Finder op de Mac in macOS Sierra.

System Integrity Protection (SIP) in macOS: zo werkt het

System Integrity Protection (SIP) is een functie in macOS, waarmee je beter bent beschermd. Je hebt geen rootrechten meer en kunt belangrijke systeembestanden niet meer wijzigen. Wat heeft dit voor impact op handige tools en hoe schakel je het uit? Dat lees je in deze tip.

System Integrity Protection (SIP) is een beveiligingsfunctie in macOS, dat voorkomt dat bepaalde systemen aangepast kunnen worden. Zelfs als je beheerder bent en rootrechten hebt, kun je bepaalde bestanden en mappen niet zomaar wijzigigen. In deze gids lees je wat SIP inhoudt en hoe je ermee omgaat.

Finder op de Mac in macOS Sierra.

System Integrity Protection maakt het bijna onmogelijk om malware te installeren op een Mac. Ook is het bedoeld om hackers af te schrikken: als het meer tijd kost om een systeem te hacken en de kans op succes klein is, zullen kwaadwillenden zich liever op andere platformen richten.

SIP werd in 2015 ingevoerd in OS X El Capitan en wordt vanwege het ontbreken van rootrechten ook wel rootless genoemd.

System Integrity Protection zorgt dat sommige software niet meer werkt

System Integrity Protection moet je altijd ingeschakeld laten. Er is eigenlijk maar één reden waarom je het zou willen uitschakelen, namelijk wanneer je dringend gebruik moet maken van software die nog niet is aangepast voor een nieuwe versie van macOS. Bij de introductie van El Capitan bleken bijvoorbeeld populaire apps als SuperDuper!, Carbon Copy Cloner, Bartender, TotalFinder, Intermission en
Adobe Premiere en Audition nog niet goed te werken met SIP. Inmiddels hebben de meeste ontwikkelaars hun software aangepast. Bij software die nog niet is bijgewerkt zul je SIP tijdelijk moeten uitschakelen. Of beter nog: op zoek gaan naar een alternatief.

Wat doet System Integrity Protection?

iOS is behoorlijk dichtgetimmerd. Je hebt een jailbreak nodig om zelf aanpassingen te doen. Bij macOS is dat veel minder het geval: je bent niet verplicht om apps te installeren via de Mac App Store en er zijn allerlei systeemtooltjes verkrijgbaar waarmee je het uiterlijk of de instellingen van macOS kunt aanpassen. Dat betekent ook dat je op macOS wat kwetsbaarder bent voor malware. Vandaar dat Apple System Integrity Protection heeft ingevoerd in OS X 10.11 en later. Het zorgt ervoor dat je in folders zoals /system, /bin, /sbin en /usr niets mag wijzigen. De enige uitzondering daarop is /usr/local. Alleen software die door Apple is goedgekeurd, mag wijzigingen aanbrengen, als gebruiker zelf mag je niets doen.

Controleren of System Integrity Protection (SIP) actief is

Zoals al eerder gezegd: schakel SIP alleen uit als het absoluut noodzakelijk is. Je kunt op de volgende manier controleren of SIP actief is:

  1. Open het Schijfhulpprogramma en selecteer je harde schijf, SSD of Fusion Drive (meestal heet deze Macintosh HD)
  2. Klik op de knop Info.
  3. Zoek naar ‘System Integrity Protection’ (dit ongeveer het twintigste item in de lijst).
  4. Controleer of er bij System Integrity Protection ‘ja’ is aangegeven.

Schijfhulpprogramma op de Mac

System Integrity Protection uitschakelen

Apple heeft ervoor gezorgd dat gewone gebruikers SIP niet per ongeluk kunnen uitschakelen. Om SIP uit te schakelen zul je naar de Terminal moeten gaan (maar doe dit alleen als je weet waar je mee bezig bent):

  1. Herstart je Mac.
  2. Voordat macOS opstart, houd je Cmd-R ingedrukt totdat je een Apple-logo en een voortgangsbalk ziet. Laat daarna pas de knoppen los. Je Mac is hun in herstelmodus.
  3. Ga naar Hulpprogramma’s > Terminal.
  4. Tik het volgende commando in:

    csrutil disable

  5. Je krijgt nu een melding dat SIP is uitgeschakeld.
  6. Ga naar  > Herstart en zorg dat je Mac opnieuw wordt gestart.

Je kunt op elk moment System Integrity Protection weer inschakelen door dezelfde stappen te volgen en het volgende commando in te tikken in de Terminal:

csrutil enable

Meer over System Integrity Protection

System Integrity Protection doet overigens meer dan het blokkeren van schrijfrechten. Het zorgt ook dat actieve processen niet kunnen worden gewijzigd. De technologie heet ‘rootless’, omdat Unix (waarop OS X gebaseerd is) is gebaseerd op het idee dat een rootgebruiker voor alle onderdelen van het bestandssysteem lees- en schrijfrechten heeft. Het gebruikersaccount ‘root’ is een speciale gebruiker in UNIX-besturingssystemen. Hoe je de rootgebruiker inschakelt en gebruikt in macOS, lees je in een speciale supportpagina van Apple.

Als meerdere mensen op een Mac werken, is het gebruikelijk dat ze beperktere rechten hebben. Iedere gebruiker met admin-rechten (het account dat je nodig hebt om bepaalde software te installeren) heeft in macOS in potentie ook rootrechten. Het eerste account dat bij het inrichten van een nieuwe Mac wordt gebruikt, heeft meteen ook adminrechten, om bijvoorbeeld andere accounts toe te voegen of beveilingsinstellingen te wijzigen.

Bij dagelijks gebruik is dat helemaal niet nodig. Je moet in staat zijn om nieuwe software voor macOS te installeren, maar je hebt geen rechten om in de mappen /bin, /sbin en /usr te gaan rommelen. Die mappen zijn in de Finder van macOS trouwens ook standaard niet zichtbaar. De enige map die wel toegankelijk blijft is /usr/local. Dit is gebruikelijk bij Unix-gebaseerde systemen.

System Integrity Protection verwijdert bestanden uit de genoemde mappen, die niet goedgekeurd zijn door Apple. Daardoor kan het gebeuren, dat je bij het updaten naar El Capitan opeens bepaalde software niet meer kan gebruiken. Apple staat alleen nog software-installers en -updaters toe die door Apple zelf zijn gemaakt of zijn goedgekeurd.

Gewijzigd schijfhulpprogramma

Het Schijfhulpprogramma is sinds El Capitan dan ook veranderd: de optie Herstel schijfbevoegdheden is niet langer aanwezig. El Capitan (en latere versies van macOS) repareert de bevoegdheden automatisch bij het updaten van software.

Schijfhulpprogramma op de Mac

De strengere beveiliging door SIP zorgt er ook voor dat sommige handige tooltjes of functies niet meer werken. Bij Dropbox kon je bijvoorbeeld de synchronisatiestatus van mappen en bestanden zien in Finder. Ze gebruikten daarvoor een slim trucje. Niet alle ontwikkelaars van kernel extensions (kexts) zullen hun software hebben aangepast en voorzien van een cryptografische handtekening en een certificaat van Apple. Het betekent ook dat ontwikkelaars van sommige utilities tegen problemen aanlopen en misschien moeten stoppen met hun tool, of een andere aanpak zoeken.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt november 2016
Categorie Diensten
Onderwerpen beveiliging, el capitan