Mit macOS Mojave und iOS 12 verschärft Apple die Sicherheitsbestimmungen. Nicht nur wird Apple mehr Wert auf Privatsphäre legen, auch den 32Bit Anwendungen wird so langsam der Gar ausgemacht. macOS Mojave warnt zumindest von den Prozessen, die noch 32Bit-Architektur nutzen.
Symantec wird nicht mehr vertraut
Symantec ist einer der ältesten Institutionen wenn es um Sicherheitszertifikate geht. Mit macOS Mojave wird Apple die Zertifikate von Symantec blockieren bzw. als “Nicht vertrauenswürdig” einstufen. Dies gilt übrigens auch für iOS 12.
Wenn Sie also auf dem Firmennetzwerk Zertifikate dieses Types ausspielen, so müssen diese zwischen dem 1.Juni 2016 und dem 1.Dezember 2017 ausgestellt sein. Jedoch gibt Apple hier nur eine Schonfrist und wird zu einem späteren Zeitpunkt im Jahr 2018 allen Zertifikaten von Symantec misstrauen.
Nicht nur Apple geht diesen Weg. Auch Mozilla (mit Firefox) und Google mit dem eigenen Chrome Browser stuft die Zertifikate als nicht vertrauenswürdig ein. Dies geschieht in Folge eines länger andauernden Streits. Bereits seit Dezember 2013 weißt Mozilla auf die Gefahr von Symantec Zertifikaten hin, die nicht mehr den allgemeinen Regeln entsprechen.
Weitere Beschränkungen
Auch Zertifikate vom Typ “Federal Common Policy Root CA” nimmt Apple as seinem sogenannten Trust Store. Grund hierfür wird aufgeführt dass WoSign, die diese Zertifikate ausstellt, die Firma StartCom übernommen hat, ohne darauf hinzuweisen. StartCom ist auch ein Zertifikatsaussteller. Apple vermutet hier wohl Absprachen, die dem Nutzer schaden könnten.
Falls Ihre Organisation also Zertifikate von diesen Herstellern erworben hat, so beschreibt Apple ein genaues Vorgehen, wie Sie mit dem Start von macOS Mojave und iOS 12 damit umgehen können. Auch schließt Apple hier ein weiteres Vorgehen nicht aus, und ist dabei die Sache genauer zu untersuchen.
Konfigurieren von Geräten via PAC
Mit dem Proxt Automatic Configuration (PAC) Dienst erlaubt es Apple, Konfigurationsdateien auf Geräte auszuspielen mit welchen diese anschließend konfiguriert werden. Unternehmenseinstellungen lassen sich so auf mehrere Geräte automatisch aufspielen.
Zur Sicherheit schaltet macOS Mojave hier jedoch die Möglichkeit ab, FTP und Datei URLs auszuspielen. Alle Links müssen jetzt via HTTP oder HTTPS angesteuert werden. Hier müssen Sie also Ihre Servereinstellungen so ändern dass dieser auf andere Ports bzw. Protokolle antworten kann. Diese Änderung gilt ebenfalls für iOS 12.
Kickstart erlaubt nur noch Zusehen
Systemadministratoren haben mit der Anwendung kickstart bislang ein leichtes Spiel gehabt. Mit diesem Kommandozeilen Programm lassen sich andere Macs im Netzwerk bedienen und somit dem Nutzer schneller weiterhelfen.
Siehe auch: Ist Ihr Mac fit für macOS 10.14 Mojave?
Hier schiebt Mojave jedoch einen Riegel vor. Mit Kickstart ist es jetzt nur noch möglich das Nutzergeschehen zu verfolgen, ohne direkt eingreifen zu können. Wenn Sie das bislang gewohnte Recht behalten wollen auch selbst Hand an zu legen, so müssen die anfragenden Nutzer die Fernverwaltung in den Systemeinstellungen aktivieren.
Single-User Mode Änderungen
Neuere Macs, genauere gesagt der iMac Pro und MacBook Pro Modelle vom Jahr 2018, haben den T2 Chip integriert. Dieser erlaubt eine granulare Sicherheitseinstellung. Die Folge ist der Mac nicht wie gewohnt in den Single-User Modus hochgefahren werden kann. Diese Modelle müssen stattdessen in den “Wiederherstellungsmodus” hochgefahren werden.
Dateizugriff für Anwendungen
Benötigen die eigenen Firmenanwendungen unter macOS Zugriff auf gewisse Daten wie Kalender oder andere, auf die eigentlich nur Systemadministratoren Zugriff haben, so helfen die Konfigurationsdateien unter Mojave weiter. Hier lässt sich jetzt feiner einstellen welche Anwendungen auf welche Dateibereiche Zugriff haben. (Macwelt)
Support-Dokument von Apple mit weiterführenden Links