Gestionarea FileVault folosind gestionarea dispozitivelor mobile
Criptarea completă a discului FileVault poate fi gestionată în organizații prin utilizarea unei soluții de gestionare a dispozitivelor mobile (MDM) sau, pentru unele implementări și configurări avansate, instrumentul în linie de comandă fdesetup
. Gestionarea FileVault utilizând MDM este denumită activare amânată și necesită un eveniment de logout sau login din partea utilizatorului. MDM poate personaliza opțiuni precum:
De câte ori poate întârzia un utilizator activarea FileVault
Dacă utilizatorul să primească o solicitare la logout, pe lângă solicitarea din timpul loginului
Dacă să se afișeze cheia de recuperare pentru utilizator
Ce certificat este utilizat pentru a cripta asimetric cheia de recuperare pentru a fi plasată în custodia MDM
Pentru ca un utilizator să poată debloca stocarea pe volumele APFS, este necesar ca acesta să dețină un token securizat și, pe un Mac cu cip Apple, să fie proprietar al volumului. Pentru mai multe informații despre tokenuri securizate și proprietatea volumului, consultați Utilizarea tokenurilor securizate, tokenurilor de amorsare și proprietatea volumelor în implementări. Mai jos sunt furnizate informații despre cum și când li se acordă utilizatorilor un token securizat în anumite fluxuri de lucru.
Impunerea FileVault în Asistent de configurare
Folosind cheia ForceEnableInSetupAssistant
, computerelor Mac li se poate impune să activeze FileVault în timpul Asistentului de configurare. Astfel se asigură că stocarea internă a computerelor Mac gestionate este criptată întotdeauna înainte de a fi utilizată. Organizațiile pot decide dacă să-i afișeze utilizatorului cheia de recuperare FileVault sau să plaseze în custodie cheia de recuperare personală. Pentru a utiliza această funcționalitate, asigurați-vă că ați configurat await_device_configured
.
Notă: La versiunile anterioare de macOS 14.4, pentru ca această funcționalitate sa fie operabilă, contul de utilizator care a fost creat interactiv în timpul Asistentului de configurare trebuie să aibă rolul de administrator.
Atunci când un utilizator își configurează singur Mac-ul
Când un utilizator configurează manual un Mac, departamentele IT nu realizează nicio sarcină de pregătire pe dispozitivul în sine. Toate politicile și configurațiile sunt furnizate prin intermediul unei soluții MDM sau al instrumentelor de gestionare a configurației. Aplicația Asistent de configurare este utilizată pentru a crea contul local inițial, iar utilizatorului i se acordă un token securizat. Dacă soluția MDM este compatibilă cu funcționalitatea token de amorsare și informează Mac‑ul în timpul înscrierii la MDM, un token de amorsare este generat de Mac și plasat în custodie în soluția MDM.
Dacă Mac‑ul este înscris la o soluție MDM, contul inițial poate să nu fie un cont de administrator local, ci un cont de utilizator standard local. Dacă utilizatorul este transformat într‑un utilizator standard prin utilizarea MDM, acestuia i se acordă automat un token securizat. În macOS 10.15.4 sau ulterior, dacă utilizatorul este retrogradat, un token de amorsare este generat automat și plasat în custodia soluției MDM dacă este compatibilă cu această funcționalitate.
Dacă se omite complet crearea contului de utilizator local în Asistent de configurare folosind MDM și se utilizează în schimb un serviciu de director cu conturi mobile, utilizatorului de cont mobil i se acordă un token securizat în timpul operațiunii de login. Cu un cont mobil, după activarea tokenului securizat pentru utilizator, în macOS 10.15.4 sau ulterior, un token de amorsare este generat automat în timpul celui de-al doilea login al utilizatorului și este plasat în custodia soluției MDM dacă este compatibilă cu această funcționalitate.
În oricare dintre scenariile de mai sus, dacă primului utilizator principal i se acordă un token securizat, acesta poate fi activat pentru FileVault folosind activarea amânată. Activarea amânată îi permite organizației să activeze FileVault, dar să amâne acest lucru până când un utilizator efectuează login sau logout de pe Mac. Personalizarea este posibilă și dacă utilizatorul poate omite activarea FileVault (opțional de un număr definit de ori). Rezultatul final este faptul că utilizatorul principal al Mac-ului (fie un utilizator local de orice tip, fie un cont mobil) poate să deblocheze dispozitivul de stocare atunci când este criptat cu FileVault.
Pe computerele Mac pe care a fost generat un token de amorsare și plasat în custodia unei soluții MDM, în cazul în care un alt utilizator efectuează login la Mac la o dată ulterioară, tokenul de amorsare este utilizat pentru a acorda automat un token securizat. Aceasta înseamnă că respectivul cont este activat și pentru FileVault și poate debloca volumul FileVault. Pentru a elimina posibilitatea ca un utilizator să poată debloca dispozitivul de stocare, utilizați fdesetup remove -user
.
Atunci când un Mac este aprovizionat de o organizație
Când un Mac este aprovizionat de o organizație înainte de a fi dat unui utilizator, departamentul IT configurează dispozitivul. Contul de administrator local, fie creat în Asistent de configurare, fie aprovizionat cu ajutorul MDM, este utilizat pentru a aproviziona sau a configura Mac‑ul și i se acordă primul token securizat în timpul operațiunii de login. Dacă soluția MDM este compatibilă cu funcționalitatea token de amorsare, un token de amorsare este, de asemenea, generat și plasat în custodia soluției MDM.
Dacă Mac‑ul este înscris într‑un serviciu de director și este configurat să creeze conturi mobile și dacă nu există niciun token de amorsare, utilizatorilor serviciului de director li se solicită la primul login numele de utilizator și parola unui administrator de tokenuri securizate existent pentru ca un token securizat să fie acordat contului lor. Trebuie introduse acreditările unui administrator local cu token securizat activat în prezent. Dacă un token securizat nu este necesar, utilizatorul poate face clic pe Ocolire. În macOS 10.13.5 sau ulterior, dialogul tokenului securizat poate fi eliminat complet dacă FileVault nu va fi utilizat cu conturile mobile. Pentru a elimina dialogul tokenului securizat, aplicați un profil de configurare personalizat din soluția MDM, cu următoarele chei și valori:
Configurare | Valoare | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Domeniu | com.apple.MCX | ||||||||||
Cheie | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valoare | True |
Dacă soluția MDM este compatibilă cu funcționalitatea Token de amorsare și un token a fost generat de Mac și plasat în custodia soluției MDM, utilizatorii de conturi mobile nu vor vedea această solicitare. În schimb, li se va acorda automat un token securizat în timpul loginului.
Dacă pe Mac sunt necesari utilizatori locali suplimentari în locul conturilor de utilizator dintr‑un serviciu de director, acelor utilizatori locali li se acordă automat un token securizat atunci când sunt creați în “Utilizatori și grupuri“ (în Configurări sistem pe macOS 13 sau versiunile ulterioare sau în Preferințe sistem pe macOS 12.0.1 sau versiunile anterioare) de către un administrator cu token securizat activat în prezent. Dacă se creează utilizatori locali în linia de comandă, instrumentul în linie de comandă sysadminctl
poate fi utilizat și opțional îi poate activa pentru tokenul securizat. Chiar dacă nu i se acordă un token securizat în momentul creării, în macOS 11 sau ulterior, unui utilizator local care efectuează login pe un Mac i se acordă un token securizat în timpul operațiunii de login, dacă un token de amorsare este disponibil de la soluția MDM.
În aceste scenarii, utilizatorii următori pot debloca volumul criptat de FileVault:
Administratorul local inițial folosit pentru aprovizionare
Orice utilizatori suplimentari ai serviciului de director cărora li s-a acordat un token securizat în timpul procesului de login, fie interactiv folosind solicitarea din fereastra de dialog, fie automat cu tokenul de amorsare
Orice utilizatori locali noi
Pentru a elimina posibilitatea ca un utilizator să poată debloca dispozitivul de stocare, utilizați fdesetup remove -user
.
Când se utilizează unul dintre fluxurile de lucru descrise mai sus, tokenul securizat este gestionat de macOS fără a fi necesară o configurație sau scriptare suplimentară; acesta devine un detaliu de implementare și nu ceva ce trebuie să fie gestionat și manipulat activ.
Instrumentul în linie de comandă fdesetup
Pot fi utilizate configurații MDM sau instrumentul în linie de comandă fdesetup
pentru a configura FileVault. În macOS 10.15 sau ulterior, utilizarea fdesetup
pentru a activa FileVault introducând numele de utilizator și parola este depreciată și nu va fi recunoscută într-o versiune ulterioară. Comanda continuă să funcționeze, dar rămâne perimată în macOS 11 și macOS 12.0.1. Se recomandă în schimb utilizarea activării amânate folosind MDM. Pentru a afla mai multe despre instrumentul în linie de comandă fdesetup
, lansați aplicația Terminal și introduceți man fdesetup
sau fdesetup help
.
Chei de recuperare instituțională versus personală
Atât pe volumele CoreStorage, cât și pe APFS, FileVault este compatibil cu utilizarea unei chei de recuperare instituțională (IRK, cunoscută anterior drept identitate master FileVault) pentru a debloca volumul. Deși o cheie IRK este utilă pentru ca operațiunile în linie de comandă să deblocheze un volum sau să dezactiveze FileVault, utilitatea acesteia pentru organizații este limitată, mai ales în versiunile recente de macOS. În plus, pe un Mac cu cip Apple, cheile IRK nu oferă o valoare funcțională din două motive principale: În primul rând, cheile IRK nu pot fi folosite pentru a accesa recoveryOS; iar în al doilea rând, întrucât modul disc țintă nu mai este compatibil, volumul nu poate fi deblocat prin conectarea sa la alt Mac. Din aceste motive, dar și din alte considerente, utilizarea unei chei IRK nu mai este recomandată pentru gestionarea instituțională a FileVault pe computerele Mac. În schimb, se recomandă utilizarea unei chei de recuperare personale (PRK). O cheie PRK furnizează:
O recuperare extrem de robustă și mecanism de acces la sistemul de operare
Criptare unică pentru fiecare volum
Plasarea în custodia MDM
Rotirea facilă a cheii după utilizare
O cheie PRK poate fi utilizată fie în recoveryOS, fie pentru pornirea unui Mac criptat direct în macOS (necesită macOS 12.0.1 sau o versiune ulterioară pentru un Mac cu cip Apple). În recoveryOS, cheia PRK poate fi utilizată dacă este solicitată de Asistent de recuperare sau cu opțiunea “Ați uitat toate parolele”, pentru a obține acces la mediul de recuperare, care deblochează apoi și volumul. Când se utilizează opțiunea “Ați uitat toate parolele”, nu este necesară resetarea unei parole pentru un utilizator; se poate face clic pe butonul de ieșire pentru a inițializa direct în recoveryOS. Pentru a porni macOS direct pe computerele Mac cu cip Intel, faceți clic pe semnul întrebării de lângă câmpul parolă, apoi selectați opțiunea de a “reseta utilizând cheia dvs. de recuperare”. Introduceți cheia PRK, apoi apăsați tasta Retur sau faceți clic pe săgeată. După inițializarea macOS, faceți clic pe Renunță în dialogul de schimbare a parolei. Pe un Mac cu cip Apple care utilizează macOS 12.0.1 sau ulterior, apăsați Opțiune-Shift-Retur pentru a afișa câmpul de introducere pentru cheia PRK, apoi apăsați Retur (sau faceți clic pe săgeată).
Există o singură cheie PRK pentru fiecare volum criptat și, în timpul activării FileVault din MDM, aceasta poate fi opțional ascunsă de utilizator. Când se configurează pentru plasarea în custodia MDM, MDM furnizează o cheie publică pentru Mac, sub forma unui certificat, care este ulterior utilizat pentru criptarea asimetrică a cheii PRK într-un format plic CMS. Cheia PRK criptată este returnată la soluția MDM în interogarea informației de securitate, care poate fi apoi decriptată pentru vizualizarea de către organizație. Întrucât criptarea este asimetrică, este posibil ca MDM să nu poată decripta cheia PRK (necesitând astfel efectuarea unor pași suplimentari de către administrator). Cu toate acestea, numeroși furnizori de MDM oferă opțiunea de a gestiona aceste chei pentru a permite vizualizarea directă în produsele lor. De asemenea, opțional, MDM poate roti cheile PRK de câte ori este necesar pentru menținerea unui nivel ridicat al securității (de exemplu, după ce o cheie PRK este utilizată pentru deblocarea unui volum).
O cheie PRK poate fi utilizată în modul disc țintă pe computerele Mac fără cip Apple pentru deblocarea unui volum:
1. Conectați Mac-ul în modul disc țintă la un alt Mac care utilizează aceeași versiune de macOS sau una mai recentă.
2. Deschideți Terminal, apoi executați următoarea comandă și căutați numele volumului (de obicei este “Macintosh HD”). Ar trebui să scrie “Punct de montare: Nemontat” și ”FileVault: Da (Blocat)”. Notați ID-ul discului volumului APFS pentru volumul respectiv, care are forma disk3s2, dar probabil cu cifre diferite (de exemplu, disk4s5).
diskutil apfs list
3. Executați următoarea comandă, apoi căutați utilizatorul cheii de recuperare personală și notați identificatorul UUID listat:
diskutil apfs listUsers /dev/<diskXsN>
4. Executați această comandă:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>
5. La solicitarea frazei de acces, lipiți sau introduceți cheia PRK, apoi apăsați Retur. Volumul este montat în Finder.