Crear una configuración de FileVault en Apple Business

FileVault es una funcionalidad de encriptación integrada para proteger todos los datos en reposo, y puedes aplicar el uso de FileVault para proteger la información de un Mac.

FileVault encripta los datos en un Mac para que los usuarios no autorizados no puedan acceder a la información sin una contraseña. Si un usuario olvida su contraseña o no está disponible y necesitas acceder al Mac, puedes usar una clave especial, llamada clave de recuperación, en lugar de la contraseña del usuario. Para que la configuración de FileVault se pueda aplicar a los ordenadores Mac, debes cargar un certificado que se usa para encriptar la clave de recuperación almacenada para cada Mac. Las claves de recuperación encriptadas se almacenan en Apple Business y cualquier usuario con la función de Administrador de la organización puede acceder a ellas.

Una vez que FileVault está activado para un Mac, se necesitan las credenciales de usuario durante el proceso de encendido. FileVault, junto con la seguridad del hardware del ordenador Mac, ayuda a alcanzar cuatro objetivos principales:

Solicitar la contraseña de un usuario para desencriptar
Proteger el sistema operativo contra un ataque de fuerza bruta dirigido directamente hacia el contenido multimedia de almacenamiento eliminado del Mac
Proporcionar un método rápido y seguro para limpiar contenido mediante la eliminación de material criptográfico necesario
Permitir a los usuarios cambiar su contraseña (y a su vez las claves criptográficas que utilizan para proteger sus archivos) sin necesidad de volver a encriptar todo el volumen

Apple Business utiliza la encriptación asimétrica para garantizar la privacidad de las claves de recuperación de FileVault y encripta la clave de recuperación de cada dispositivo con un certificado de encriptación que tú generas. Una vez que hayas generado el certificado, tienes que cargarlo en Apple Business.

Los certificados de encriptación y sus correspondientes claves privadas están emparejados. Cuando se genera un nuevo certificado de encriptación, solo la clave privada que se crea con él sirve para desencriptar las claves de recuperación encriptadas por dicho certificado. Si hay otros usuarios con la función de Administrador en tu equipo que necesitan acceso a las claves de recuperación almacenadas en Apple Business, intenta utilizar un gestor de contraseñas para almacenar y compartir de forma segura la clave privada necesaria para desencriptarlas. Si generas un nuevo emparejamiento y cargas su certificado de encriptación, el anterior dejará de usarse para encriptar las claves de recuperación nuevas. Sin embargo, la clave privada anterior seguirá siendo necesaria para desencriptar las claves de recuperación que se hayan encriptado con su certificado correspondiente.

Nota: Si decides crear tu propio certificado de encriptación en lugar de usar la tarea que se describe a continuación para llevar a cabo esta acción, el archivo tiene que ser un certificado con código PEM y una clave pública RSA de al menos 2048 bits.

Crear un certificado de encriptación

El ID generado en los nombres coincide y sirve para distinguir qué claves privadas coinciden con qué certificado.

Nota: Puedes crear más de uno.

En el Mac, abre la app Terminal, pega el texto que aparece a continuación y pulsa la tecla Retorno.
(ID=$(LC_ALL=C tr -dc A-Z0-9 </dev/urandom | head -c 8)openssl req -newkey rsa:2048 -nodes \-keyout ~/Documents/FileVaultKeyEncryptionPrivateKey_$ID.pem \-x509 -days 36500 \-subj "/CN=FileVault Key Encryption Cert ($ID)" \-out ~/Documents/FileVaultKeyEncryptionCert_$ID.pem)
Estos comandos generan dos archivos en la carpeta Documentos. Ábrela y verifica que ahora contenga:
- Un certificado de encriptación: en un archivo llamado FileVaultKeyEncryptionCert_[id].pem
- Una clave privada RSA: en un archivo llamado FileVaultKeyEncryptionPrivateKey_[id].pem
Importante: Guarda cada clave privada RSA en un lugar seguro. Si pierdes un archivo de clave privada, no podrás desencriptar las claves de recuperación encriptadas por su certificado y, por lo tanto, no podrás utilizarlas para desbloquear los dispositivos correspondientes si un usuario pierde su contraseña.

Cargar un certificado de encriptación

En Apple Business, inicia sesión con un usuario que tenga la función de Administrador de la organización.
En tu navegador, selecciona Dispositivos > Servicios de gestión.
Selecciona “Gestión de dispositivos integrada” y luego “Cargar archivo”. A continuación, selecciona el archivo FileVaultKeyEncryptionCert_[id].pem que has creado anteriormente y, finalmente, selecciona Cargar.
Selecciona Guardar.
Si se ha asignado una configuración de FileVault a usuarios o dispositivos mediante un esquema antes de cargar tu primer certificado de encriptación, la configuración se aplica a todos los usuarios y ordenadores Mac asignados.

Reemplazar un certificado de encriptación

Importante: Los certificados de encriptación solo encriptan las claves de recuperación almacenadas en Apple Business después de cargar el certificado. Las claves de recuperación previamente encriptadas no se vuelven a encriptar con el nuevo certificado de encriptación.

En Apple Business, inicia sesión con un usuario que tenga la función de Administrador de la organización.
En tu navegador, selecciona Dispositivos > Servicios de gestión.
Selecciona “Gestión de dispositivos integrada” y luego “Reemplazar certificado”. Después, selecciona el nuevo archivo de certificado de encriptación que quieres usar y, finalmente, selecciona Cargar.
Selecciona Guardar.

Descargar una clave de recuperación de FileVault para un solo dispositivo

Para proporcionarte la máxima seguridad, tus claves de recuperación de FileVault no se pueden ver en Apple Business. Para ver las claves de recuperación, primero tienes que descargar la clave de recuperación encriptada.

Para descargar claves de recuperación para un solo dispositivo encriptado con FileVault mediante Apple Business:

En Apple Business, inicia sesión con un usuario que tenga la función de Administrador de la organización.
En tu navegador, selecciona Dispositivos > Inventario.
Si es necesario, busca el dispositivo en el campo de búsqueda. Consulta Cómo hacer una búsqueda.
Selecciona el dispositivo, desplázate hasta la sección FileVault y selecciona “Descargar clave”.
Se descarga en tu ordenador un archivo de valores separados por comas (.csv) llamado FileVaultRecoveryKeysEncrypted.csv. Contiene tu clave de encriptación, junto con el dispositivo y el certificado de encriptación correspondientes.
Nota: Si un dispositivo ya se ha encriptado con FileVault antes de la asignación de FileVault en Apple Business, la clave de recuperación no será visible en la página del dispositivo hasta que se rote.

Rotar una clave de recuperación y hacerla visible

En Apple Business, inicia sesión con un usuario que tenga la función de Administrador de la organización.
En el Mac, abre la app Terminal en el Mac y pega lo siguiente:
sudo /usr/bin/fdesetup changerecovery -personal
Cuando se te indique, introduce la contraseña del administrador que tiene sesión iniciada de forma local para ejecutar el comando (la contraseña no será visible).
Cuando se te vuelva a indicar, introduce de nuevo el nombre de usuario y la contraseña del administrador que tiene sesión iniciada de forma local.
Cuando el proceso se completa, el Mac tiene disponible una nueva clave de recuperación en Apple Business.

Descargar las claves de recuperación de FileVault para todos los dispositivos

Para descargar las claves de recuperación para todos los dispositivos encriptados con FileVault mediante Apple Business:

En Apple Business, inicia sesión con un usuario que tenga la función de Administrador de la organización.
En tu navegador, selecciona Dispositivos > Servicios de gestión.
Selecciona “Gestión de dispositivos integrada” y, a continuación, “Descargar claves de recuperación”.
Se descarga en tu ordenador un archivo de valores separados por comas (.csv) llamado FileVaultRecoveryKeysEncrypted.csv. Contiene todas tus claves encriptadas, junto con el dispositivo y el certificado de encriptación correspondientes.

Ver una clave de recuperación de FileVault

Para ver una clave de recuperación de FileVault, debes desencriptarla del archivo de valores separados por comas (.csv) descargado.

Abre FileVaultRecoveryKeysEncrypted.csv.
Localiza la fila con el número de serie del dispositivo para el que quieres obtener la clave de recuperación. Copia la segunda celda de esa fila, que se encuentra en una columna llamada “Clave encriptada de recuperación”. La celda debe contener un texto que parezca aleatorio.
Abre TextEdit y crea un archivo de texto plano nuevo.
Puede que tengas que pulsar Mayús-Comando-T si TextEdit convierte los archivos en archivos de texto enriquecido de forma predeterminada. Pega la celda copiada anteriormente y guarda el archivo en la carpeta que contiene tu clave privada que coincide con tu certificado de encriptación.
En el Mac, abre la app Terminal, ve a la carpeta que contiene el nuevo archivo de texto y la clave privada y pega los siguientes comandos. Reemplaza YourTextFile y YourPrivateKey con tus nombres de archivo correspondientes y pulsa la tecla Retorno.
base64 --decode -i YourTextFile.txt |\openssl smime -decrypt -inform der -inkey YourPrivateKey.pem \-out FileVaultRecoveryKey.txt
Tu clave de recuperación desencriptada se muestra en un archivo llamado FileVaultRecoveryKey.txt en la misma carpeta que tu clave privada.

Véase tambiénEditar una configuración en Apple Business Implementación de las plataformas de Apple: Introducción a FileVault Implementación de las plataformas de Apple: Usar identificadores seguros, de arranque y de propiedad de volúmenes en las implementaciones Implementación de las plataformas de Apple: Gestionar FileVault con la gestión de dispositivos móviles

T'ha sigut útil?

Manual de uso de Apple Business