TinkerTool System 8 Hilfe

Die Einstellungskarte Systemsicherheit

Speicherplatz

In neueren Versionen von macOS kommt es regelmäßig zu Verwirrung bei Anwendern, wie viel Speicherplatz auf einem bestimmten Volume tatsächlich frei und belegt ist. Diese Verwirrung hat mehrere Ursachen:

Programme können verschiedene Definitionen von Maßeinheiten bei der Angabe von Speicherplatz verwenden, ohne dies korrekt zu markieren. So kann 1 Kilobyte je nach Definition entweder 1.024 Byte oder 1.000 Byte darstellen. Apple hat die Richtlinien für die Angaben von Speicher in den letzten Jahren mehrfach geändert. Ausführliche Hinweise hierzu finden Sie im Kapitel Grundlegende Bedienungshinweise, Abschnitt Anzeigen von Speichergrößen.
Programme können den Speicherplatz aus Sicht des Benutzers (Finder) oder aus technischer Sicht (Festplattendienstprogramm) anzeigen. Der Finder sieht beispielsweise Speicherplatz, der für die Ablage von Lokalen Time Machine-Schnappschüssen belegt wird, als frei an. Dies soll dem Benutzer signalisieren, dass der hierfür genutzte Speicher bei Bedarf vollautomatisch vom Betriebssystem freigegeben werden könnte, wenn er für etwas anderes benötigt wird. Manche Programme unterscheiden ausdrücklich zwischen „freien“ und „verfügbarem“ Speicher, wobei „verfügbar“ dann als „frei plus löschbar“ definiert ist. Ausführliche Informationen zu lokalen Time Machine-Schnappschüssen finden Sie im Kapitel Die Einstellungskarte Time Machine.
Moderne Dateisysteme können spezielle Abbuchungstechniken für die Verwaltung von Speicher verwenden, bei denen Kapazitäten mehrfach gezählt werden, obwohl sie in Wirklichkeit nur einmal vorhanden sind.

Apples Dateisystem APFS gehört zu diesen modernen Dateisystemen. Es unterstützt unter anderem die folgenden, heute üblichen Techniken, die zu Verwirrung bei Speicherplatzangaben führen können:

APFS benötigt keine Partitionierung mehr. Innerhalb eines APFS-Speicherbereichs können mehrere Volumes angelegt werden, ohne dass der Bereich in Partitionen unterteilt werden muss. (Ein von APFS verwalteter Bereich liegt jedoch selbst in einer Partition, einem sogenannten APFS-Container, damit er gegenüber den nicht von APFS verwalteten Bereichen abgegrenzt werden kann.) Die Volumes im Container können sich den Speicherplatz teilen, d.h. freie Blöcke müssen nicht fest einem Volume zugeordnet werden, sondern stehen potenziell jedem der Volumes zur Verfügung. Daraus ergibt sich, dass der freie Speicher nun mehrfach gezählt wird, von jedem Volume, der ihn nutzt. Betrachten Sie einen APFS-Container mit 250 GB, der 4 Volumes enthält: Wir haben nun 4 Volumes à 250 GB, also scheinbar 1.000 GB, obwohl real nur 250 GB vorhanden sind. Die Kapazität wird überbucht,was erst dann einen Konflikt auslöst, wenn jedes Volume tatsächlich sein zugewiesenes Maximum nutzen würde.
APFS unterstützt eine Schnappschussfunktion. Auf Wunsch kann sich das Dateisystem seinen Zustand zu einem bestimmten Zeitpunkt über das ganze Volume hinweg „merken“. Auf Knopfdruck kann dieser Zustand innerhalb von Sekunden wiederhergestellt werden. Es können beliebig viele dieser „eingefrorenen“ Zustände angelegt werden, so lange noch freie Kapazität vorhanden ist, um die jeweils alte und aktuelle Version aller Daten zu speichern. Technisch funktioniert die Schnappschussfunktion so, dass gelöschte oder überschriebene Versionen von Datenblöcken nicht mehr wirklich verworfen werden, sondern in ihrer früheren Fassung gespeichert bleiben. Beachten Sie, dass der hierfür verbrauchte Speicher nicht auf der Dateiebene sichtbar wird. Ein Volume verbraucht auf diese Weise mehr Platz als die Summe aller seiner momentan gespeicherten Dateien. Moderne Datensicherungsprogramme verwenden üblicherweise Schnappschüsse.

Wenn ein Volume APFS nutzt, kann daher die Frage nach freiem Speicherplatz möglicherweise gar nicht mehr so einfach beantwortet werden.

Freier Speicherplatz kann bei modernen Dateisystemen unterschiedlich definiert sein

TinkerTool System kann die verschiedenen Sichten auf Speicherplatz, die von macOS unterstützt werden, für jedes Volume anzeigen:

Öffnen Sie den Unterpunkt Speicherplatz auf der Einstellungskarte Systemsicherheit.
Wählen Sie das gewünschte Volume mit dem Aufklappmenü Volume aus.

Das System-Volume ist intern in einen Nur-Lese-Teil, einen Schreib-/Lese-Teil und einen gerade laufenden, versiegelten Volume-Schnappschuss aufgespalten. Dies wird in der Regel von macOS verborgen und alle drei Volumes teilen sich den gleichen Speicherplatz, so dass sie nur als einzelnes Volume im Aufklappmenü präsentiert werden.

Die verschiedenen Definitionen von belegten und freiem Speicher werden nun in einer Tabelle dargestellt, ebenso wird die physische Gesamtkapazität genannt. Unterhalb der Tabelle finden Sie bei Verwendung von APFS einen entsprechenden Warnhinweis. Beachten Sie beim Vergleich mit anderen Programmen, dass die korrekte Maßeinheit für die Anzeige von Speicher wie gewünscht in TinkerTool System eingestellt ist, siehe auch Grundlegende Bedienungshinweise, Abschnitt Anzeigen von Speichergrößen.

Tatsächlicher Speicherplatz ist der physische Speicher, der auf dem Volume zur Nutzung abgebucht ist.
Programmen zugestandener Platz ist der Speicher, der für normale Anwenderprogramme uneingeschränkt zur Verfügung steht. Aus Sicherheitsgründen wird für das Betriebssystem selbst eine gewisse Reserve einkalkuliert.
Platz nach Bereinigung ist Speicher, der zur Verfügung stehen würde, wenn das Betriebssystem gezwungen wird, „unwichtige“ Daten automatisch zu löschen, um auf diese Weise mehr tatsächlichen Speicherplatz zurückzugewinnen. Die Differenz zwischen physisch freiem und unbereinigt freiem Speicher wird von Apple löschbarer Speicher genannt. Was darunter konkret zu verstehen ist, kann je nach Systemversion verschieden sein. Es kann sich zum Beispiel um Mediendateien für bereits abgespielte Leihfilme handeln, die jederzeit aus der Cloud wieder heruntergeladen werden könnten, oder um Lokale APFS-Schnappschüsse, die von Time Machine angelegt wurden.

Was Apple unter „Bereinigung“ versteht, um den löschbaren Speicher wiederzugewinnen, ist nicht genau definiert.

Sie können sich allerdings über den Knopf Dienste einblenden, die löschbaren Speicher freigeben die Liste derjenigen Systemdienste anzeigen lassen, die sich im Moment bei macOS angemeldet haben, um bei Bedarf löschbaren Plattenplatz freigeben zu können.

Programmintegrität

Auf der Einstellungskarte Programme haben Sie bereits den Punkt Sicherheitsprüfung kennengelernt, mit dem verschiedene Aspekte eines Programms unter Sicherheitsgesichtspunkten untersucht werden konnten.

Auf der Einstellungskarte Systemsicherheit können Sie einen bestimmten Teil dieser Prüfung, nämlich denjenigen, der auf der digitalen Versiegelung von Programmcode (Codesigning) beruht, für eine große Zahl von Programmen gleichzeitig durchführen, z.B. für das gesamte System-Volume. Hiermit ist es möglich, die gesamte Sicherheitssituation eines Computers schnell einzuschätzen.

Die Prüfung berücksichtigt die folgenden Punkte:

Ist jedes Programm digital versiegelt und erfüllt die Versiegelung die Sicherheitsanforderungen des gerade laufenden Betriebssystems?
Ist irgendein Programm nach seiner Versiegelung verändert worden?
Ist jedes Siegel vertrauenswürdig?

Diese Massenprüfung ist auf Programme für die grafische Oberfläche beschränkt. Sie können im Rahmen einer solchen Prüflaufs keinen ausführbaren Code für die Befehlszeile, oder andere versiegelte Komponenten, wie z.B. Disk Images, prüfen.

Alle Programme des Systems können auf Wunsch überprüft werden

Öffnen Sie den Unterpunkt Programmintegrität auf der Einstellungskarte Systemsicherheit.
Ziehen Sie den Ordner mit den Programmen, die Sie prüfen möchten, aus dem Finder in das Feld Oberster Ordner zur Prüfung. Sie können auch den Knopf […] drücken, um zum Ordner zu navigieren oder auf die weiße Fläche klicken und den UNIX-Pfad des Objektes eingeben.
Drücken Sie den Knopf Prüfen.

Sie können nicht nur einen Ordner, sondern auch ein ganzes Volume zur Prüfung auswählen. Die Massenprüfung wird automatisch auf ein einzelnes Volume begrenzt, auch wenn es Verweise auf andere Volumes enthält.

Die Prüfung kann sehr lange Zeit benötigen, je nach dem, wie viele Programme enthalten und wie groß diese sind. Besonders große Programme, wie z.B. Xcode oder aufwändige Computerspiele können die Prüfung stark verzögern. Während die Massenprüfung läuft, können Sie den Knopf Stopp im Wartefenster betätigen, um die Prüfung abzubrechen.

Aus technischen Gründen können angefangene Prüfvorgänge nicht in allen Fällen sofort beendet werden, wenn Sie den Stopp-Knopf drücken. TinkerTool System führt angefangene Prüfungen möglicherweise noch im Hintergrund zu Ende, was den Mac noch für einige Zeit belasten kann, verwirft aber dann die Ergebnisse. Um laufende Prüfungen wirklich sofort abzubrechen, müssen Sie das Programm nach Drücken von Stopp beenden.

Nach dem Ende aller Prüfungsschritte wird das Endergebnis in einer Tabelle angezeigt. Es werden alle Programme mit Namen aufgelistet und die oben genannten Aspekte der Prüfung in den hinteren drei Spalten mit Symbolen gekennzeichnet:

Versiegelt: das Programm ist mit Apples Codesigning-Technik versiegelt
Intakt: das Siegel ist nicht gebrochen, d.h. alle Komponenten des Programms sind unverändert. Es wurde auch nichts hinzugefügt oder entfernt. Die Anforderungen des laufenden Betriebssystems an das Siegel werden eingehalten.
Vertrauenswürdig: Das Siegel wurde von einer Partei unterzeichnet, der Apple im Moment vertraut.

Als Symbole werden verwendet:

grüner Punkt: die Prüfung wurde bestanden
rotes Kreuz: die Prüfung wurde nicht bestanden
leeres Feld: die Prüfung konnte nicht durchgeführt werden

Wenn Sie eine Zeile der Ergebnistabelle auswählen, werden Details über das Programm und die Prüfung angezeigt. Über das Lupensymbol können Sie das jeweilige Programm im Finder anzeigen lassen. Die Zeile Entdecktes Problem gibt bei einem Fehlschlag der Prüfung an, welche Ursache dazu geführt hat, dass die Prüfung nicht bestanden wurde.

Sie können für das ausgewählte Programm auch den Knopf Schließen und volle Sicherheitsprüfung für gewähltes Programm durchführen drücken, um das Programm automatisch auf der Karte Programme zu öffnen und dort ausführlich prüfen zu lassen.

Durch Anklicken des Knopfes Textbericht können Sie eine Kopie der Ergebnistabelle in Textform erhalten. Der Bericht kann ausgedruckt werden oder Sie können ihn im Rich Text Format in eine Textdatei exportieren.

Programme, die automatisch vom Betriebssystem erzeugt wurden und nicht von einem Software-Entwickler werden grundsätzlich nicht als vertrauenswürdig eingestuft. Dazu gehören unter anderem Arbeitsabläufe, die mit Automator erstellt wurden, Programme zur Anzeige von Druckerwarteschlangen, aber auch deren jeweils zugehörige Schablonenprogramme, aus denen macOS bei Bedarf die konkreten Programme erstellt. Dieses Verhalten ist normal und kein Grund zur Besorgnis.

Systemprotokoll auf verdächtige Benutzeraktivität prüfen

Um die Sicherheit eines Mac zu gewährleisten, der öffentlich zugreifbar ist, kann es hilfreich sein, das Systemprotokoll automatisch auf Einträge durchsuchen zu lassen, die sich auf das Identifizieren von Benutzern oder das Freischalten privilegierter Vorgänge beziehen. Tritt hier eine Häufung ungewöhnlich vieler Fehlschläge (beispielsweise die Eingabe von falschen Kennworten) auf, ist zu vermuten, dass Einbruchsversuche auf dem Computer stattgefunden haben. Öffentlich zugreifbar kann hierbei heißen, dass sich Tastatur und Bildschirm (in der klassischen Datentechnik Konsole genannt) nicht an einem überwachten Ort befinden, z.B. in einem Arbeitsraum einer Schule. Es kann aber genauso heißen, dass geschützte Dienste, für die eine Anmeldung eines Benutzers erforderlich ist, aus dem lokalen Netzwerk oder aus dem Internet erreichbar sind.

TinkerTool System kann das vorhandene Systemprotokoll bezüglich der folgenden Vorgänge auswerten:

erfolgreiche und fehlgeschlagene Anmeldung am Anmeldeschirm von macOS,
erfolgreiche und fehlgeschlagene Anmeldung im Sperrbildschirm, d.h. nach dem Beenden des Bildschirmschoners oder nach dem Ruhezustand,
alle erfolglosen Versuche, einen privilegierten Vorgang genehmigen zu lassen, sowohl lokal, als auch bei Zugriff über einen Netzwerkdienst.

Diese Liste erhebt keinen Anspruch auf Vollständigkeit. Wie lange Einträge im Systemprotokoll gespeichert bleiben, ist nicht vorhersagbar. Dies hängt von der jeweiligen Betriebssystemversion, individuellen Einstellungen, der Verwendung von Wartungsfunktionen und dem vorhandenen Speicherplatz ab. Anmeldungen bei FileVault finden außerhalb von macOS statt und sind deshalb in der Regel nicht im Protokoll enthalten.

Das Systemprotokoll lässt sich auswerten, um mögliche Einbruchsversuche zu erkennen

Um die Auswertung zu starten, wählen Sie bei Suche nach den gewünschten Punkt aus und drücken Sie dann auf den Knopf Prüfen. Die Suche kann einige Zeit in Anspruch nehmen, je nach dem wie groß das vorhandene Protokoll ist. Das Ergebnis wird in einem herausgleitenden Fenster dargestellt.

Bei der Auswertung der Daten zu Konsole und Sperrbildschirm werden erfolgreiche Anmeldevorgänge mit einer grünen Markierung hinterlegt, fehlgeschlagene mit einer roten Markierung.
Bei der Auswertung zur Genehmigung privilegierter Vorgänge beziehen sich alle aufgelisteten Einträge auf Fehlschläge.

Die Übersichten werden durch Originalauszüge aus dem Systemprotokoll gebildet. Sie enthalten deshalb in der Regel Einträge in englischer Sprache, die von der jeweiligen macOS-Version abhängen.