No toques mi Mac

macsecurity_com.jpgFernando L. nos pregunta: Hola, buenas tardes. Quería hacerles la siguiente pregunta a ver si pueden ayudarme o hacer una entrada en la web.

Necesito “segurizar” una iMac para evitar que personas con acceso físico al equipo puedan borrar o cambiar las contraseñas de administrador o root.

Los usuarios tienen su usuario restringido, pero aun así han logrado borrar las contraseñas de administración para instalar software no autorizado.

Encontré este link: http://support.apple.com/kb/HT1352?viewlocale=es_ES en que se explica una posibilidad de seguridad.

Mi consulta es si ¿sería la única? como lograr que un usuario no pueda modificar de ninguna manera los permisos o instalar software de manera no autorizada.

Gracias por adelantado! un saludo.

El acceso físico a una máquina es siempre la pesadilla de todo propietario o administrador de sistemas que puede comprobar que en un descuido personas con capacidades o información pueden saltarse la gestión administrativa del ordenador y hacerse con el control del ordenador.

Antes de seguir, te recomiendo vivamente que te acerques a este artículo “Tu seguridad no sirve para nada si me dejas sentarme delante de tu Mac” y comprendas los peligros del acceso físico a una máquina y algunos trucos o información para evitar accesos no deseados o minimizar el riesgo. Los comentarios te añadirán información adicional proporcionada por los propios lectores de faq-mac.

En este momento y en tu situación actual tienes dos posibles opciones: como bien apuntas, el OpenFirmware es una buena solución para bloquear la máquina desde el inicio, pero esto impediría que un usuario con una cuenta normal (no de administrador) arranque el ordenador si no introduces primero la contraseña de OpenFirmware. Esta acción no se puede automatizar y tampoco es accesible a través de sistemas de gestión remota (Compartir pantalla, Remote Desktop, VNC, etc). Te tendrás que levantar o acudir a poner la contraseña.

La segunda opción es la bancarrota. El problema de intentar poner medidas de seguridad con soluciones del sistema operativo es que en internet está muy bien documentado como saltarse muchas de ellas. Y eso es un problema cuando el uso de esa información se utiliza para este tipo de acciones.

Así que la opción es pasar de elementos de los que se disponga información en internet y pasar a opciones mas complejas de circunvalar.

Tu segunda opción asume que los usuarios pueden saltarse una protección del sistema, así que hay que añadir una capa de seguridad extra que solo tu puedas controlar. Te recomendaría un software antirrobo para portátiles, que añaden una capa de seguridad mas al sistema (por contraseña) y que bloquean el ordenador si no se añade esa contraseña. Además envían por correo electrónico (incluso por Twitter algunos) información de cuando se ha encendido el ordenador, donde e incluso graban vídeo que envían para que sepas que persona ha accedido al ordenador. Es importante que la contraseña solo la recuerdes tu y estas soluciones además permiten la inclusión de la misma a través de escritorios remotos, así que no te encontrarás con los mismos problemas que con Open Firmware.

Hay varios software de este tipo en el mercado: puedes empezar con Prey, que es una solución Open Source que no te costará un duro, y si quieres una solución comercial que hemos probado en faq-mac y que funciona extraordinariamente bien puedes probar las soluciones de Vereley y versiones posteriores que demuestran ser un muro prácticamente infranqueable para los accesos no deseados.

Por lo demás, realmente si el usuario tiene acceso al ordenador (por derecho adquirido) es muy difícil que si vuelves a establecer políticas de granularidad, no encuentre la forma de rodearlas. Se impone entonces algo mas allá que la protección del ordenador, porque ya trasciende a la máquina y se va al comportamiento de los usuarios.

0 0 votos
Article Rating
Subscribe
Notify of
5 Comments
Oldest
Newest Most Voted
Opiniones Inline
Ver todos los comentarios
Anónimo
Anónimo
11 years ago

Traduciendo el último párrafo = 2 yoyas

Anónimo
Anónimo
11 years ago

Si tienen acceso físico con apagar la máquina y arrancarla con manzana+t en modalidad de disco de destino se puede acceder a todo incluso al archivo de contraseñas, por mucho sofware que se venda en el mercado y nos quieran convencer de lo contrario.

Con password openfirmware nos pueden hacer daño quitando el disco duro fisicamente pero creo que eso no es el caso.

Además aún así si el usuario puede acceder a ciertas páginas incluso puede saltarse la password openfirmware pero eso es harina de otro costado.

Creo que al securizar equipos debemos ponernos del lado del atacante para ver como nos pueden hacer daño (además del defensor), el otro día en Galicia rompió un puerto que costó 500 millones de euro porque los que lo diseñaron se olvidaron calcular olas de 21 metros de altura o más porque las hubo – hay y habrá y no son invenciones.

Si el usuario accede a la máquina físicamente incluso Microsoft dice que te des por jo**ido.

Farangi
Farangi
11 years ago

Nada que objetar al argumento, muy acertado. Sólo quiero aclarar que la harina es de otro costal y no de otro costado; el costal es un saco y el dicho se refiere a que el asunto (la harina) no nos pertenece por que es de otro saco o de otra persona.
Saludos.
El Maquero etíope

Anónimo
Anónimo
11 years ago

Creí que MacOSX era mas seguro que Windows en ese aspecto, no deja de ser un sinsabor.

Anónimo
Anónimo
11 years ago

No sé si es lo que buscas. Pero una posible solución parcial sería crear y ocultar una partición con TrueCrypt.

5
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x