Utilizarea tokenurilor securizate, tokenurilor de amorsare și proprietatea volumelor în implementări
Tokenul securizat
Sistemul de fișiere Apple (APFS) din macOS 10.13 sau ulterior modifică modul în care sunt generate cheile de criptare FileVault. În versiunile anterioare de macOS de pe volumele CoreStorage, cheile utilizate în procesul de criptare FileVault erau create atunci când un utilizator sau o organizație activa FileVault pe un Mac. În macOS, pe volumele APFS, cheile de criptare sunt generate în timpul creării utilizatorului, la configurarea primei parole a utilizatorului sau la primul login de către un utilizator al Mac‑ului. Această implementare a cheilor de criptare, momentul în care sunt generate și modul în care sunt stocate, toate fac parte dintr‑o funcționalitate cunoscută drept token securizat. Mai exact, un token securizat este o versiune împachetată a unei chei de criptare a cheilor (KEK) protejată printr‑o parolă de utilizator.
La activarea FileVault pe APFS, utilizatorul poate continua:
Utilizarea instrumentelor și a proceselor existente, cum ar fi o cheie de recuperare personală (PRK) care poate fi stocată într‑o soluție de gestionare a dispozitivelor mobile (MDM) pentru custodie
Crearea și utilizarea unei chei de recuperare instituționale (IRK)
Să amâne activarea FileVault până când un utilizator efectuează login sau logout de pe Mac
În cu macOS 11 sau ulterior, odată cu configurarea parolei inițiale a primului utilizator al Mac‑ului, utilizatorului respectiv i se atribuie un token securizat. În unele fluxuri de lucru, s‑ar putea ca acesta să nu fie comportamentul dorit, deoarece în trecut, pentru acordarea primului token securizat ar fi fost necesar contul de utilizator pentru a efectua login. Pentru ca acest lucru să nu se întâmple, adăugați ;DisabledTags;SecureToken la atributul AuthenticationAuthority creat prin programare pentru utilizator înaintea configurării parolei de utilizator, așa cum se arată mai jos:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Tokenul de amorsare
În macOS 10.15 sau ulterior, tokenul de amorsare poate fi utilizat chiar mai mult decât pentru simpla acordare de tokenuri securizate pentru conturile de utilizator existente. Pe un computer Mac cu cip Apple, tokenul de amorsare, dacă este disponibil și gestionat folosind MDM, poate fi utilizat pentru:
Supervizare
Compatibilitatea cu furnizorul MDM
Să presupunem că soluția dvs. MDM acceptă tokenuri de amorsare. În macOS 10.15.4 sau ulterior, când un utilizator cu token securizat activat efectuează login pentru prima dată, un token de amorsare este generat și plasat în custodia MDM. De asemenea, un token de amorsare poate fi generat și plasat în custodia MDM folosind instrumentul în linie de comandă profiles, dacă este cazul.
În macOS 11 sau ulterior, tokenul de amorsare poate fi utilizat chiar mai mult decât pentru simpla acordare de tokenuri securizate pentru conturile de utilizator existente. Pe un computer Mac cu cip Apple, tokenul de amorsare, dacă este disponibil și gestionat folosind MDM, poate fi utilizat pentru:
Autorizarea instalării actualizărilor software.
Autorizarea în mod silențios a unei comenzi MDM “Șterge tot conținutul și configurările” (macOS 12.0.1 sau ulterior).
Crearea de noi utilizatori când aceștia efectuează login pentru prima dată cu SSO la nivel de platformă (macOS 13 sau ulterior).
Proprietarul volumului
Computerele Mac cu cip Apple introduc conceptul de proprietar al volumului. Proprietarul volumului într-un context organizațional nu are legătură cu proprietate juridică adevărată sau cu lanțul de custodie asupra unui Mac. În schimb, proprietarul volumului poate fi definit în sens larg drept utilizatorul care a revendicat primul un Mac, configurându-l pentru utilizarea proprie, împreună cu orice utilizatori suplimentari. Trebuie să fiți proprietarul unui volum pentru a modifica politica de securitate la inițializare pentru o anumită instalare macOS, pentru a autoriza instalarea actualizărilor de software macOS și efectuarea de upgrade-uri, pentru a iniția comanda “Șterge tot conținutul și configurările” pe Mac etc. Politica de securitate la inițializare definește restricțiile în jurul căror versiuni de macOS se poate inițializa, cât și dacă și modul în care extensiile de kernel terțe pot fi încărcate sau gestionate.
Utilizatorul care a revendicat primul un Mac, configurându-l pentru utilizarea proprie, primește un token securizat pe un Mac cu cip Apple și devine primul proprietar al volumului. Când un token de amorsare este disponibil și în uz, acesta devine și un proprietar al volumului și ulterior acordă statut de proprietar al volumului conturilor suplimentare atunci când le alocă tokenuri securizate. Deoarece atât primul utilizator căruia i se acordă un token securizat, cât și tokenul de amorsare devin proprietari ai volumului, având în vedere capacitatea tokenului de amorsare de a acorda tokenuri securizate utilizatorilor suplimentari (și totodată statutul de proprietar al volumului), statutul de proprietar al volumului nu trebuie gestionat sau manipulat activ într-o organizație. Considerentele anterioare referitoare la gestionarea și acordarea tokenurilor securizate ar trebui să se alinieze în general și cu statutul de proprietar al volumului.
Este posibil să fiți proprietar al volumului și să nu fiți administrator, însă anumite sarcini necesită verificarea statutului de proprietar pentru ambele. De exemplu, modificarea configurărilor de securitatea la inițializare necesită statutul de administrator și de proprietar de volum, pe când autorizarea actualizărilor software este permisă utilizatorilor standard și necesită doar statut de proprietar de volum.
Pentru a vedea lista curentă a proprietarilor volumului pe un computer Mac cu cip Apple, puteți executa următoarea comandă:
sudo diskutil apfs listUsers /Identificatorii GUID listați în ieșirea comenzii diskutil a hărții de tipul “Utilizator local Open Directory” până la atributele GeneratedUID ale înregistrărilor utilizatorului în Open Directory. Pentru a găsi un utilizator după GeneratedUID, utilizați următoarea comandă:
dscl . -search /Users GeneratedUID <GUID>Puteți utiliza și următoarea comandă pentru a vedea împreună numele de utilizatori și identificatorii GUID:
sudo fdesetup list -extendedProprietatea are backup protejat criptografic în Secure Enclave. Pentru mai multe informații, consultați:
Utilizarea instrumentului în linie de comandă
Instrumentele în linie de comandă sunt disponibile pentru a gestiona tokenul de amorsare și tokenul securizat. Tokenul de amorsare este generat de obicei pe Mac și este plasat în custodia soluției MDM în timpul procesului de configurare macOS după ce soluția MDM informează Mac‑ul că este compatibilă cu această funcționalitate. Cu toate acestea, un token de amorsare poate fi generat și pe un Mac care a fost deja instalat. În macOS 10.15.4 sau ulterior, un token de amorsare este generat și plasat în custodie în soluția MDM la primul login al oricărui utilizator activat pentru tokenul securizat, dacă soluția MDM este compatibilă cu această funcționalitate. Astfel se reduce necesitatea de a utiliza instrumentul în linie de comandă profiles după configurarea dispozitivului pentru a genera și plasa un token de amorsare în custodia soluției MDM.
Instrumentul în linie de comandă profiles are câteva opțiuni pentru a interacționa cu tokenul de amorsare:
sudo profiles install -type bootstraptoken: Această comandă generează un token de amorsare nou și îl plasează în custodia soluției MDM. Comanda necesită ca informațiile administratorului de tokenuri securizate existent să genereze inițial tokenul de amorsare, iar soluția MDM trebuie să fie compatibilă cu funcționalitatea.sudo profiles remove -type bootstraptoken: Elimină tokenul de amortizare existent pe Mac și în soluția MDM.sudo profiles status -type bootstraptoken: Raportează dacă soluția MDM este compatibilă cu funcționalitatea token de amorsare și care este starea curentă a tokenului de amorsare pe Mac.sudo profiles validate -type bootstraptoken: Raportează dacă soluția MDM este compatibilă cu funcționalitatea token de amorsare și care este starea curentă a tokenului de amorsare pe Mac.
Instrumentul în linie de comandă sysadminctl
Instrumentul în linie de comandă sysadminctl poate fi utilizat pentru a modifica în mod specific starea tokenului securizat pentru conturile de utilizatori de pe un computer Mac. Acest lucru trebuie efectuat cu atenție și doar atunci când este necesar. Modificarea stării tokenului securizat al un utilizator folosind sysadminctl necesită întotdeauna numele de utilizator și parola unui administrator existent cu token securizat activat, fie interactiv, fie prin intermediul etichetelor corespunzătoare ale comenzii. Instrumentul sysadminctl și Configurări sistem (macOS 13 sau ulterior) sau Preferințe sistem (macOS 12.0.1 sau anterior) împiedică ștergerea ultimului administrator sau utilizator cu token securizat activat de pe un Mac. În cazul în care crearea de utilizatori locali suplimentari este scriptată folosind sysadminctl, pentru ca acei utilizatori să fie activați pentru token securizat, trebuie furnizate acreditările administratorului actual cu token securizat activat fie folosind opțiunea interactivă, fie direct cu etichetele -adminUser și -adminPassword în sysadminctl. Dacă nu i se acordă un token securizat în momentul creării, în macOS 11 sau ulterior, unui utilizator local care efectuează login pe un computer Mac i se acordă un token securizat în timpul operațiunii de login, dacă un token de amorsare este disponibil de la soluția MDM. Folosiți sysadminctl -h pentru instrucțiuni suplimentare privind utilizarea.