Správa FileVaultu prostřednictvím správy mobilních zařízení
Ke správě úplného šifrování disku pomocí FileVaultu lze v organizacích používat službu správy mobilních zařízení (MDM) a u některých pokročilých způsobů nasazení a konfigurací také nástroj příkazového řádku fdesetup. Správa FileVaultu prostřednictvím MDM se označuje jako odložená aktivace a je vázána na událost odhlášení nebo přihlášení uživatele. Pomocí služby MDM lze přizpůsobit například následující volby:
kolikrát smí uživatel zapnutí FileVaultu odložit,
zda má obdržet výzvu nejen při přihlášení, ale také při odhlášení,
zda se má v uživatelském rozhraní zobrazit klíč pro obnovení,
jaký certifikát má být použit k asymetrickému zašifrování klíče pro obnovení před předáním do úschovy službě MDM.
Aby mohl uživatel odemykat úložiště v APFS svazcích, musí mít přidělený zabezpečený token a na Macích s čipy Apple musí být navíc vlastníkem daného svazku. Další informace o zabezpečených tokenech a vlastnictví svazků viz Používání zabezpečených a bootstrapových tokenů a vlastnictví svazků v nasazených systémech. Informace o tom, jak a kdy může být uživatelům ve specifických sledech úloh udělen zabezpečený token, jsou uvedeny níže.
Vynucení FileVaultu v Průvodci nastavením
Pomocí klíče ForceEnableInSetupAssistant lze od počítačů Mac vyžadovat, aby při nastavování počítače v Průvodci nastavením zapnuly FileVault. Tím je zajištěno, že interní úložiště ve spravovaných počítačích Mac je před použitím vždy zašifrováno. Organizace se můžou rozhodnout, zda uživateli ukáží klíč pro obnovení FileVaultu, neb uloží do úschovy o zda osobní klíč pro obnovení. Chcete-li tuto funkci použít, ujistěte se, že je nastavený klíč await_device_configured.
Poznámka: V systémech starších než macOS 14.4 tato funkce vyžaduje uživatelský účet, který byl vytvořen interaktivně při nastavování počítače v Průvodci nastavením a má přiřazenou roli správce.
Když si uživatel nastavuje Mac sám
Pokud si uživatel nastavuje Mac sám, pracovníci IT oddělení na daném zařízení neprovádějí žádné obslužné úlohy. Všechna pravidla a konfigurační parametry se přenášejí prostřednictvím služby MDM nebo nástrojů pro správu konfigurací. V Průvodci nastavením se vytvoří prvotní místní účet a uživateli je přidělen zabezpečený token. Pokud služba MDM podporuje bootstrapové tokeny a informuje o tom Mac při registraci v MDM, Mac vygeneruje bootstrapový token a svěří ho službě MDM do úschovy.
Pokud je Mac zaregistrovaný ve službě MDM, prvotní účet nemusí být nutně místní správcovský účet, ale může se jednat o místní účet standardního uživatele. Pokud je uživatelský účet službou MDM degradován na standardního uživatele, je mu automaticky přidělen zabezpečený token. V systémech macOS 10.15.4 a novějších se při downgradu uživatele automaticky vygeneruje bootstrapový token a následně je předán do úschovy službě MDM, pokud tuto funkci podporuje.
V případě, že je při použití služby MDM v Průvodci nastavením úplně vynechán krok vytvoření místního uživatelského účtu a místo něj je použita adresářová služba s mobilními účty, bude uživateli mobilního účtu při přihlášení přidělen zabezpečený token. Jakmile je uživateli s mobilním účtem poskytnut zabezpečený token, v systému macOS 10.15.4 nebo novějším se při druhém přihlášení uživatele automaticky vygeneruje bootstrapový token a následně je předán do úschovy službě MDM, pokud tuto funkci podporuje.
Ve všech výše uvedených scénářích je možné pro prvního a primárního uživatele zapnout FileVault pomocí odložené aktivace, protože je jim přidělen zabezpečený token. Odložená aktivace umožňuje organizaci FileVault zapnout, ale odložit jeho aktivaci, dokud se uživatel nepřihlásí k Macu nebo se od něj neodhlásí. Kromě toho lze také určit, zda může uživatel zapnutí FileVaultu přeskočit (volitelně lze nastavit i povolený počet přeskočení). V konečném důsledku tak primární uživatel Macu, ať už jde o místního uživatele nebo libovolný typ mobilního účtu, může úložné zařízení zašifrované pomocí FileVaultu odemknout.
V počítačích Mac, na kterých byl vygenerován bootstrapový token a předán do úschovy službě MDM, je tento bootstrapový token při budoucím přihlášení jiného uživatele k Macu použit k automatickému přidělení zabezpečeného tokenu. To znamená, že účet je také aktivován pro FileVault a může odemknout svazek zašifrovaný ve FileVaultu. Možnost odemykání úložného zařízení můžete uživatelům odebrat pomocí příkazu fdesetup remove -user.
Když je Mac pořizován organizací
V případech, kdy Mac pořizuje organizace a teprve pak ho předává uživateli, je úvodní nastavení zařízení zajišťováno pracovníky IT oddělení. Místní správcovský účet vytvořený v Průvodci nastavením nebo zřízený službou MDM se použije ke zřízení nebo úvodnímu nastavení Macu a je mu při přihlášení přidělen první zabezpečený token. Jestliže služba MDM podporuje bootstrapové tokeny, vygeneruje se rovněž bootstrapový token a je předán do úschovy službě MDM.
Pokud je Mac připojený k adresářové službě a nakonfigurovaný pro vytváření mobilních účtů a přitom není bootstrapový token k dispozici, jsou uživatelé adresářové služby při prvním přihlášení vyzváni k zadání uživatelského jména a hesla pro existující zabezpečený token, aby mohl být přidělen zabezpečený token i jejich účtu. Je nutné zadat údaje pověření místního správce s aktuálně přiděleným zabezpečeným tokenem. Není‑li zabezpečený token vyžadován, může uživatel kliknout na tlačítko Vynechat. Pokud nemáte v plánu používat FileVault na mobilních účtech, můžete v systémech macOS 10.13.5 a novějších dialogové okno zabezpečeného tokenu zcela potlačit. Chcete‑li to provést, použijte ve službě MDM konfigurační profil obsahující vlastní nastavení s následujícími klíči a hodnotami:
Nastavení | Hodnota | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Doména | com.apple.MCX | ||||||||||
Klíč | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Hodnota | Pravda | ||||||||||
V případě, že služba MDM podporuje bootstrapové tokeny a že Mac tento token vygeneroval a předal službě MDM do úschovy, uživatelé mobilních účtů příslušnou výzvu neuvidí. Místo toho je jim při přihlášení zabezpečený token přidělen automaticky.
Pokud je třeba namísto uživatelských účtů z adresářové služby vytvořit na Macu další místní uživatele, je těmto místním uživatelům zabezpečený token přidělen automaticky, jestliže je správce s aktivním zabezpečeným tokenem vytvoří v okně Uživatelé a skupiny (v macOS 13 v Nastavení systému, resp. v macOS 12.0.1 či starším v Předvolbách systému). Pokud místní uživatele vytváříte z příkazového řádku, můžete k tomu použít nástroj příkazového řádku sysadminctl a volitelně pro ně aktivovat zabezpečený token. I když není místnímu uživateli přidělen zabezpečený token v okamžiku vytvoření, v systému macOS 11 nebo novějším mu bude přidělen při přihlášení k Macu (za předpokladu, že je k dispozici bootstrapový token od služby MDM).
V těchto případech můžou disk zašifrovaný pomocí FileVaultu odemknout následující uživatelé:
původní místní správce, který byl použit při zřizování,
všichni další uživatelé adresářové služby kterým byl při přihlášení přidělen zabezpečený token, ať už interaktivně v dialogovém okně nebo automaticky prostřednictvím bootstrapového tokenu,
všichni noví místní uživatelé.
Možnost odemykání úložného zařízení můžete uživatelům odebrat pomocí příkazu fdesetup remove -user.
Pokud použijete některý z výše popsaných postupů, bude zabezpečený token spravován systémem macOS bez nutnosti nastavovat jakékoli další konfigurační parametry nebo spouštět skripty. Stane se z něj jen jeden z detailů implementace, nikoli prvek, který je třeba aktivně spravovat a manipulovat s ním.
Nástroj příkazového řádku fdesetup
FileVault lze nastavit pomocí MDM konfigurace nebo nástroje příkazového řádku fdesetup. V systému macOS 10.15 a novějších je funkce zapnutí FileVaultu pomocí nástroje fdesetup s uvedením uživatelského jména a hesla považována za zastaralou a v budoucích vydáních nebude podporována. V systémech macOS 11 a macOS 12.0.1 tento příkaz sice stále funguje, ale je nadále považován za zastaralý. Jako náhradu lze použít odloženou aktivaci pomocí služby MDM. Chcete‑li se o nástroji příkazového řádku fdesetup dozvědět víc, spusťte aplikaci Terminál a zadáním příkazu man fdesetup nebo fdesetup help zobrazte další informace.
Instituční a osobní klíče pro obnovení
FileVault podporuje odemykání svazků typu CoreStorage i APFS pomocí institučního klíče pro obnovení (IRK – Institutional Recovery Key, dříve hlavní identita FileVaultu). Ačkoli se IRK hodí k provádění operací odemknutí svazku či úplné deaktivace FileVaultu z příkazového řádku, možnosti jeho využití v organizacích jsou omezené, zejména v novějších verzích macOS. Na Macích s čipy Apple pak klíče IRK nemají žádné funkční uplatnění, a to především ze dvou důvodů: Za prvé je nelze použít v režimu recoveryOS a za druhé vzhledem k ukončení podpory diskového režimu odpadá možnost odemknutí disku po připojení k jinému Macu. Z těchto a dalších důvodů už se institucím použití klíčů IRK ke správě FileVaultu na Macích nedoporučuje. Místo nich byste měli používat osobní klíče pro obnovení (PRK – personal recovery key). Klíč PRK nabízí následující výhody:
Extrémně odolný mechanismus pro zotavení a přístup k operačnímu systému
Oddělené šifrování jednotlivých svazků
Možnost úschovy ve službě MDM
Snadná rotace klíčů po použití
Klíč PRK lze použít buď v režimu recoveryOS, nebo k přímému spuštění systému macOS na zašifrovaném Macu (na Macích s čipy Apple vyžaduje macOS 12.0.1 nebo novější). V režimu recoveryOS můžete klíč PRK zadat buď po zobrazení výzvy v Průvodci zotavením, nebo po výběru volby „Zapomněli jste všechna hesla?“, a získat tak přístup do prostředí zotavení, v němž se pak svazek také odemkne. Pokud použijete volbu „Zapomněli jste všechna hesla?“, není nutné resetovat heslo uživatele; kliknutím na tlačítko ukončení spustíte počítač přímo v režimu recoveryOS. Chcete‑li přímo spustit systém macOS na počítači Mac s procesorem Intel, klikněte vedle pole hesla na ikonu otazníku a potom vyberte volbu „obnovit pomocí klíče pro obnovení“. Zadejte klíč PRK a pak stiskněte Return nebo klikněte na šipku. V dialogovém okně změny hesla, které se zobrazí po spuštění systému macOS, stiskněte tlačítko Zrušit. Na Macu s čipem Apple a systémem macOS 12.0.1 nebo novějším stiskněte kombinaci kláves Option-Shift-Return – tím zobrazíte pole pro zadání klíče PRK – a potom stiskněte klávesu Enter nebo klikněte na šipku.
Pro každý zašifrovaný svazek existuje pouze jeden klíč PRK a při aktivaci FileVaultu pomocí služby MDM ho lze před uživatelem volitelně skrýt. Pokud je služba MDM nakonfigurovaná na úschovu klíče, poskytne Macu veřejný klíč ve formě certifikátu, který se následně použije k asymetrickému zašifrování klíče PRK v obálkovém formátu CMS. Zašifrovaný klíč PRK je vrácen službě MDM formou dotazu na zabezpečovací údaje, které pak může organizace dešifrovat a zobrazit. Vzhledem k použití asymetrické šifry se může stát, že samotná služba MDM nedokáže klíč PRK dešifrovat (a budou tedy nutné další kroky ze strany správce). Mnozí dodavatelé MDM ale ve svých produktech nabízejí nástroje pro správu klíčů s možností přímého zobrazení. Služba MDM může také volitelně provádět rotaci klíčů PRK, a to tak často, jak je potřeba k zajištění silného zabezpečení – například po každém použití klíče PRK k odemknutí svazku.
Na počítačích Mac bez čipů Apple lze klíčem PRK odemknout svazek v diskovém režimu:
1. Připojte Mac v diskovém režimu k jinému Macu se stejnou nebo vyšší verzí systému macOS.
2. Otevřete Terminál, spusťte následující příkaz a vyhledejte název svazku (obvykle „Macintosh HD“). Měla by se objevit zpráva „Přípojný bod: nepřipojeno“ a “FileVault: ano (uzamčeno).” Poznamenejte si identifikátor disku APFS svazku. Bude mít tvar disk3s2, jen čísla se pravděpodobně budou lišit, například disk4s5.
diskutil apfs list3. Spusťte následující příkaz, potom vyhledejte položku „personal recovery key user" a poznamenejte si uvedené UUID:
diskutil apfs listUsers /dev/<diskXsN>4. Spusťte následující příkaz:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Po zobrazení výzvy k zadání přístupového hesla vložte nebo zadejte klíč PRK a pak stiskněte Return. Svazek se připojí ve Finderu.