Evite que las cuentas administrativas locales sean el objetivo de un usuario malintencionado mediante la creación de una cuenta invisible.
Estar en TI es natural preocuparse por el estado de nuestra red y de los dispositivos que la componen, pero también por el proverbial «eslabón más débil de la cadena»: la cuenta y el acceso del usuario final. Desafortunadamente, aún no existe una medida provisional eficaz para resolver todos los problemas de seguridad de una organización.
Más información sobre Apple
La mejor apuesta sigue siendo superponer los diferentes tipos de seguridad para que las debilidades de uno de ellos sean detectadas y mitigadas con éxito por el siguiente en la línea. Conceptos como seguridad a través de la oscuridad, u ocultar cosas rara vez funcionan bien para influir en un determinado actor de amenazas, pero no quiere decir que cuando se usan en conjunto con otras políticas no se añadan a la postura de seguridad de su entorno.
VER: Descarga de la plantilla de la política de seguridad de la información (Tech Pro Research)
Crear una cuenta administrativa oculta en macOS
Esa es la esencia de este consejo profesional: crear una cuenta administrativa oculta en macOS. No pretende frustrar por sí solo a nadie que quiera acceder a la cuenta de administración local de tu Mac o intentar comprometerla. Cuando se utiliza junto con otras mejores prácticas de seguridad, como el endurecimiento del sistema operativo, la aplicación de contraseñas de firmware y la implementación de políticas de Profile Manager, los usuarios finales se ven aún más limitados en cuanto a lo que pueden hacer y se reducen significativamente las posibilidades de que los usuarios ocasionales accedan a cuentas de nivel administrativo.
Nota: Para que el proceso funcione, la cuenta oculta que se creará no puede existir previamente.
En primer lugar, inicie sesión en el equipo con una cuenta de nivel de administrador. Inicie Terminal e introduzca el siguiente comando, autenticándose cuando se le pida que lo haga:
sudo default write /Library/Preferences/com.apple.loginwindow Hide500Users -bool YES
Vaya al panel de preferencias de Usuarios y Grupos y cree la cuenta de administrador como lo haría normalmente. Haga clic con el botón derecho en la cuenta de usuario recién creada y seleccione Opciones avanzadas… en el menú contextual (.
Desde el menú avanzado, modificaremos dos bits de información: UserID y directorio de inicio. Para UserID, introduzca un número inferior a 500. Tenga en cuenta que este número debe ser único para cada usuario. En Directorio principal, introduzca una nueva ruta para almacenar el directorio principal del usuario que no se encuentra en la ubicación habitual «/Usuarios». Una vez que ambos hayan sido cambiados, haga clic en el botón Aceptar para guardarlos .
La cuenta ha sido creada con éxito. Sin embargo, debemos hacer un cambio más en el sistema haciendo clic en Opciones de inicio de sesión y marcando el botón de opción junto a Nombre y contraseña en la ventana Mostrar inicio de sesión como sección .
Para verificar que la nueva cuenta está oculta, cierre Preferencias del sistema y vuelva a la preferencia Usuarios y grupos después de volver a iniciarla. La cuenta ahora debe estar oculta de la vista y también de la ventana de inicio de sesión.