Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Systemintegritätsschutz für Amazon-EC2-Mac-Instances konfigurieren
Sie können Systemintegritätsschutz-Einstellungen (SIP) für x86-Mac-Instances und Apple-Halbleiter-Mac-Instances konfigurieren. SIP ist ein wichtiges Sicherheitsfeature von macOS, die dazu beiträgt, unbefugte Codeausführung und Änderungen auf Systemebene zu verhindern. Weitere Informationen finden Sie unter [Allgemeines zum Systemintegritätsschutz](https://support.apple.com/en-us/102149).
Sie können SIP entweder vollständig aktivieren oder deaktivieren, oder Sie können bestimmte SIP-Einstellungen selektiv aktivieren oder deaktivieren. Es wird empfohlen, SIP nur vorübergehend zu deaktivieren, um die erforderlichen Aufgaben auszuführen, und dann so bald wie möglich wieder zu aktivieren. Wenn SIP deaktiviert ist, kann Ihre Instance anfällig für bösartigen Code werden.
Die SIP-Konfiguration wird in allen AWS Regionen unterstützt, in denen Amazon EC2 Mac-Instances unterstützt werden.
**Topics**
+ [Überlegungen](#mac-sip-considerations)
+ [Standard-SIP-Konfigurationen](#mac-sip-defaults)
+ [Ihre SIP-Konfiguration überprüfen](#mac-sip-check-settings)
+ [Voraussetzungen für Apple-Halbleiter-Mac-Instances](#mac-sip-prereqs)
+ [SIP-Einstellungen konfigurieren](#mac-sip-configure)
+ [Überprüfen Sie den Status der SIP-Konfigurationsaufgabe](#mac-sip-state)
## Überlegungen
+ Die folgenden Mac-Instance-Typen und macOS-Versionen von Amazon EC2 werden unterstützt:
+ **Mac1 \$1 Mac2 \$1 Mac2-m1ultra** – macOS Ventura (Version 13,0 oder höher)
+ **Mac2-m2 \$1 Mac2-m2pro** – macOS Ventura (Version 13,2 oder höher)
+ **Mac-m4 \$1 Mac-m4pro** – macOS Sequoia (Version 15.6 oder höher)
**Anmerkung**
Beta- und Vorschauversionen von macOS werden nicht unterstützt.
+ Sie können eine benutzerdefinierte SIP-Konfiguration angeben, um einzelne SIP-Einstellungen selektiv zu aktivieren oder zu deaktivieren. Wenn Sie eine benutzerdefinierte Konfiguration implementieren, [stellen Sie eine Verbindung zur Instance her und überprüfen Sie die Einstellungen](#mac-sip-check-settings), um sicherzustellen, dass Ihre Anforderungen ordnungsgemäß implementiert sind und wie vorgesehen funktionieren.
SIP-Konfigurationen können sich mit macOS-Updates ändern. Wir empfehlen Ihnen, die benutzerdefinierten SIP-Einstellungen nach jedem Upgrade der macOS-Version zu überprüfen, um sicherzustellen, dass Ihre Sicherheitskonfigurationen weiterhin kompatibel sind und ordnungsgemäß funktionieren.
+ Für x86-Mac-Instances werden SIP-Einstellungen auf Instance-Ebene angewendet. Jedes an die Instance angehängte Root-Volume erbt automatisch die konfigurierten SIP-Einstellungen.
Bei Apple-Halbleiter-Mac-Instances werden die SIP-Einstellungen auf der Volume-Ebene angewendet. Root-Volumes, die an die Instance angehängt sind, erben die SIP-Einstellungen nicht. Wenn Sie ein anderes Root-Volume anhängen, müssen Sie die SIP-Einstellungen neu konfigurieren, um sie auf den erforderlichen Status zurücksetzen.
+ Es kann bis zu 90 Minuten dauern, bis die SIP-Konfigurationsaufgaben abgeschlossen sind. Die Instance bleibt während der Ausführung der SIP-Konfigurationsaufgabe nicht erreichbar.
+ SIP-Konfigurationen werden nicht in Snapshots übertragen oder AMIs die Sie anschließend aus der Instance erstellen.
+ Apple-Halbleiter-Mac-Instances dürfen nur über ein bootfähiges Volume verfügen, und jedes angehängte Volume kann nur über einen zusätzlichen Administratorbenutzer verfügen.
## Standard-SIP-Konfigurationen
In der folgenden Tabelle ist die Standard-SIP-Konfiguration für x86-Mac-Instances und Apple-Halbleiter-Mac-Instances aufgeführt.
| | Apple-Halbleiter-Mac-Instances | x86-Mac-Instances |
| --- | --- | --- |
| Apple Internal | Enabled | Disabled |
| Dateisystemschutz | Enabled | Disabled |
| Basissystem | Aktiviert | Aktiviert |
| Debugging-Einschränkungen | Aktiviert | Aktiviert |
| Dtrace-Einschränkungen | Aktiviert | Aktiviert |
| Kext-Signatur | Aktiviert | Aktiviert |
| Nvram-Schutz | Aktiviert | Aktiviert |
## Ihre SIP-Konfiguration überprüfen
Wir empfehlen Ihnen, Ihre SIP-Konfiguration vor und nach Änderungen zu überprüfen, um sicherzustellen, dass sie wie erwartet konfiguriert ist.
**So überprüfen Sie die SIP-Konfiguration für eine Amazon-EC2-Mac-Instance**
[Stellen Sie über SSH eine Verbindung zur Instance her](connect-to-mac-instance.md#mac-instance-ssh) und führen Sie dann den folgenden Befehl in der Befehlszeile aus.
```
$ csrutil status
```
Es folgt eine Beispielausgabe.
```
System Integrity Protection status: enabled.
Configuration:
Apple Internal: enabled
Kext Signing: disabled
Filesystem Protections: enabled
Debugging Restrictions: enabled
DTrace Restrictions: enabled
NVRAM Protections: enabled
BaseSystem Verification: disabled
```
## Voraussetzungen für Apple-Halbleiter-Mac-Instances
Bevor Sie die SIP-Einstellungen für Apple-Halbleiter-Mac-Instances konfigurieren können, müssen Sie ein Passwort festlegen und das sichere Token für den Administratorbenutzer des Amazon-EBS-Root-Volumes (`ec2-user`) aktivieren.
**Anmerkung**
Das Passwort und das sichere Token werden festgelegt, wenn Sie zum ersten Mal über die GUI eine Verbindung zu einer Apple-Halbleiter-Mac-Instance herstellen. Wenn Sie zuvor [über die GUI eine Verbindung mit der Instance hergestellt](connect-to-mac-instance.md#mac-instance-vnc) haben oder wenn Sie eine x86-Mac-Instance verwenden, müssen Sie diese Schritte **nicht** ausführen.
**Anmerkung**
Alle für die macOS-Authentifizierung verwendeten macOS-Benutzernamen und -Passwörter müssen zwischen 4 und 16 Zeichen lang sein, damit sie mit API-Aufrufen für SIP-Einstellungen verwendet werden können.
**So können Sie ein Passwort festlegen und das sichere Token für den Administratorbenutzer des EBS-Root-Volumes aktivieren**
1. Stellen Sie über [SSH eine Connect zur Instance](connect-to-mac-instance.md#mac-instance-ssh) her.
1. Legen Sie das Passwort für den `ec2-user`-Benutzer fest.
```
$ sudo /usr/bin/dscl . -passwd /Users/ec2-user
```
1. Aktivieren Sie das sichere Token für den `ec2-user`-Benutzer. Geben Sie für `-oldPassword` dasselbe Passwort aus dem vorherigen Schritt an. Geben Sie für `-newPassword` ein anderes Passwort ein. Der folgende Befehl geht davon aus, dass Sie Ihre alten und neuen Passwörter in `.txt`-Dateien gespeichert haben.
```
$ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`
```
1. Stellen Sie sicher, dass das sichere Token aktiviert ist.
```
$ sysadminctl -secureTokenStatus ec2-user
```
## SIP-Einstellungen konfigurieren
Wenn Sie die SIP-Einstellungen für Ihre Instance konfigurieren, können Sie entweder alle SIP-Einstellungen aktivieren oder deaktivieren, oder Sie können eine benutzerdefinierte Konfiguration angeben, die bestimmte SIP-Einstellungen selektiv aktiviert oder deaktiviert.
**Anmerkung**
Wenn Sie eine benutzerdefinierte Konfiguration implementieren, [stellen Sie eine Verbindung zur Instance her und überprüfen Sie die Einstellungen](#mac-sip-check-settings), um sicherzustellen, dass Ihre Anforderungen ordnungsgemäß implementiert sind und wie vorgesehen funktionieren.
SIP-Konfigurationen können sich mit macOS-Updates ändern. Wir empfehlen Ihnen, die benutzerdefinierten SIP-Einstellungen nach jedem Upgrade der macOS-Version zu überprüfen, um sicherzustellen, dass Ihre Sicherheitskonfigurationen weiterhin kompatibel sind und ordnungsgemäß funktionieren.
Um die SIP-Einstellungen für Ihre Instance zu konfigurieren, müssen Sie eine SIP-Konfigurationsaufgabe erstellen. Die SIP-Konfigurationsaufgabe legt die SIP-Einstellungen für Ihre Instance fest.
Wenn Sie eine SIP-Konfiguration für eine Apple-Halbleiter-Mac-Instance erstellen, müssen Sie die folgenden Anmeldeinformationen angeben:
+ **Administratorbenutzer der internen Festplatte**
+ Benutzername – Nur der standardmäßige Administratorbenutzer (`aws-managed-user`) wird unterstützt und standardmäßig verwendet. Sie können keinen anderen Administratorbenutzer angeben.
+ Passwort – Wenn Sie das Standardpasswort für `aws-managed-user` nicht geändert haben, geben Sie das Standardpasswort ein, das *leer* ist. Andernfalls geben Sie Ihr Passwort ein.
+ **Administrator-Benutzer des Amazon-EBS-Root-Volumes**
+ Benutzername – Wenn Sie den standardmäßigen Administratorbenutzer nicht geändert haben, geben Sie `ec2-user` an. Geben Sie andernfalls den Benutzernamen für Ihren Administratorbenutzer an.
+ Passwort – Sie müssen immer das Passwort angeben.
Verwenden Sie die folgenden Methoden, um eine SIP-Konfigurationsaufgabe zu erstellen.
------
#### [ Console ]
**So erstellen Sie eine SIP-Konfigurationsaufgabe mit der Konsole**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Instances** und dann die Amazon-EC2-Mac-Instance aus.
1. Wählen Sie auf der Registerkarte **Sicherheit** die Optionen **Mac anpassen, Systemintegritätsschutz anpassen** aus.
1. Um alle SIP-Einstellungen zu aktivieren, wählen Sie **SIP aktivieren** aus. Um alle SIP-Einstellungen zu deaktivieren, deaktivieren Sie die Option **SIP aktivieren**.
1. Um eine benutzerdefinierte Konfiguration anzugeben, die bestimmte SIP-Einstellungen selektiv aktiviert oder deaktiviert, wählen Sie **Benutzerdefinierte SIP-Konfiguration angeben** und wählen Sie dann die SIP-Einstellungen aus, die aktiviert werden sollen, oder löschen Sie die SIP-Einstellungen, um sie zu deaktivieren.
1. Geben Sie die Anmeldeinformationen für den Benutzer des Root-Volumes und den Besitzer der internen Festplatte an.
1. Wählen Sie **SIP-Änderungsaufgabe erstellen** aus.
------
#### [ AWS CLI ]
**Um eine SIP-Konfigurationsaufgabe mit dem zu erstellen AWS CLI**
Verwenden Sie den protection-modification-task Befehl [ create-mac-system-integrity-](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-mac-system-integrity-protection-modification-task.html).
**Alle SIP-Einstellungen aktivieren/deaktivieren**
Verwenden Sie nur den Parameter `--mac-system-integrity-protection-status`, um alle SIP-Einstellungen vollständig zu aktivieren oder zu deaktivieren.
Der folgende Beispielbefehl aktiviert alle SIP-Einstellungen.
```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
```
**Eine benutzerdefinierte SIP-Konfiguration angeben**
Um eine benutzerdefinierte SIP-Konfiguration anzugeben, die bestimmte SIP-Einstellungen selektiv aktiviert oder deaktiviert, geben Sie die Parameter `--mac-system-integrity-protection-status` und `--mac-system-integrity-protection-configuration` an. Verwenden Sie in diesem Fall `mac-system-integrity-protection-status`, um den gesamten SIP-Status anzugeben. und `mac-system-integrity-protection-configuration`, um einzelne SIP-Einstellungen selektiv zu aktivieren oder zu deaktivieren.
Mit dem folgenden Beispielbefehl wird eine SIP-Konfigurationsaufgabe erstellt, um alle SIP-Einstellungen außer `NvramProtections` und `FilesystemProtections` zu aktivieren.
```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json
```
Mit dem folgenden Beispielbefehl wird eine SIP-Konfigurationsaufgabe erstellt, um alle SIP-Einstellungen außer `DtraceRestrictions` zu deaktivieren.
```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
```
**Inhalt der `mac-credentials.json`-Datei.**
Im folgenden ist der Inhalt der in den vorherigen Beispielen referenzierten `mac-credentials.json`-Datei dargestellt.
```
{
"internalDiskPassword":"internal-disk-admin_password",
"rootVolumeUsername":"root-volume-admin_username",
"rootVolumepassword":"root-volume-admin_password"
}
```
------
## Überprüfen Sie den Status der SIP-Konfigurationsaufgabe
Verwenden Sie eine der folgenden Methoden, um den Status der SIP-Konfigurationsaufgaben zu überprüfen.
------
#### [ Console ]
**So zeigen Sie Ihre SIP-Konfigurationsaufgaben mit der Konsole an**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Instances** und dann die Amazon-EC2-Mac-Instance aus.
1. Scrollen Sie auf der Registerkarte **Sicherheit** nach unten zum Abschnitt **Mac-Änderungsaufgaben**.
------
#### [ AWS CLI ]
**Um den Status der SIP-Konfigurationsaufgaben zu überprüfen, verwenden Sie den AWS CLI**
Verwenden Sie den Befehl [ describe-mac-modification-tasks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-mac-modification-tasks.html).
------