Usar secure token, bootstrap token e propriedade do volume em implementações
Secure token
No macOS 10.13 ou posterior, o Apple File System (APFS) altera a maneira como as chaves de criptografia do FileVault são geradas. Em volumes CoreStorage de versões anteriores do macOS, as chaves usadas no processo de criptografia do FileVault eram criadas quando um usuário ou organização ativava o FileVault em um Mac. Em volumes APFS no macOS, as chaves de criptografia são geradas durante o processo de criação de usuário, definindo a senha do primeiro usuário, ou durante o primeiro início de sessão de um usuário no Mac. Essa implantação das chaves de criptografia — quando elas são geradas, como elas são armazenadas — faz parte de um recurso conhecido como Secure Token. Especificamente, um token seguro é uma versão embalada de uma chave de criptografia de chave (KEK) protegida por uma senha de usuário.
Ao implementar o FileVault no APFS, o usuário pode continuar a:
Usar as ferramentas e processos existentes, como uma chave de recuperação pessoal (PRK) que pode ser armazenada com uma solução de gerenciamento de dispositivos móveis (MDM) para guarda segura
Criar e usar uma chave reserva institucional (IRK)
Adiar a ativação do FileVault até que um usuário inicie ou finalize uma sessão no Mac
No macOS 11 ou posterior, definir a senha inicial para o primeiro usuário no Mac resulta na concessão de um token seguro a esse usuário. Em alguns fluxos de trabalho, esse pode não ser o comportamento desejado. Como anteriormente, conceder o primeiro token seguro exigiria que o usuário iniciasse sessão. Para evitar que isso aconteça, adicione ;DisabledTags;SecureToken
ao atributo AuthenticationAuthority
do usuário criado programaticamente antes de definir a senha do usuário, conforme mostrado abaixo:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
Bootstrap token
No macOS 10.15 ou posterior, o bootstrap token também pode ser usado para mais do que apenas conceder tokens seguros para contas de usuário existentes. Em um computador Mac com Apple Silicon, o bootstrap token — se disponível e quando o gerenciamento for feito por MDM — pode ser usado para:
Supervisão
Suporte do fornecedor de MDM
Suponha que a solução MDM seja compatível com bootstrap tokens. No macOS 10.15.4 ou posterior, quando um usuário com o token seguro ativado inicia sessão pela primeira vez, um bootstrap token é gerado e guardado no MDM. Também é possível usar a ferramenta de linha de comando profiles
para gerar um bootstrap token guardado com segurança na solução MDM, se necessário.
No macOS 11 ou posterior, o bootstrap token também pode ser usado para mais do que apenas conceder tokens seguros para contas de usuário existentes. Em um computador Mac com Apple Silicon, o bootstrap token — se disponível e quando o gerenciamento for feito por MDM — pode ser usado para:
Autorizar a instalação de atualizações de software.
Autorizar silenciosamente o comando MDM “Apagar Conteúdo e Ajustes” (macOS 12.0.1 ou posterior).
Criar novos usuários quando iniciarem uma sessão pela primeira vez com o SSO de Plataforma (macOS 13 ou posterior).
Propriedade do volume
Os computadores Mac com Apple Silicon apresentaram o conceito de propriedade do volume. A propriedade do volume em um contexto organizacional não está ligada à verdadeira propriedade legal ou cadeia de custódia do Mac. Em vez disso, a propriedade do volume pode ser definida livremente como o usuário que primeiro reivindicou um Mac, configurando-o para seu próprio uso, junto com quaisquer usuários adicionais. Você precisa ser o proprietário de um volume para fazer alterações na política de segurança de inicialização em uma instalação específica do macOS, autorizar a instalação de atualizações de software principais e secundárias no macOS, iniciar um comando “Apagar Conteúdo e Ajustes” no Mac, etc. A política de segurança de inicialização define as restrições sobre quais versões do macOS podem ser inicializadas, e como e se extensões de kernel de terceiros podem ser carregas e gerenciadas.
O usuário que reivindicou um Mac pela primeira vez, configurando-o para seu uso, recebe um token seguro em um Mac com Apple silicon e se torna o primeiro proprietário do volume. Quando um bootstrap token está disponível e em uso, ele também se torna um proprietário do volume e concede o status de propriedade do volume a contas adicionais conforme concede a elas tokens seguros. Como tanto o primeiro usuário a receber um token seguro quanto o bootstrap token se tornam proprietários do volume (e dada a capacidade do bootstrap token em conceder tokens seguros a usuários adicionais e, consequentemente, o estado de propriedade do volume), a propriedade do volume não deve ser algo que precise ser ativamente gerenciado ou manipulado em uma organização. As considerações anteriores para gerenciamento e concessão de tokens seguros devem, na maioria dos casos, alinhar-se também ao estado de propriedade do volume.
É possível ser o proprietário de um volume e não ser um administrador, mas determinadas tarefas exigem a verificação de propriedade para ambos. Por exemplo, modificar configurações de segurança de inicialização exige tanto ser um administrador quanto um proprietário do volume, enquanto a autorização de atualizações de software é permitida por usuários padrão e requer apenas a propriedade.
Para visualizar a lista atual de proprietários de volume em um computador Mac com Apple Silicon, o seguinte comando pode ser executado:
sudo diskutil apfs listUsers /
Os GUIDs listados na saída do comando diskutil
do tipo “Local Open Directory User” são mapeados para os atributos GeneratedUID
dos registros do usuário no Open Directory. Para encontrar um usuário pelo GeneratedUID
, use o seguinte comando:
dscl . -search /Users GeneratedUID <GUID>
Você também pode usar o seguinte comando para ver os nomes de usuário e os GUIDs juntos:
sudo fdesetup list -extended
A propriedade é garantida por criptografia protegida no Secure Enclave. Para obter mais informações, consulte:
Uso da ferramenta de linha de comando
Há ferramentas de linha de comando disponíveis para gerenciar o bootstrap token e o token seguro. O bootstrap token geralmente é gerado no Mac e guardado com segurança na solução MDM durante o processo de configuração do macOS, após a solução MDM informar ao Mac que é compatível com o recurso. Todavia, o bootstrap token também pode ser gerado em um Mac que já tenha sido implantado. No macOS 10.15.4 ou posterior, um bootstrap token é gerado e guardado com segurança na solução MDM após o primeiro início de sessão de qualquer usuário com o token seguro ativado, se a solução MDM for compatível com o recurso. Isso reduz a necessidade de usar a ferramenta de linha de comando “profiles” após a configuração do dispositivo para gerar e guardar com segurança um bootstrap token na solução MDM.
A ferramenta de linha de comando profiles
tem várias opções para interação com o bootstrap token:
sudo profiles install -type bootstraptoken
: esse comando gera um novo bootstrap token e faz a guarda segura dele na solução MDM. Ele requer as informações de administrador do secure token existente para gerar inicialmente o bootstrap token, e a solução MDM precisa ser compatível com o recurso.sudo profiles remove -type bootstraptoken
: remove o bootstrap token existente do Mac e da solução MDM.sudo profiles status -type bootstraptoken
: informa se a solução MDM é compatível com o recurso bootstrap token e o estado atual do bootstrap token no Mac.sudo profiles validate -type bootstraptoken
: informa se a solução MDM é compatível com o recurso bootstrap token e o estado atual do bootstrap token no Mac.
Ferramenta de linha de comando sysadminctl
A ferramenta de linha de comando sysadminctl
pode ser usada especificamente para modificar o estado do token seguro em contas de usuário em um computador Mac. Isso deve ser feito com atenção e apenas quando necessário. A alteração do estado do token seguro de um usuário via sysadminctl
sempre exige o nome de usuário e a senha de um administrador com um token seguro existente ativado, seja interativamente ou através das opções apropriadas do comando. Tanto sysadminctl
quanto os Ajustes do Sistema (macOS 13 ou posterior) ou as Preferências do Sistema (macOS 12.0.1 ou anterior) impedem o apagamento do último usuário administrador ou com token seguro ativado em um Mac. Se a criação de usuários locais adicionais for realizada via sysadminctl
, para que esses usuários possam receber um token seguro, são exigidas as credenciais do administrador do token seguro atual através da opção interativa ou diretamente com as opções -adminUser
e -adminPassword
com sysadminctl
. Se não receber um token seguro no momento da criação, no macOS 11 ou posterior, um usuário local o receberá ao iniciar a sessão em um computador Mac se a solução MDM disponibilizar um bootstrap token. Use sysadminctl -h
para obter instruções de uso adicionais.