Utilizzare token Secure, token Bootstrap e la proprietà di volume nelle distribuzioni
Token Secure
Apple File System (APFS) su macOS 10.13 o versione successiva modifica il modo in cui vengono generate le chiavi di crittografia di FileVault. In versioni precedenti di macOS su volumi CoreStorage, le chiavi da utilizzare nel processo di crittografia di FileVault venivano create quando un utente o un’organizzazione attivavano FileVault su un Mac. In macOS su volumi APFS, le chiavi di crittografia vengono generate durante la creazione dell’utente, l’impostazione della prima password utente o durante il primo login da parte di un utente sul Mac. Questa implementazione delle chiavi di crittografia, il momento in cui vengono generate e il modo in cui vengono archiviate fanno tutte parte della funzionalità nota come token Secure. Nello specifico, un token Secure è la versione incapsulata di una chiave KEK (Key Encryption Key) protetta dalla password di un utente.
Con la distribuzione di FileVault su APFS, l’utente può continuare a:
Utilizzare strumenti e processi esistenti, come una chiave di recupero personale (PKR) che può essere archiviata con una soluzione di gestione dei dispositivi mobili per escrow.
Creare e utilizzare una chiave di recupero istituzionale.
Rimandare l’abilitazione di FileVault fino a quando un utente non effettua il login o il logout sul Mac.
In macOS 11 o versioni successive, quando l’utente imposta la password iniziale per il primo utente sul Mac gli viene fornito un token Secure. In alcuni flussi di lavoro, questo potrebbe non essere il comportamento desiderato, poiché in precedenza, la concessione del primo token Secure avrebbe richiesto l’accesso all’account utente. Per evitare che ciò accada, aggiungi ;DisabledTags;SecureToken
all’attributo dell’utente creato programmaticamente AuthenticationAuthority
prima di impostare la password utente, come mostrato di seguito:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
Token Bootstrap
In macOS 11 o versioni successive, il token Bootstrap può anche essere usato per altre attività oltre a garantire il token Secure agli account utente esistenti. Su un Mac con chip Apple, il token Bootstrap, se disponibile e quando gestito tramite soluzione MDM, può essere utilizzato per:
Supervisione
Supporto da parte del fornitore della soluzione MDM
Supponiamo che la tua soluzione MDM supporti i token Bootstrap. In macOS 10.15.4 o versione successiva, quando un utente abilitato per il token Secure accede per la prima volta, viene generato un token Bootstrap e archiviato nella soluzione MDM. È inoltre possibile generare e archiviare un token Bootstrap su una soluzione MDM tramite lo strumento a riga di comando profiles
, se necessario.
In macOS 11 o versioni successive, il token Bootstrap può anche essere usato per altre attività oltre a garantire il token Secure agli account utente esistenti. Su un Mac con chip Apple, il token Bootstrap, se disponibile e quando gestito tramite soluzione MDM, può essere utilizzato per:
Autorizzare l’installazione degli aggiornamenti software.
Autorizzare tacitamente il comando MDM per inizializzare tutti i contenuti e le impostazioni (macOS 12.0.1 o versioni successive).
Creare nuovi utenti quando accedono per la prima volta con la piattaforma Single Sign-On (macOS 13 o versioni successive).
Proprietà di un volume
I Mac con chip Apple introducono il concetto di proprietà del volume. La proprietà del volume in un contesto organizzativo non è legata alla vera proprietà legale o alla catena di custodia del Mac. Invece, la proprietà del volume può essere vagamente definita come l’utente che per primo ha rivendicato un Mac configurandolo per il proprio uso, insieme a qualsiasi altro utente aggiuntivo. Per eseguire modifiche nella politica di sicurezza di avvio per un’installazione specifica di macOS, autorizzare l’installazione di aggiornamenti e upgrade del software di macOS, iniziare una procedura di inizializzazione di tutti i contenuti e di tutte le impostazioni sul Mac e altro ancora, è necessario essere proprietari del volume. La politica di sicurezza di avvio definisce le restrizioni relative a quali versioni di macOS possono essere avviate e stabilisce la modalità e la possibilità di caricare e gestire o meno le estensioni del kernel di terze parti.
L’utente che per primo ha rivendicato un Mac configurandolo per il suo uso, riceve un token Secure su un Mac con Apple Silicon e diventa il primo proprietario del volume. Quando un token Bootstrap è disponibile e in uso, esso diventa proprietario del volume e concede lo stato di proprietà di volume ad account aggiuntivi, man mano che vengono loro concessi token sicuri. La proprietà di un volume non dovrebbe essere attivamente gestita o manipolata da un’organizzazione, dal momento che i primi utenti a cui viene assegnato un token Secure e un token Bootstrap diventano proprietari di volume, lo stesso vale per la capacità del token Bootstrap di concedere token Secure e, pertanto, lo stato di proprietari di volume, a utenti aggiuntivi. Le considerazioni precedenti relative alla gestione e alla concessione di token Secure devono generalmente allinearsi anche con lo stato di proprietà del volume.
È possibile possedere un determinato volume senza esserne l’amministratore, tuttavia, alcune attività richiedono il controllo della proprietà di entrambi gli stati. Per esempio, la modifica delle impostazioni di sicurezza di avvio richiede entrambe le proprietà di amministratore e proprietario, mentre l’autorizzazione di aggiornamenti software è consentita tramite utenti standard e richiede unicamente lo stato di proprietario.
Per consultare l’elenco attuale di proprietari di volume su Mac con chip Apple, puoi eseguire il seguente comando:
sudo diskutil apfs listUsers /
I GUID elencati nel comando diskutil
del tipo “Local Open Directory User” sono mappati agli attributi GeneratedUID
dei record utente in Open Directory. Per trovare un utente tramite GeneratedUID
, utilizza il seguente comando:
dscl . -search /Users GeneratedUID <GUID>
Puoi anche utilizzare il seguente comando per visualizzare contemporaneamente nomi utente e GUID:
sudo fdesetup list -extended
La proprietà viene supportata mediante la crittografia protetta in Secure Enclave. Per ulteriori informazioni, consulta:
Utilizzo degli strumenti da riga di comando
Per la gestione di token Bootstrap e token Secure sono disponibili degli strumenti a riga di comando. Il token Bootstrap viene solitamente generato dal Mac e archiviato nella soluzione MDM durante la procedura di configurazione di macOS, una volta che la soluzione MDM ha comunicato al Mac che tale funzionalità è supportata. Tuttavia, è anche possibile generare un token Bootstrap su un Mac che è già stato distribuito. Su macOS 10.15.4 o versione successiva, viene generato un token Bootstrap che viene archiviato in una soluzione MDM al momento del primo accesso di un utente token Secure abilitato, nel caso in cui la soluzione MDM supporti tale funzionalità. Questo riduce la necessità di utilizzare lo strumento a riga di comando dei profili dopo la configurazione del dispositivo per generare e archiviare un token Bootstrap nella soluzione MDM.
Lo strumento a riga di comando profiles
dispone di una serie di opzioni per interagire con il token Bootstrap:
sudo profiles install -type bootstraptoken
: questo comando genera un nuovo token Bootstrap e lo archivia nella soluzione MDM. Questo comando richiede delle informazioni da amministratore con token Secure esistenti per generare inizialmente il token Bootstrap e la soluzione MDM deve supportare la funzionalità.sudo profiles remove -type bootstraptoken
: rimuove il token Bootstrap esistente sul Mac e sulla soluzione MDM.sudo profiles status -type bootstraptoken
: rileva se la soluzione MDM supporta la funzionalità token Bootstrap e lo stato attuale del token Bootstrap sul Mac.sudo profiles validate -type bootstraptoken
: rileva se la soluzione MDM supporta la funzionalità token Bootstrap e lo stato attuale del token Bootstrap sul Mac.
Strumento a riga di comando sysadminctl
È possibile utilizzare lo strumento a riga di comando sysadminctl
specificatamente per modificare lo stato del token Secure per gli account utente su un Mac. Tale operazione deve essere effettuata con cautela e solo se necessario. La modifica dello stato di token Secure di un utente tramite sysadminctl
richiede sempre il nome utente e la password di un amministratore esistente con token Secure abilitato, in maniera interattiva o tramite gli appositi flag nel comando. Sia sysadminctl
e Impostazioni di Sistema (macOS 13 o versioni successive) o Preferenze di Sistema (macOS 12.0.1 o versioni precedenti) impediscono l’eliminazione dell’ultimo utente amministratore o con il token Secure abilitato dal Mac. Se si esegue uno script per la creazione di utenti locali aggiuntivi tramite sysadminctl
, per poter abilitare token Secure per tali utenti, sono richieste le credenziali di un amministratore attuale con token Secure abilitato; tali credenziali devono essere fornite tramite l’opzione interattiva o direttamente con i flag -adminUser
e -adminPassword
in sysadminctl
. Se non viene fornito un token Secure al momento della creazione, in macOS 11 o versione successiva, a un utente locale che accede a un Mac viene fornito un token Secure al momento del login se un token Bootstrap è disponibile dalla soluzione MDM. Utilizza sysadminctl -h
per istruzioni di utilizzo aggiuntive.