Kategorie: Technik

Mac absichern – Kapitel 2: Anmeldung – Abschnitt 2: Passwort setzen

Abschnitt 2: Passwort setzen
Unser Wissen über „gute“ Passwörter können wir jetzt direkt in der Praxis zur Absicherung des Mac’s gegen Angriffe einsetzen. Insbesondere an zwei Stellen sollten wirklich sichere Passwörter zum Einsatz kommen: zum Schutz des Systems und zum Schutz des Benutzerkontos.

Systempasswort

Ein Systempasswort zu setzen, gehört wahrscheinlich für die meisten Nutzer nicht zum Alltag. Eigentlich kein Wunder, wenn weder Verkäufer, Hersteller noch Computer prominent auf die Möglichkeit hinweisen.

*

Wer danach sucht, bekommt aber auch von Apple eine Erklärung zum Setzen des Firmware-Passwortes oder Hinweise zum Vorgehen bei Verlust des Passwortes:
– Apple: Firmware-Passwort auf dem Mac verwenden
– Apple: Verlorenes oder vergessenes Firmware-Kennwort

Dabei ist ein Systempasswort (oder BIOS- / EFI-Passwort bzw. Firmware-Passwort) nicht nur schnell eingerichtet und danach nicht weiter störend, sondern auch für mindestens zwei Dinge gut:

  1. Wenn das MacBook gestohlen wurde: war hoffentlich zumindest ein Benutzerpasswort gesetzt und die Festplatte verschlüsselt. Ohne Systempasswort ist es für den Dieb aber nicht weiter schwer, das Notebook zurückzusetzen bzw. das Betriebssystem neu zu installieren. Danach kann er dann das Notebook normal benutzen oder weiterverkaufen. Wenn aber ein Systempasswort gesetzt ist, kann das MacBook nicht einfach zurückgesetzt werden. Vielleicht erhöht sich damit die Wahrscheinlichkeit, dass ein „ehrlicher Finder“ das verlorene MacBook zurückgibt.
  2. Erst kürzlich ist ein Schwachstelle aufgedeckt worden, die es einem Angreifer erlaubte (wenn er sich beim Systemstart über Thunderbolt mit entsprechender Hard- und Software am MacBook anschließt), das Passwort der FileVault2-Festplattenverschlüsselung innerhalb von 30 Sekunden aus dem Arbeitsspeicher auszulesen. Ein gesetztes Systempasswort hätten diesen Angriff verhindern können – genauso wie alle anderen Angriffe, die auf das Booten eines alternativen Systems von einem externen Speichermedium setzen. Denn ohne das Systempasswort zu kennen, startet der Mac nur noch vom Standard-Startvolumen.
*

Weiterführende Hintergründe und Erklärungen zu dem genannten Angriff auf das FileVault2-Passwort finden sich etwa bei:
– Frizk: Frizk, Ulf (2016): macOS FileVault2 Password Retrieval
– Heise: Becker, Leo (2016): Mac-Passwort lässt sich über Thunderbolt auslesen

Es gibt also gute Gründe, schnell ein Systempasswort zu setzen. Das ist mit wenigen Schritten erledigt:

  1. Als erstes müssen wir das MacBook neu starten. Dafür über das Apfel-Symbol oben links in der Menüleiste den Punkt „Neustart …“ auswählen.
  2. Während der Mac neu startet, muss die Tastenkombination „Command + R“ gedrückt gehalten werden, bis der weiße Apfel in der Mitte des Displays erscheint. Dann starten die macOS-Dienstprogramme, zunächst mit der Sprachauswahl (was hier ausgewählt wird, ändert nur die Bildschirmsprache, nicht das Tastaturlayout – daher bitte den nachfolgenden Kasten mit Umsetzungshinweis beachten).
  3. Nach der Sprachauswahl befinden wir uns im Wiederherstellungssystem von macOS. Hier wählen wir in der Menüleiste den Punkt „Dienstprogramme“ aus und starten dort das „Firmware-Passwortdienstprogramm“.
  4. Jetzt sollte ein Hinweisfenster folgen, das besagt, dass der Passwortschutz ausgeschaltet ist. Hier einfach auf den Button „Firmware-Passwort aktivieren …“ klicken.
  5. Im nun aufklappenden Dialogfenster muss zwei Mal des ausgewählte sichere Passwort eingegeben werden. Da das Passwort bei der Eingabe natürlich nicht angezeigt wird, sollte unbedingt der nachfolgende Kasten mit Umsetzungshinweis beachtet werden:
    !

    Bei einer späteren Abfrage des Passworts ist normalerweise das US Tastaturlayout aktiviert! Daher sollte beim Setzen des Passworts ebenfalls das US Layout beibehalten werden (also das Layout nicht über das Flaggensymbol oben rechts auf deutsch ändern). Sollte man sich vertan haben oder das System zwischen deutschem und US Layout wechseln und daher plötzlich das Passwort nicht mehr akzeptieren, sollte man als erstes einfach das Passwort im jeweils anderen Layout ausprobieren: Wenn das Passwort eigentlich „Zwer8_na5e“ heißt, müsste man „Ywer8ßna5e“ ausprobieren, da sich deutsches und US Layout bei der Belegung von Y und Z bzw. _ und ß unterscheiden.

  6. Nach einem Klick auf „Passwort festlegen“ ist das Firmware- bzw. Systempasswort gesetzt. Es folgt ein Hinweisfenster, das besagt, dass das Passwort nach einem Neustart aktiviert wird. Es zeigt auch gleich einen Button zum Schließen des Firmware-Passwortdienstprogramms an.
  7. Nach dem Setzen des Firmware-Passworts muss der Mac zum Abschluss also über das Apfel-Symbol oben links in der Menüleiste mit dem Punkt „Neustart“ neu gestartet werden.

Bei dem ersten Neustart wird man anschließend von einem schwarzen Bildschirm mit Schlosssymbol und Passworteingabefeld begrüßt. Hier muss das neu gewählte Firmware-Passwort eingegeben werden. Bei allen zukünftigen Starts ist dieser Schritt normalerweise nicht mehr nötig, da macOS vom Standard Startvolumen (Festplatte/SSD) startet.

?

Es kann vorkommen, dass macOS bei jedem echten Neustart (nicht beim Aufwachen aus dem Standby) das Passwort abfragt und das Auswahlmenü für das Startvolumen anzeigt. Eventuell kann es helfen, 1. noch einmal mit Schritt 2. das Wiederherstellungssystem zu starten, 2. auf das Apfel-Symbol oben links in der Menüleiste zu klicken, 3. den Punkt „Startvolume…“ auszuwählen, 4. die „Macintosh HD“ auszuwählen und 5., falls das Volumen schon verschlüsselt wurde, über den Button „Schutz aufheben …“ das FileVault2 Passwort einzugeben, um dann 6. den Mac neu zu starten.

Wenn jedoch jemand versucht, die Wiederherstellungskonsole zu booten, um etwa den geklauten Mac zurückzusetzen, wird das Passwort abgefragt. Ebenso wenn jemand versucht, den Mac nicht vom Standardvolumen, sondern von einer eigenen präparierten Festplatte aus zu starten.

!

Natürlich muss man sich das gesetzte Firmware-Passwort gut merken (oder an sicherer Stelle verwahren). Es lässt sich nicht auf einfachem Wege zurücksetzen. Wer sein Passwort vergessen hat, muss mit vorliegendem Kaufbeleg einen Apple-Store aufsuchen.

Nachdem jetzt ein Systempasswort gesetzt ist, geht es gleich mit der Einrichtung des Benutzerpassworts weiter.

Zurück zu Abschnitt 1: Passwörter

Lenovo ThinkPad X1 Tablet: Ubuntu 16.10 – Was geht?

Ein Tablet für GNU/Linux? Mit dem Lenovo ThinkPad X1 Tablet sieht die Antwort auf die Frage gar nicht so schlecht aus.
Die folgenden Ausführungen beziehen sich dabei auf:

  • Lenovo ThinkPad X1 Tablet, Core m7, mit BIOS Version 1.57
  • Ubuntu 16.10 64bit
  • Kernel 4.8.0-32

Das Starten der LiveCD von Ubuntu 16.10 dauert zwar irgendwie ziemlich lange, funktioniert aber mit UEFI und SecureBoot normalerweise. Ab und an startet die LiveCD bei mir den Grafikmodus aber nicht korrekt (low graphics warning) – beim zweiten Start funktioniert es dann aber meistens.  Nach der Installation von Ubuntu funktioniert das Starten dann aber problemlos. Mit Kernel 4.8.0-32 sieht es wie folgt mit der Funktionsfähigkeit des ThinkPad X1 Tablet aus:

Funktion Stand der Dinge
Touchscreen Funktioniert problemlos.
Stylus/ Stift Funktioniert problemlos.
ThinkPad X1 Tablet Thin Keyboard An- und Abdocken funktioniert problemlos.
Touchpad Das Touchpad des ThinkPad X1 Tablet Thin Keyboard funktioniert zwar, allerdings nur als generic mouse. Daher gibt es kein scrollen mit zwei Fingern.
Tastatur Die Tastatur des ThinkPad X1 Tablet Thin Keyboard funktioniert problemlos.
TrackPoint Der TrackPoint des ThinkPad X1 Tablet Thin Keyboard funktioniert Out-of-the-Box nicht. Allerdings lässt er sich sehr leicht zum Leben erwecken: es muss nur in „/etc/default/grub“ die CMDLINE Zeile mit „quiet splash“ um ein Parameter erweitert werden: 

quiet splash usbhid.quirks=0x17ef:0x6085:0x40

Dann mit „sudo grub-mkconfig -o /boot/grub/grub.cfg“ die Konfiguration anwenden und neu starten.
Allerdings ist standardmäßig die Scrollfunktion der mittleren Taste nicht aktiv. Manuell kann man mit

xinput set-prop DEVICEID "Evdev Wheel Emulation Button" 2

und

xinput set-prop DEVICEID "Evdev Wheel Emulation" 1

die Scrollfunktion aktivieren. DEVICEID ist eine der beiden ids, die bei Eingabe von „xinput“ mit dem Namen „PRIMAX ThinkPad X1 Tablet Thin Keyboard“ angezeigt werden, die andere ist das Touchpad – das man dann auch gleich ausschalten kann, wenn nicht benötigt:

xinput disable DEVICEID

 
USB-C Anschluss Aufladen funktioniert natürlich ohne Probleme.
USB-C auf DisplayPort: nicht getestet.
USB-C auf HDMI: problemlos (FullHD 60Hz, 4k nur 30Hz).
USB-C auf VGA: nicht getestet.
USB-C auf USB-A: problemlos.
Front-Kamera Funktioniert nicht.
Back-Kamera Funktioniert nicht.
Mini-DisplayPort Mini-DisplayPort auf DispalyPort: problemlos (4k mit 60Hz).
Mini-DisplayPort auf HDMI: problemlos (FullHD 60Hz, 4k nur 30Hz).
Mini-DisplayPort auf VGA: nicht getestet.
Mobiles Breitband LTE/4G Modem wird erkannt, funktioniert aber (noch) nicht (zum Problem gibt es einiges an Diskussion).
Audio Soundausgabe funktioniert problemlos.
Hardware-Lautstärke-Tasten funktionieren problemlos.
Mikrofon nicht getestet.
WLan Funktioniert problemlos (iwlwifi-8000C-22.ucode bis iwlwifi-8000C-24.ucode fehlen, zumindest 22 kann hier heruntergeladen und nach „/lib/firmware“ kopiert werden).
Bluetooth Funktioniert problemlos.
Standby Suspend-to-ram/ Bereitschaft funktioniert bedingt, leuchtendes ThinkPad-i bleibt an.
Gyroskop/ automatische Displaydrehung Funktioniert nicht.
Fingerprint-Reader Funktioniert nicht.
MicroSD-Card-Reader Funktioniert problemlos.
Shortcuts Stand der Dinge
F5/F6 – Bildschirmhelligkeit Funktionieren problemlos.
Space – Keyboard Backlight Funktioniert problemlos.
F2/F3 – Lautstärke Funktionieren problemlos.
F1 – Mikrofon stummschalten Funktioniert problemlos.
F1 – Fn-Lock Funktioniert nicht.
F7 – Externer Bildschirm Funktioniert nicht.
F8 – Flugmodus Funktioniert nicht.
F9 – Einstellungen Funktioniert nicht.
F10 – Suche Funktioniert nicht.
F11 – Task-Switcher Funktioniert.
F12 – Expose/Starter Funktioniert nicht.

Nach der Installation von TLP („sudo apt-get install tlp tlp-rdw“) komme ich bei normalen Büroarbeiten auf einen Verbrauch von etwa 4 bis 7 Watt, was etwa einer Laufzeit von 5h – 8h entspricht (Displayhelligkeit etwa 1/3).

Leider leidet auch das Lenovo ThinkPad X1 Tablet, gerade bei CPU-Last oder längerem SSD-Zugriff, unter deutlich wahrnehmbarem Coil-Whine bzw. CPU-Fiepen. Außerdem scheint Lenovo bei den Displays Probleme zu haben. Es gibt mehrere Bericht von gelben Flecken in den Displayecken, die besonders bei hellem Hintergrund sichtbar sind. Auch mein Gerät hatte einen gelbe Fleck in einer Ecke und zusätzlich gelbe Streifen am linken und oberen Displayrand.

Weitere Quellen:

Ubuntu 16.10 – LibreOffice 5: Bessere Rechtschreib- und Grammatikprüfung

Wer mit der Leistung der in LibreOffice integrierten Rechtschreib- und Grammatikprüfung nicht zufrieden ist, muss nicht gleich auf Windows und Word umsteigen oder sich Softmaker Office mit integriertem Duden-Korrektor kaufen. Vielleicht reichen ihm ja schon die Verbesserungen, die das Language Tool mitbringt.

Leider benötigt das Language Tool eine Java Laufzeitumgebung. Die ist standardmäßig unter Ubuntu nicht installiert. Glücklicherweise brauchen wir aber nicht gleich Oracle Java zu installieren – Open JDK reicht ebenfalls aus. Zum Installieren der aktuellen Version genügt folgender Befehl:

sudo apt-get install openjdk-9-jre

Allerdings scheint LibreOffice 5 mit Version 9 (noch) nichts anfangen zu können. Daher müssen wir die alte Version 8 installieren:

sudo apt-get install default-jre

Wer schon Version 9 installiert hat/hatte, kann die genutzte Java-Version mit folgendem Befehl über die entsprechende Zahlentaste auswählen:

sudo update-alternatives --config java

Wenn „/usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java“ vorhanden ist, sollte LibreOffice beim nächsten Start automatisch die richtige Java-Laufzeitumgebung einbinden. Ob dies der Fall ist, kann etwa in LibreOffice Writer über „Extras->Optionen: LibreOffice->Erweitert“ nachgeschaut werden. Im Feld Java Optionen sollte „OracleCorporation 1.8.0_111“ stehen und ausgewählt sein.

Wer jetzt versucht, das Language Tool zu installieren, erhält aber immer noch eine Fehlermeldung: „com.sun.star.uno.RuntimeException“. Um diesen Fehler zu beheben, müssen wir noch ein weiteres Paket installieren:

sudo apt-get install libreoffice-java-common

Jetzt kann das Language Tool (aktuell ist im Augenblick Version 3.5) von der Webseite https://languagetool.org/de/ heruntergeladen und durch Öffnen der Datei LanguageTool-3.5.oxt mit LibreOffice Writer installiert werden.

Einige Einstellmöglichkeiten bietet das Tool in LibreOffice unter „Extras->Language Tool: Optionen“ an.

Quellen: