinig zin, mijn inziens. De systeemvoorkeuren van Users en Security kunnen immers alleen door bevoegde accounts (admin + evt andere) benaderd worden.

    Of het 100% veilig is, volgens mij wel. Als iemand er heeeeel erg veeeeel moeite voor neemt, is alles te kraken. Maar volgens mij moet het wel qua concurrentie gevoeligheid e.d. veilig zijn. Zelf gebruik ik het niet omdat ik het niet nodig heb, maar haal deze ervaringen uit mijn eigen nieuwsgierige experimentaties ermee…


    Bijdrager
    dyn

    MacOS X kent maar 1 type account die het aanmaakt en dat is die van gewone gebruiker (in Windows termen: “user”). Een administrator (in UNIX/Linux en MacOS X taal heet zoiets root) kent het niet, dat account staat net als bij veel Linux distributies op slot. Je hoeft dan ook helemaal niet onder zo’n soort account te werken. Je vraagt je nu ongetwijfeld af hoe je dan in hemelsnaam de computer beheerd. UNIX/Linux en MacOS X zijn hierin voorzien door een gebruiker toe te voegen aan de groep gebruikers die gebruik mag maken van su en/of sudo. In geval van MacOS X wordt de gebruiker toegevoegd aan de lijst van sudo gebruikers en wordt er de nodige sudo instellingen gedaan (je kunt met sudo namelijk ook instellen dat een gebruiker alleen 1 commando als root mag uitvoeren of dat op OS X ook kan weet ik niet). In OS X gaat dit heel makkelijk, je zet in de accountinstellingen bij het desbtreffende account dat dit account de computer mag beheren. Je zult nu altijd als gewone gebruiker draaien behalve wanneer je iets start dat root rechten nodig heeft. Er wordt je dan gevraagd om een wachtwoord (dat is het wachtwoord van het account dat nu ingelogd is). Ik kan me voorstellen dat je als beheerder niet wilt dat gebruikers de volle controle hebben over hun computer. In dat geval moet je dus 1 account met root rechten maken voor de beheerders en geef je een gewoon account zonder die rechten aan de user van de computer. Het gebruik van MacOS X is door dit accoun gebruik dus veiliger dan dat van Windows omdat Windows het gehele account ten alle tijden als root draait terwijl bij MacOS X dit alleen gebeurt wanneer dat nodig is.

    Filevault moet je vergelijken met EFS van Windows. Zodra er wat mis is met het account en je moet die verwijderen dan heb je ook geen toegang meer tot die data. Ook hier worden zaken als de UID gebruikt ter authenticatie voor Filevault. Wat je vaak als advies krijgt is het aanmaken van een aparte diskimage die je dan met AES-128 kunt beveiligen. Dit kan in de Disk Utility. Je krijgt dan een .dmg file die je kunt openen. Wanneer je dat doet moet je het wachtwoord invoeren die je hebt opgegeven bij het aanmaken van de diskimage. Voordeel hiervan is dat je het heen en weer kunt schuiven tussen machines en netwerkschijven. Er zijn echter ook diverse andere utilities op de markt die wat meer met zo’n diskimage/encryptie kan doen. Je kunt overigens ook gebruik maken van GPG (GnuPG: een OpenGPG implementatie) welke de open source tegenhanger is van PGP. Je kunt er bestanden mee signen en encrypten netals dat je dit bij mails kunt doen. Voor Mail.app is er zelfs een plugin beschikbaar die GPG functionaliteit toevoegd. Uiteraard vergt dit meer van de gebruiker maar als het bedrijf zo hangt aan veiligheid dan neem ik aan dat de gebruikers zich hiervan ook doordrongen zijn en dit niet snel als een obstakel wordt gezien.


    Bijdrager
    corb

    Juch & Dyn,

    Dank voor jullie antwoorden. Hier kan ik iets mee!

    Cor


    Bijdrager
    J.C.

    Ooit heb ik hier een verhaal gelezen over iemand die zijn master en normale password vergeten was. Die moest zijn Mac opnieuw installeren, kan het niet zo snel weer vinden :?

5 berichten aan het bekijken - 1 tot 5 (van in totaal 5)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.