Quel intérêt y a-t-il à utiliser un compte non administrateur quotidien sur OS X?

Ce conseil est ancien mais revient à la mode. Je l'ai vu beaucoup récemment, sur un certain nombre de sites Web ou de forums Mac. "Votre compte d'utilisateur" quotidien "ne doit pas être un compte administrateur. Il doit s'agir d'un compte standard créé à cet effet, et vous devez vous connecter au compte administrateur uniquement pour effectuer des tâches d'administration réelles.»

Cela semble être un conseil courant dans le monde Windows, mais pour un système OS X à jour, je ne comprends tout simplement pas le type d'avantages qu'il apporte. Examinons-le:

• Les comptes d'administrateur OS X ne sont pas des comptes root. Toute application souhaitant passer en mode root vous demandera quand même votre mot de passe, donc je ne vois aucune couche de sécurité supplémentaire ici. Essayez de mettre /vardans la corbeille.
• La modification profonde du système d'exploitation ou l'injection de code dans la plupart des fichiers critiques a été empêchée par SIP depuis El Capitan, que vous soyez administrateur, root ou personne. De plus, dans les endroits sensibles où ils sont encore autorisés, de telles modifications nécessiteraient au minimum un mot de passe root, même à partir d'un compte administrateur, ce qui nous ramènerait au premier argument.
• Pour les logiciels espions, les problèmes de confidentialité et ce genre de choses, l'utilisation de comptes standard offre peu de protection supplémentaire, le cas échéant. Pour autant que je sache, même lorsqu'elles sont utilisées à partir d'un compte standard, les applications ont un accès complet aux fichiers personnels de l'utilisateur et un accès réseau complet (moins tout pare-feu, etc.). Si une mauvaise application souhaite envoyer vos documents à la maison, elle peut parfaitement le faire à partir d'un compte standard.
• Les lignes de défense de base (pare-feu, exécution d'applications de confiance, etc.) s'appliquent à l'ensemble du système.
• D'un autre côté, il est difficile de passer à votre compte administrateur, puis de revenir à votre compte standard, dans les deux sens. Cela peut en fait se traduire par un retard des mises à jour ou de la maintenance administrateur par l'utilisateur, juste pour gagner du temps et reporter le traitement des tracas.

Alors, pourquoi ne pas utiliser un compte administrateur? J'espère que cela ne sera pas marqué comme doublon, d'autres questions liées à ce problème n'ont pas répondu à ces arguments.

Modifier: la question s'applique à un ordinateur que vous possédez et contrôlez.

Il n'y a qu'un seul compte root sur chaque ordinateur OS X et il est désactivé par défaut. Il n'a pas de mot de passe et vous ne pouvez pas vous connecter en tant que root, sauf si vous utilisez spécifiquement Directory Utility et l'activez. C'est dangereux, car lorsqu'il est connecté en tant que root, le système contourne toutes les autorisations - il ne demande même pas de mot de passe. À cet égard, un ordinateur OS X est en effet sans racine , ce qui est A Good Thing ™.

Les comptes administrateurs sont simplement des comptes standard qui se trouvent également dans le groupe d' administration . Toute action sous OS X effectuée par un utilisateur connecté est vérifiée par rapport à la base de données d'autorisation (vous pouvez voir ses règles dans /System/Library/Security/authorization.plist pour voir si aucune authentification n'est requise ou est-ce suffisant pour être authentifié en tant que le propriétaire de la session (utilisateur standard qui est connecté), ou vous devez être membre du groupe d'administration. Cela donne un contrôle très fin. Par conséquent, trois possibilités peuvent se produire, par exemple dans les Préférences Systèmeen cliquant sur le cadenas verrouillé. En cliquant, il peut simplement se déverrouiller sans authentification, il peut offrir une boîte de dialogue d'authentification avec le nom de compte déjà entré (ce qui signifie s'il vous plaît confirmer que c'est vous) ou peut offrir une boîte de dialogue d'authentification avec les champs de nom de compte et de mot de passe vides (ce qui signifie que vous n'êtes pas administrateur, veuillez appeler un administrateur pour saisir ses informations d'identification).

En règle générale, tout ce qui peut affecter d'autres utilisateurs de l'ordinateur (modification à l'échelle du système) nécessitera une authentification administrative. Mais c'est plus complexe que ça. Les utilisateurs standard, par exemple, peuvent installer des applications à partir du Mac App Store dans le dossier / Applications (qui est une modification à l'échelle du système) mais ne peuvent pas contourner GateKeeper pour exécuter des applications non signées même si ce n'est que dans leurs propres données. Les utilisateurs standard ne peuvent pas invoquer sudo, ce qui a pour effet secondaire de ne pas exiger d'authentification dans une fenêtre de 10 à 15 minutes après cela. Un script intelligemment conçu vous demandera une authentification administrateur pour quelque chose que vous approuvez, mais après cela, il fera toutes sortes de choses loufoques dont vous ne savez rien.

Les utilisateurs standard peuvent également être gérés via des contrôles parentaux ou des profils de configuration et peuvent appliquer des politiques de mot de passe. Les utilisateurs administrateurs ne peuvent rien faire de tel.

La protection de l'intégrité du système résout le fait que des personnes ont cliqué sur des packages d'installation et fourni des mots de passe si facilement que les utilisateurs sont devenus le lien le plus faible. SIP essaie juste de maintenir le système à flot, rien d'autre (et échoue parfois aussi).

Vous ne croiriez pas combien de personnes que j'ai vues qui n'ont qu'un seul utilisateur sur l'ordinateur (qui est également un compte administrateur) et même sans mot de passe de compte, juste pour percevoir une légère diminution de la gêne sous la forme d'une activité de fenêtre de connexion.

Je ne peux pas être d'accord avec votre opinion selon laquelle il est difficile de passer à un compte administrateur lorsque cela est nécessaire. Si vous êtes dans Terminal, il vous suffit de lancer myadminacct avant de faire quoi que ce soit, y compris sudo ou de lancer Finder en tant qu'autre utilisateur en exécutant /System/Library/CoreServices/Finder.app/Contents/MacOS/Finder .

Dans l'interface graphique, les mises à jour du Mac App Store (y compris les mises à jour OS X) ne nécessitent pas d'authentification administrateur. Ces packages d'installation qui se retrouvent dans le dossier Téléchargements, y compris les mises à jour Adobe Flash, oui, vous devez être très prudent avant d'ouvrir ceux qui font le travail supplémentaire et de vous assurer qu'ils viennent du bon endroit et ne sont pas pleins de méchants.

C'est pourquoi je pense que l'utilisation d'un Mac avec un compte standard est meilleure et plus sécurisée qu'avec un administrateur, car elle me protège de mes propres erreurs et oublis. Même la majorité des utilisateurs avertis n'inspectent pas chaque script téléchargé ligne par ligne pour voir s'il se passe quelque chose de louche.

J'espère que les contrôles pourraient devenir encore plus stricts à l'avenir, par exemple en introduisant des conditions ou des planifications lorsqu'une application (ou un script ou tout exécutable) peut être exécuté ou avoir accès au réseau ou qu'un exécutable pourrait même ne pas être démarré si je ne le faisais pas pas explicitement autorisé (boîte de dialogue d'authentification) au cours du mois dernier.

La sécurité est mieux implémentée en tant que stratégie multicouche et multivectorielle .

Le principe du moindre privilège (POLP) n'est qu'un autre rouage de la machine qui protège votre ordinateur.

Tout ce que vous y avez énuméré est bon, mais rien de tout cela n'empêchera quelqu'un de prendre le contrôle de votre ordinateur avec un exploit tel que Dropped Drive Hack .

• Comment un pare-feu empêche-t-il un utilisateur d'insérer une clé USB avec un exploit de télécommande intégré au lecteur?

• Comment SIP empêche-t-il un enregistreur de frappe de capturer vos frappes?

• En quoi le fait d'avoir SIP importe-t-il quand il peut être facilement désactivé par l'administrateur?

• Comment empêcher l'installation de logiciels non autorisés / sous licence illégale? Un compte d'utilisateur restreint garantira que les utilisateurs qui ne devraient pas installer de logiciel n'installent pas de logiciel.

Votre dernière ligne de défense utilise un compte qui n'est pas un compte administrateur afin que vous puissiez atténuer la menace en mettant en place une autre couche de sécurité (authentification des utilisateurs) lorsqu'un logiciel malveillant tente de s'installer.

Je dis cela depuis ce qui semble éternel maintenant:

La «sécurité» n'est pas un produit que vous achetez ou un interrupteur que vous allumez; c'est une pratique , c'est un état d'esprit , de tirer parti de tous les outils que vous pouvez pour minimiser vos risques.

Il est généralement considéré comme la meilleure pratique d'utiliser un compte qui n'a pas plus de privilèges que nécessaire. Cela signifie généralement que vous devez utiliser un compte qui a le niveau de privilège le plus bas possible et élever vos privilèges lorsque cela est nécessaire pour une tâche spécifique qui nécessite des privilèges plus élevés.

Cependant, cela devient agaçant assez rapidement. La raison en est que ce qui semble être une tâche simple pour vous ou pour moi ("Je voulais seulement activer le WiFi") est considéré comme une opération privilégiée pour le système d'exploitation ("Vous voulez activer un périphérique réseau et autoriser la machine à mettre sur un réseau aléatoire ").

Trouver un équilibre entre commodité et sécurité est beaucoup plus difficile qu'il n'y paraît, et mon sentiment personnel est que OS X le fait beaucoup mieux que d'autres OSen tels que Windows.

Si vous vous exécutez en tant qu'administrateur tout le temps, vous pouvez accidentellement cliquer sur un e-mail contenant un lien vers un site contenant du crapware, et il exécute automatiquement un script qui effectue une reconfiguration à votre insu. Mais si vous exécutez en tant qu'utilisateur non privilégié, dès que ce script est exécuté, le système d'exploitation affiche une boîte de dialogue indiquant "ce script malveillant veut faire quelque chose sur votre ordinateur. Veuillez confirmer en tapant votre mot de passe". Cela provoquerait généralement une alarme ou une surprise, si ce n'est pas quelque chose que vous vous attendez à voir à ce moment-là.

En outre - plus important encore, vous configurez un ordinateur pour quelqu'un d'autre. Quelqu'un qui ne maîtrise pas l'informatique dans votre famille. C'est une excellente idée de leur donner une connexion non privilégiée et de garder le mot de passe administrateur pour vous, donc la prochaine fois qu'ils cliquent sur n'importe quel vieux déchet (comme c'est leur habitude), ils NE PEUVENT PAS infester l'ordinateur avec de la merde. Ils se plaignent parfois lorsque vous faites cela, mais il vous suffit de leur rappeler qu'ils avaient installé 35 barres d'outils sur IE 6, et chaque fois qu'ils effectuaient une recherche Google, ils obtenaient des pages de popups pornographiques avant de convenir à contrecœur que cela pourrait être une bonne idée. L'inconvénient est qu'ils vous appelleront plus souvent pour vous permettre de déverrouiller leur ordinateur lorsqu'ils veulent mettre à jour le plugin Flash.

Comme dit précédemment: la sécurité est une attitude, pas un simple interrupteur que vous pouvez actionner.

Laissez-moi voir comment vos raisons fonctionneraient ou non:

1. Les comptes d'administrateur ne sont pas root. Bien que cela soit vrai, ils peuvent appeler sudoet peut-être même avoir le mot de passe prêt à être saisi (ou sudoconfiguré pour ne pas demander de mot de passe).

2. SIP (System Integrity Protection): Il s'agit d'une seule couche qui ne suffit pas pour toutes les attaques. Peut être désactivé? Encore mieux!

3. Argument des logiciels espions: Eh bien, peut-être. Les privilèges ne sont toujours pas suffisamment séparés. Mais même ainsi, c'est toujours une limitation.

4. Les lignes de défense de base sont à l'échelle du système: # 1 dit que les applications exécutées sur des comptes d'administrateur peuvent prendre racine.

5. Commutation? Il est largement connu que vous pouvez effectuer des tâches liées à l'administration à partir de comptes standard tant que vous entrez le mot de passe du compte administrateur. Pas besoin de faire un vrai changement de compte.

Si vous avez d'autres membres de la famille qui ne maîtrisent pas l'informatique, ou si vous souhaitez restreindre leur accès (par exemple des enfants), ou si vous êtes un employeur qui veut restreindre l'accès aux employés qui peuvent utiliser la machine, alors absolument oui; il y a toujours des raisons d'avoir des comptes non-administrateurs dans osx pour une utilisation quotidienne.

Si vous possédez un ordinateur et que vous souhaitez le contrôler, utilisez un compte administrateur.

Si vous ne voulez pas que les autres utilisateurs puissent "administrer" quoi que ce soit, les comptes non administrateurs sont très utiles. De plus, vous ne savez jamais quand vous devrez peut-être prêter la machine hors du brassard étant donné un moment où quelqu'un demande "hey je peux simplement emprunter votre mac pour faire quelque chose très rapidement?", Cela donne la tranquillité d'esprit de pouvoir se déconnecter et se connecter les dans ce que certains peuvent considérer comme un compte «semi-invité» pour lequel vous avez créé et adapté des autorisations.

Il y a probablement d'autres raisons, mais voici la mienne: il n'est pas possible de placer des restrictions sur le compte administrateur. Il est utile d'avoir des restrictions en place pour éviter de visiter des sites indésirables ou dangereux.