Správa FileVaultu prostřednictvím správy zařízení
Ke správě úplného šifrování disku pomocí FileVaultu můžou organizace používat službu správy zařízení a u některých pokročilých způsobů nasazení a konfigurací také nástroj příkazového řádku fdesetup. Správa FileVaultu prostřednictvím služby správy zařízení se označuje jako odložená aktivace a je vázaná na událost odhlášení nebo přihlášení uživatele. Pomocí služby správy zařízení je také možné přizpůsobit některé volby, například:
kolikrát smí uživatel zapnutí FileVaultu odložit,
zda má obdržet výzvu nejen při přihlášení, ale také při odhlášení,
zda se má v uživatelském rozhraní zobrazit klíč pro obnovení,
který certifikát má být použit k asymetrickému zašifrování obnovovacího klíče před předáním do úschovy službě správy zařízení.
Aby mohl uživatel odemykat úložiště v APFS svazcích, musí mít přidělený zabezpečený token a na Macích s čipy Apple musí být navíc vlastníkem daného svazku. Další informace o zabezpečených tokenech a vlastnictví svazků viz Používání zabezpečených a bootstrapových tokenů a vlastnictví svazků v nasazených systémech. Informace o tom, jak a kdy může být uživatelům ve specifických sledech úloh udělen zabezpečený token, jsou uvedeny níže.
Vynucení FileVaultu v Průvodci nastavením
Pomocí klíče ForceEnableInSetupAssistant lze od počítačů Mac vyžadovat, aby při nastavování počítače v Průvodci nastavením zapnuly FileVault. Tím je zajištěno, že interní úložiště ve spravovaných počítačích Mac je před použitím vždy zašifrováno. Organizace se můžou rozhodnout, zda uživateli ukáží klíč pro obnovení FileVaultu, neb uloží do úschovy o zda osobní klíč pro obnovení. Chcete-li tuto funkci použít, ujistěte se, že je nastavený klíč await_device_configured.
Poznámka: V systémech starších než macOS 14.4 tato funkce vyžadovala uživatelský účet, který byl vytvořen interaktivně při nastavování počítače v Průvodci nastavením a má přiřazenou roli správce.
Když si uživatel nastavuje Mac sám
Poznámka: Mají‑li na Macu fungovat zabezpečené a bootstrapové tokeny, služba správy zařízení musí podporovat určité funkce.
Pokud si uživatel nastavuje Mac sám, pracovníci IT oddělení na daném zařízení neprovádějí žádné obslužné úlohy. Všechna pravidla a konfigurační parametry předáváte prostřednictvím služby správy zařízení nebo nástrojů pro správu konfigurací. Průvodce nastavením vytvoří prvotní místní účet a přidělí uživateli zabezpečený token. Mac vygeneruje bootstrapový token a předá ho do úschovy službě správy zařízení.
Pokud je Mac zaregistrovaný ve službě správy zařízení, prvotní účet nemusí být nutně místní správcovský účet, ale může se jednat o místní účet standardního uživatele. Když uživatelský účet degradujete pomocí služby správy zařízení na standardního uživatele, služba mu automaticky přidělí zabezpečený token. Na Macích se systémem macOS 10.15.4 nebo novějším macOS při degradování uživatele automaticky vygeneruje bootstrapový token a předá ho do úschovy službě správy zařízení.
V případě, že při použití služby správy zařízení v Průvodci nastavením vynecháte vytvoření místního uživatelského účtu a místo něj použijete adresářovou službu s mobilními účty, služba přidělí uživateli mobilního účtu zabezpečený token při přihlášení. Na Macích se systémem macOS 10.15.4 nebo novějším macOS po aktivaci mobilního uživatele při jeho druhém přihlášení automaticky vygeneruje bootstrapový token a předá ho do úschovy službě správy zařízení.
Pokud služba správy zařízení přeskočí vytvoření místního uživatelského účtu v Průvodci nastavením a místo něj použije adresářovou službu s mobilními účty, přidělí uživateli zabezpečený token při přihlášení. Na Macích se systémem macOS 10.15.4 nebo novějším macOS při přidělení zabezpečeného tokenu mobilnímu uživateli automaticky vygeneruje bootstrapový token a předá ho do úschovy službě správy zařízení.
Ve všech uvedených scénářích může první a primární uživatel aktivovat FileVault s použitím odložené aktivace, protože mu systém macOS přidělil zabezpečený token. To vám umožňuje FileVault zapnout, ale odložit jeho aktivaci, dokud se uživatel k Macu nepřihlásí nebo se od něj neodhlásí. Kromě toho můžete také určit, zda smí uživatel zapnutí FileVaultu přeskočit (volitelně lze nastavit i povolený počet přeskočení). To umožňuje primárnímu uživateli Macu, ať už jde o místního uživatele nebo libovolný typ mobilního účtu, svazek zašifrovaný pomocí FileVaultu odemknout.
Pokud se k Macu, na kterém systém macOS vygeneroval bootstrapový token a předal ho do úschovy službě správy zařízení, později přihlásí další uživatel, systém mu s použitím bootstrapového tokenu automaticky přidělí zabezpečený token. To znamená, že účet je také aktivován pro FileVault a může odemknout svazek zašifrovaný ve FileVaultu. Možnost odemykání úložného zařízení můžete uživatelům odebrat pomocí příkazu fdesetup remove -user.
Když Mac zřizuje organizace
V případech, kdy Mac zřizuje organizace a poskytuje ho uživateli, je úvodní nastavení zařízení zajišťováno pracovníky IT oddělení. K zřízení nebo nastavení Macu použijete místní správcovský účet, který vytvoříte v Průvodci nastavením nebo prostřednictvím služby správy zařízení. Operační systém mu při přihlášení přidělí první zabezpečený token. Pokud služba podporuje bootstrapové tokeny, operační systém také vygeneruje a uloží bootstrapový token.
Pokud je Mac připojený k adresářové službě a nakonfigurovaný pro vytváření mobilních účtů a přitom není bootstrapový token k dispozici, jsou uživatelé adresářové služby při prvním přihlášení vyzváni k zadání uživatelského jména a hesla pro existující zabezpečený token, aby mohl být přidělen zabezpečený token i k jejich účtu. Uživatelé musí zadat přihlašovací údaje místního správce s přiděleným zabezpečeným tokenem. Pokud není zabezpečený token vyžadován, může uživatel kliknout na tlačítko Vynechat. Pokud nemáte v plánu používat FileVault v mobilních účtech, můžete na Macu se systémem macOS 10.13.5 nebo novějším dialogové okno zabezpečeného tokenu zcela potlačit. Chcete‑li to provést, použijte ve službě správy zařízení konfigurační profil obsahující vlastní nastavení s následujícími klíči a hodnotami:
Nastavení | Hodnota | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Doména | com.apple.MCX | ||||||||||
Klíč | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Hodnota | Pravda | ||||||||||
V případě, že služba správy zařízení podporuje bootstrapové tokeny a Mac tento typ tokenu vygeneroval a předal službě do úschovy, uživatelé mobilních účtů tuto výzvu neuvidí. Místo toho jim systém macOS při přihlášení zabezpečený token přidělí automaticky.
Pokud je třeba namísto uživatelských účtů z adresářové služby vytvořit na Macu další místní uživatele, systém macOS jim zabezpečený token přidělí automaticky, jestliže je správce s aktivním zabezpečeným tokenem vytvoří v okně Uživatelé a skupiny (v prostředí macOS 13 v Nastavení systému, resp. v macOS 12.0.1 či starším v Předvolbách systému). Při vytváření místních uživatelů pomocí příkazového řádku může správce použít nástroj příkazového řádku sysadminctl a zabezpečený token pro ně aktivovat dle vlastního uvážení. Pokud na Macích se systémem macOS 11 nebo novějším macOS nepřidělí zabezpečený token při vytvoření a pokud je ve službě správy zařízení k dispozici bootstrapový token, přidělí systém zabezpečený token místnímu uživateli při přihlášení.
V těchto případech můžou disk zašifrovaný pomocí FileVaultu odemknout následující uživatelé:
původní místní správce, který byl použit při zřizování,
všichni další uživatelé adresářové služby kterým byl při přihlášení přidělen zabezpečený token, ať už interaktivně v dialogovém okně nebo automaticky prostřednictvím bootstrapového tokenu,
všichni noví místní uživatelé.
Možnost odemykání úložného zařízení můžete uživatelům odebrat pomocí příkazu fdesetup remove -user.
Pokud použijete některý z výše popsaných postupů, bude zabezpečený token spravován systémem macOS bez nutnosti nastavovat jakékoli další konfigurační parametry nebo spouštět skripty. Stane se z něj jen jeden z detailů implementace, nikoli prvek, který je třeba aktivně spravovat a manipulovat s ním.
Nástroj příkazového řádku fdesetup
FileVault můžete nastavit pomocí konfigurace správy zařízení nebo nástroje příkazového řádku fdesetup. Na Macích se systémem macOS 10.15 nebo novějším je funkce zapnutí FileVaultu pomocí nástroje fdesetup s uvedením uživatelského jména a hesla považována za zastaralou a v budoucích vydáních už nebude k dispozici. V systémech macOS 11 a macOS 12.0.1 tento příkaz sice stále funguje, ale i zde je považován za zastaralý. Místo něj můžete použít odloženou aktivaci pomocí služby správy zařízení. Chcete‑li se o nástroji příkazového řádku fdesetup dozvědět víc, spusťte aplikaci Terminál a zadáním příkazu man fdesetup nebo fdesetup help zobrazte další informace.
Instituční a osobní klíče pro obnovení
FileVault podporuje odemykání svazků typu CoreStorage i APFS pomocí institučního klíče pro obnovení (IRK – Institutional Recovery Key, dříve hlavní identita FileVaultu). Ačkoli se IRK hodí k provádění operací odemknutí svazku či úplné deaktivace FileVaultu z příkazového řádku, možnosti jeho využití v organizacích jsou omezené, zejména v novějších verzích macOS. Na Macích s čipy Apple pak klíče IRK nemají žádné funkční uplatnění, a to především ze dvou důvodů: Za prvé je nelze použít v režimu recoveryOS a za druhé vzhledem k ukončení podpory diskového režimu odpadá možnost odemknutí disku po připojení k jinému Macu. Z těchto a dalších důvodů už se institucím použití klíčů IRK ke správě FileVaultu na Macích nedoporučuje. Místo nich byste měli používat osobní klíče pro obnovení (PRK – personal recovery key). Klíč PRK nabízí následující výhody:
Extrémně odolný mechanismus pro zotavení a přístup k operačnímu systému
Oddělené šifrování jednotlivých svazků
Úschova ve službě správy zařízení
Snadná rotace klíčů po použití
Na Macích s čipy Apple a systémem macOS 12.0.1 nebo novějším lze použít klíč PRK buď v režimu recoveryOS, nebo k přímému spuštění systému macOS na zašifrovaném Macu. V režimu recoveryOS můžete klíč PRK zadat buď po zobrazení výzvy v Průvodci zotavením, nebo po výběru volby „Zapomněli jste všechna hesla?“, a získat tak přístup do prostředí zotavení, v němž se pak svazek také odemkne. Pokud použijete volbu „Zapomněli jste všechna hesla?“, není nutné resetovat heslo uživatele; kliknutím na tlačítko ukončení spustíte počítač přímo v režimu recoveryOS. Chcete‑li přímo spustit systém macOS na počítači Mac s procesorem Intel, klikněte vedle pole hesla na ikonu otazníku a potom vyberte volbu „obnovit pomocí klíče pro obnovení“. Zadejte klíč PRK a pak stiskněte Return nebo klikněte na šipku. V dialogovém okně změny hesla, které se zobrazí po spuštění systému macOS, stiskněte tlačítko Zrušit.
Na Macu s čipem Apple a systémem macOS 12.0.1 nebo novějším můžete také stisknout kombinaci kláves Option-Shift-Return – tím zobrazíte pole pro zadání klíče PRK – a potom stiskněte klávesu Enter nebo klikněte na šipku.
Pro každý zašifrovaný svazek existuje pouze jeden klíč PRK a při aktivaci FileVaultu pomocí služby správy zařízení ho můžete před uživatelem volitelně skrýt. Pokud službu správy zařízení nakonfigurujete pro úschovu klíče, poskytne Macu veřejný klíč ve formě certifikátu a Mac ho následně použije k asymetrickému zašifrování klíče PRK v obálkovém formátu CMS. Zašifrovaný klíč PRK je službě vrácen v dotazu na zabezpečovací údaje, které pak může organizace dešifrovat a zobrazit. Vzhledem k použití asymetrické šifry se může stát, že samotná služba nedokáže klíč PRK dešifrovat (takže můžou být nezbytné další kroky ze strany správce). Mnozí vývojáři služeb správy zařízení ale ve svých produktech nabízejí nástroje pro správu klíčů s možností přímého zobrazení. Služba správy zařízení může také volitelně provádět rotaci klíčů PRK, a to tak často, jak je potřeba k zajištění silného zabezpečení – například po každém použití klíče PRK k odemknutí svazku.
Na počítačích Mac bez čipů Apple lze klíčem PRK odemknout svazek v diskovém režimu:
1. Připojte Mac v diskovém režimu k jinému Macu se stejnou nebo vyšší verzí systému macOS.
2. Otevřete Terminál, spusťte následující příkaz a vyhledejte název svazku (obvykle „Macintosh HD“). Měla by se objevit zpráva „Přípojný bod: nepřipojeno“ a “FileVault: Ano (uzamčeno).” Poznamenejte si identifikátor disku APFS svazku. Bude mít tvar disk3s2, jen čísla se pravděpodobně budou lišit, například disk4s5.
diskutil apfs list3. Spusťte následující příkaz, potom vyhledejte položku „personal recovery key user" a poznamenejte si uvedené UUID:
diskutil apfs listUsers /dev/<diskXsN>4. Spusťte následující příkaz:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Po zobrazení výzvy k zadání přístupového hesla vložte nebo zadejte klíč PRK a pak stiskněte Return. Svazek se připojí ve Finderu.