Gerenciar o FileVault com gerenciamento de dispositivos móveis
A criptografia total do disco do FileVault pode ser gerenciada nas organizações por meio do uso de uma solução de gerenciamento de dispositivos móveis (MDM) ou, para algumas implementações e configurações avançadas, por meio da ferramenta de linha de comando fdesetup. O gerenciamento o FileVault por meio do MDM é conhecido como “ativação deferida” e exige um evento de finalização de sessão ou de início de sessão do usuário. O MDM pode personalizar opções como:
Quantas vezes um usuário pode adiar a ativação do FileVault
Se avisos aparecem para o usuário ao finalizar a sessão, além dos avisos ao iniciar a sessão
Se a chave reserva é mostrada ao usuário
Qual certificado é usado para criptografar assimetricamente a chave reserva para guardar na solução MDM
Para permitir que um usuário desbloqueie o armazenamento em volumes APFS, é necessário que ele tenha um token seguro e, em um Mac com Apple Silicon, seja proprietário do volume. Para obter mais informações sobre tokens seguros e propriedade do volume, consulte Usar secure token, bootstrap token e propriedade do volume em implementações. Informações sobre como e quando os usuários recebem um token seguro em fluxos de trabalho específicos são fornecidas a seguir.
Exigência do FileVault no Assistente de Configuração
Com a chave ForceEnableInSetupAssistant, é possível exigir que computadores Mac ativem o FileVault durante o Assistente de Configuração. Isso garante que o armazenamento interno em computadores Mac gerenciados esteja sempre criptografado antes do uso. Organizações podem decidir entre mostrar a chave reserva do FileVault para o usuário ou guardar com segurança a chave reserva pessoal. Para usar esse recurso, defina await_device_configured.
Nota: Antes do macOS 14.4, esse recurso requer que a conta de usuário criada interativamente durante o Assistente de Configuração tenha a função de Administrador.
Quando um usuário configura um Mac por conta própria
Quando um usuário configura um Mac por conta própria, os departamentos de TI não executam nenhuma tarefa de provisionamento no dispositivo. Todas as políticas e configurações são providas por meio de uma solução MDM ou ferramentas de gerenciamento de configuração. O Assistente de Configuração é usado para criar a conta local inicial e o usuário recebe um token seguro. Se a solução MDM for compatível com o recurso bootstrap token e informar o Mac durante o registro no MDM, um bootstrap token é gerado pelo Mac e guardado com segurança na solução MDM.
Se o Mac estiver registrado em uma solução MDM, a conta inicial pode não ser uma conta de administrador local, e sim uma conta de usuário padrão local. Se o usuário for rebaixado a usuário padrão no MDM, ele receberá automaticamente um token seguro. No macOS 10.15.4 ou posterior, se o usuário for rebaixado, um bootstrap token será gerado automaticamente e guardado com segurança na solução MDM, se compatível com o recurso.
Se a criação de uma conta de usuário local no Assistente de Configuração for ignorada completamente ao usar o MDM e, em vez disso, for usado um serviço de diretório com contas móveis, o usuário da conta móvel receberá um token seguro ao iniciar a sessão. Com uma conta móvel, depois que o usuário tem um token seguro ativado, no macOS 10.15.4 ou posterior, um bootstrap token é gerado automaticamente durante o segundo início de sessão do usuário e guardado seguramente na solução MDM, se compatível com o recurso.
Em qualquer dos cenários acima, devido ao usuário primeiro e principal receber um token seguro, eles podem ser ativados para o FileVault usando a ativação adiada. A ativação adiada permite que a organização ative o FileVault, mas adie sua ativação até que um usuário inicie ou finalize uma sessão no Mac. Também é possível personalizar a possibilidade do usuário ignorar a ativação do FileVault (e, opcionalmente, um certo número de vezes). Como resultado final, o usuário principal do Mac (seja um usuário local de qualquer tipo ou uma conta móvel) pode desbloquear o dispositivo de armazenamento quando ele se encontra criptografado com o FileVault.
Em computadores Mac onde um bootstrap token foi gerado e guardado seguramente em uma solução MDM, se outro usuário iniciar a sessão no Mac em data e hora futuras, o bootstrap token será usado para conceder automaticamente um token seguro. Consequentemente, a conta também estará ativada para o FileVault e poderá desbloquear o volume do FileVault. Para impedir que um usuário desbloqueie um dispositivo de armazenamento, use o comando fdesetup remove -user.
Quando um Mac é provisionado por uma organização
Quando um Mac é provisionado por uma organização antes de chegar ao usuário, o departamento de TI configura o dispositivo. A conta administrativa local, criada no Assistente de Configuração ou provisionada pelo MDM, é usada para provisionar ou configurar o Mac e recebe o primeiro token seguro durante o início de sessão. Se a solução MDM for compatível com o recurso de bootstrap token, um bootstrap token também será gerado e guardado com segurança na solução MDM.
Se o Mac estiver vinculado a um serviço de diretório e configurado para criar contas móveis, e se não houver bootstrap token, os usuários do serviço de diretório serão solicitados a digitar o nome de usuário e a senha de um administrador do token seguro existente para conceder um token seguro às suas contas. As credenciais de um administrador local com token seguro ativado devem ser inseridas. Se o token seguro não for exigido, o usuário pode clicar em Ignorar. No macOS 10.13.5 ou posterior, é possível suprimir completamente o diálogo do token seguro se o FileVault não for usado com as contas móveis. Para suprimir o diálogo do token seguro, aplique um perfil de configuração com ajustes personalizados da solução MDM com as seguintes chaves e valores:
Ajuste | Valor | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domínio | com.apple.MCX | ||||||||||
Chave | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valor | Verdadeiro | ||||||||||
Se a solução MDM for compatível com o recurso Bootstrap Token e um bootstrap token for gerado pelo Mac e guardado com segurança na solução MDM, os usuários de contas móveis não verão esse diálogo. Eles receberão automaticamente um token seguro durante o início de sessão.
Se usuários locais adicionais forem exigidos no Mac (em vez de contas de usuário de um serviço de diretório), a concessão do token seguro para esses usuários locais ocorre automaticamente quando um administrador com token seguro ativado os cria em “Usuários e Grupos” (nos Ajustes do Sistema no macOS 13 ou posterior, ou nas Preferências do Sistema no macOS 12.0.1 ou anterior). Se a linha de comando for usada para criar usuários locais, a ferramenta de linha de comando sysadminctl pode ser usada e, opcionalmente, ativá‑los para o secure token. Mesmo se não receber um token seguro no momento da criação, no macOS 11 ou posterior, um usuário local o receberá ao iniciar a sessão em um computador Mac se a solução MDM disponibilizar um bootstrap token.
Nesses cenários, os seguintes usuários podem desbloquear o volume criptografado com o FileVault:
O administrador local original, usado para o provisionamento
Qualquer usuário adicional do serviço de diretório que tenha recebido um token seguro durante o processo de início de sessão, seja interativamente com o diálogo ou automaticamente com o bootstrap token
Quaisquer novos usuários locais
Para impedir que um usuário desbloqueie um dispositivo de armazenamento, use o comando fdesetup remove -user.
Ao usar um dos fluxos de trabalho descritos acima, o token seguro é gerenciado pelo macOS sem a necessidade de qualquer configuração adicional ou script. Ele se torna um detalhe da implantação e não algo que requer ativamente gerenciamento nem manipulação.
Ferramenta de linha de comando fdesetup
As configurações do MDM ou a ferramenta de linha de comando fdesetup podem ser usadas para configurar o FileVault. No macOS 10.15 ou posterior, o uso de fdesetup para ativar o FileVault com nome do usuário e senha não é recomendável e não será reconhecido em versões futuras. O comando continua funcionando, mas não é recomendado no macOS 11 e no macOS 12.0.1. Em vez disso, considere usar a ativação adiada com o MDM. Para obter mais informações sobre a ferramenta de linha de comando fdesetup, abra o app Terminal e digite man fdesetup ou fdesetup help.
Chave reserva institucional versus chave reserva pessoal
O FileVault permite o uso de uma chave reserva institucional (IRK, anteriormente chamada de Identidade Mestre do FileVault) para desbloquear o volumes CoreStorage e APFS. Embora uma IRK seja útil para operações de linha de comando para desbloquear um volume ou desativar o FileVault completamente, sua utilidade para as organizações é limitada, especialmente nas versões recentes do macOS. E em um Mac com Apple silicon, as IRKs não fornecem valor funcional por dois motivos principais: elas não podem ser usadas para acessar o recoveryOS e, como o modo de disco de destino não é mais compatível, o volume não pode ser desbloqueado ao conectá‑lo a outro Mac. Por esses e outros motivos, o uso de IRKs não é mais recomendado para o gerenciamento institucional do FileVault em computadores Mac. Em vez disso, uma chave reserva pessoal (PRK) deve ser usada. Uma PRK oferece:
Um mecanismo de recuperação e acesso ao sistema operacional extremamente robusto
Criptografia única por volume
Guarda segura para MDM
Alternância fácil da chave após o uso
Uma PRK pode ser usada no recoveryOS ou para iniciar um Mac criptografado diretamente no macOS (exige o macOS 12.0.1 ou superior para um Mac com Apple silicon). No recoveryOS, a PRK pode ser usada caso seja solicitada no Assistente de Recuperação ou com a opção “Esqueceu todas as senhas?” para obter acesso ao ambiente de recuperação, que também pode desbloquear o volume. Ao usar a opção “Esqueceu todas as senhas?”, não é necessário redefinir a senha de um usuário. Pode-se clicar no botão Sair para iniciar diretamente no recoveryOS. Para iniciar diretamente o macOS em computadores Mac com processador Intel, clique no ponto de interrogação ao lado do campo de senha e escolha a opção “redefini-la usando sua Chave Reserva”. Insira a PRK e pressione a tecla Retorno ou clique na seta. Depois que o macOS for inicializado, pressione Cancelar na caixa de diálogo de alteração de senha. Em um Mac com Apple Silicon e macOS 12.0.1 ou posterior, pressione Option + Shift + Return para mostrar o campo de entrada para a PRK e pressione Return (ou clique na seta).
Há apenas uma única PRK por volume criptografado e durante a ativação do FileVault pelo MDM ela pode ser opcionalmente ocultada do usuário. Quando configurada sua guarda segura no MDM, o MDM fornece uma chave pública para o Mac na forma de um certificado, que é usado para criptografar assimetricamente a PRK em um formato de envelope CMS. A PRK criptografada é retornada para o MDM na consulta de informação de segurança, que pode ser então descriptografada para visualização pela organização. Como a criptografia é assimétrica, o próprio MDM pode não ser capaz de descriptografar a PRK (exigindo portanto etapas adicionais de um administrador). No entanto, muitos fornecedores de MDM oferecem a opção de gerenciar essas chaves para permitir a exibição diretamente em seus produtos. O MDM também pode, opcionalmente, alternar as PRKs com a frequência que for necessária para ajudar a manter uma postura intensa de segurança, por exemplo, após uma PRK ser usada para desbloquear um volume.
Uma PRK pode ser usada no modo de disco de destino em computadores Mac sem Apple Silicon para desbloquear um volume:
1. Conecte o Mac no modo de disco de destino a outro Mac que use a mesma versão do macOS ou uma versão mais recente.
2. Abra o Terminal e execute o comando a seguir para buscar pelo nome do volume (geralmente “Macintosh HD”). Ele deve retornar “Mount Point: Not Mounted” e “FileVault: Yes (Locked)”. Anote o ID do Disco de Volume APFS para o volume, que se parece com disk3s2, mas com números diferentes, por exemplo, disk4s5.
diskutil apfs list3. Execute o comando a seguir, busque a chave reserva pessoal do usuário e anote o UUID relacionado:
diskutil apfs listUsers /dev/<diskXsN>4. Execute este comando:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Quando a frase-senha for pedida, cole ou digite a PRK e pressione Return. O volume é montado no Finder.