Brug sikkert token, Bootstrap Token og enhedsejerskab i implementeringer
Sikkert token
APFS (Apple File System) på en Mac med macOS 10.13 eller en nyere version ændrer den måde, FileVault-krypteringsnøgler genereres på. I tidligere versioner af macOS på CoreStorage-enheder, blev de nøgler, der blev brugt i FileVault-krypteringsprocessen, oprettet, når en bruger eller en organisation slog FileVault til på en Mac. På Mac-computere med APFS-enheder genereres krypteringsnøgler enten under brugeroprettelse, første indstilling af brugerens adgangskode eller første gang, en bruger logger ind på Mac. Denne implementering af krypteringsnøglerne, tidspunktet for genereringen og måden, de opbevares på, er en del af en funktion, der kaldes sikkert token. Et sikkert token er en indpakket version af en nøglekrypteringsnøgle (Key Encryption Key – KeK), der beskyttes af en brugers adgangskode.
Ved implementering af FileVault på APFS kan brugeren fortsætte med at:
Bruge eksisterende værktøjer og processer, f.eks. en personlig gendannelsesnøgle (PRK), som du kan deponere i en tjeneste til enhedsadministration
Oprette og bruge en gendannelsesnøgle fra organisationen (IRK – Institutional Recovery Key)
Vente med at slå FileVault til, til en bruger logger ind eller ud af Mac
På en Mac med macOS 11 eller en nyere version tildeles den allerførste bruger på Mac et sikkert token, når brugerens adgangskode indstilles første gang. I nogle situationer er denne virkemåde måske ikke ønskelig, da tildeling af det første sikre token tidligere ville have krævet, at der blev logget ind på brugerkontoen. Det kan du forhindre ved at føje ;DisabledTags;SecureToken til den programmæssigt oprettede brugers AuthenticationAuthority-egenskab, før brugerens adgangskode indstilles, som vist herunder:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrap Token
På en Mac med macOS 10.15 eller en nyere version kan du bruge Bootstrap Token til mere end blot at tildele sikre tokens til eksisterende brugerkonti. På en Mac-computer med Apple Silicon, hvor Bootstrap Token er tilgængeligt og administreres med en tjeneste til enhedsadministration, kan du bruge Bootstrap Token til:
Tilsyn
Understøttelse af udviklere af tjenester til enhedsadministration
På en Mac med macOS 10.15.4 eller en nyere version genererer macOS et Bootstrap Token og deponerer det i en tjeneste til enhedsadministration, når en bruger med sikkert token slået til logger ind for første gang. Du kan også generere et bootstrap-token og deponere det i en tjeneste ved hjælp af kommandolinjeværktøjet profiles, hvis det er nødvendigt.
På en Mac med macOS 11 eller en nyere version kan du bruge Bootstrap Token til mere end blot at tildele sikre tokens til eksisterende brugerkonti. På en Mac-computer med Apple Silicon, hvor Bootstrap Token er tilgængeligt og administreres med en tjeneste til enhedsadministration, kan du bruge Bootstrap Token til:
at godkende installation af softwareopdateringer.
at få en Slet alt indhold og alle indstillinger-kommando til enhedsadministration godkendt i baggrunden (macOS 12.0.1 og nyere versioner).
at oprette nye brugere, når de logger ind med Log på i et trin på platform første gang (macOS 13 og nyere versioner).
Enhedsejerskab
På Mac-computere med Apple Silicon introduceres begrebet enhedsejerskab. Enhedsejerskab i en organisatorisk kontekst er ikke knyttet til Mac-computerens juridiske enhedsejerskab eller ejerskabskæde. Enhedsejerskabet kan i stedet groft sagt defineres som den bruger, der først har gjort krav på en Mac ved at konfigurere den til eget brug, samt eventuelle yderligere brugere. Du skal være enhedsejer for at kunne ændre politikken for startsikkerhed for en bestemt installering af macOS, godkende installering af opdateringer og opgraderinger til macOS-software, starte funktionen Slet alt indhold og alle indstillinger på Mac m.m. Politikken for startsikkerhed definerer de begrænsninger, som gælder for start af de forskellige versioner af macOS, samt hvordan og om kerneudvidelser fra tredjepart kan indlæses eller administreres.
Den bruger, der først har gjort krav på en Mac ved at konfigurere den til eget brug, tildeles et sikkert token på en Mac med Apple Silicon og bliver den første enhedsejer. Hvis der findes et Bootstrap Token, bliver det også enhedsejer og tildeler enhedsejerskab til yderligere konti, når de tildeles sikre tokens. Da både den første bruger, som skal tildeles et sikkert token, og Bootstrap Token bliver enhedsejere, og Bootstrap Token kan tildele sikre tokens (og dermed enhedsejerskab) til yderligere brugere, bør enhedsejerskab ikke være noget, som skal administreres eller håndteres aktivt i en organisation. Når det gælder enhedsejerskab, bør organisationen følge samme retningslinjer, som gælder for administration og tildeling af sikre tokens.
Det er muligt at være enhedsejer uden at være administrator, men visse opgaver kræver kontrol af ejerskabet for begge. Ændring af indstillinger til startsikkerhed kræver f.eks., at man både er administrator og enhedsejer, mens godkendelse af softwareopdateringer er tilladt for standardbrugere og kun kræver ejerskab.
Du kan se den aktuelle liste over enhedsejere på en Mac-computer med Apple Silicon med følgende kommando:
sudo diskutil apfs listUsers /GUID’erne i resultatet af kommandoen diskutil af typen “Local Open Directory User” tilknyttes til GeneratedUID-attributter for brugerposter i Open Directory. Brug følgende kommando til at finde en bruger efter GeneratedUID:
dscl . -search /Users GeneratedUID <GUID>Du kan også bruge følgende kommando til at få vist brugernavne og GUID'er sammen:
sudo fdesetup list -extendedEjerskab bakkes op af kryptografi, som beskyttes i Secure Enclave. Du kan få flere oplysninger i:
Brug af kommandolinjeværktøjet
Der findes kommandolinjeværktøjer til administration af Bootstrap Tokens og sikre tokens. Som regel er det macOS, der genererer Bootstrap Token og deponerer det i tjenesten til enhedsadministration under indstillingen af macOS, efter at tjenesten har informeret Mac-computeren om, at den understøtter funktionen. Du kan imidlertid også generere et Bootstrap Token på en implementeret Mac. På en Mac med macOS 10.15.4 eller en nyere version genererer macOS et Bootstrap Token og deponerer det i tjenesten, når en bruger med sikkert token slået til logger ind for første gang (hvis tjenesten understøtter funktionen). Det mindsker behovet for at bruge kommandolinjeværktøjet profiles efter indstilling af enheden til at generere og deponere et Bootstrap Token i tjenesten.
Kommandolinjeværktøjet profiles har en række parametre til håndtering af Bootstrap Token:
sudo profiles install -type bootstraptoken: Denne kommando genererer et nyt Bootstrap Token og deponerer det i tjenesten til enhedsadministration. Kommandoen skal bruge oplysninger om en eksisterende sikkert token-administrator for at generere Bootstrap Token, og tjenesten skal understøtte funktionen.sudo profiles remove -type bootstraptoken: Fjerner det eksisterende Bootstrap Token på Mac-computeren og i tjenesten til enhedsadministration.sudo profiles status -type bootstraptoken: Viser, om tjenesten til enhedsadministration understøtter Bootstrap Token-funktionen, og hvad den aktuelle status er for Bootstrap Token på Mac-computeren.sudo profiles validate -type bootstraptoken: Viser, om tjenesten til enhedsadministration understøtter Bootstrap Token-funktionen, og hvad den aktuelle status er for Bootstrap Token på Mac-computeren.
Kommandolinjeværktøjet sysadminctl
Kommandolinjeværktøjet sysadminctl kan bruges til at ændre status for sikkert token til brugerkonti på en Mac-computer. Dette bør gøres med forsigtighed og kun, når det er absolut nødvendigt. Ændringer af en brugers status for sikkert token via sysadminctl kræver altid angivelse af brugernavn og adgangskode for en administrator med sikkert token slået til, enten interaktivt eller ved hjælp af de relevante flag i kommandoen. Både sysadminctl og Systemindstillinger (macOS 13 og nyere versioner) eller Systemindstillinger (System Preferences) (macOS 12.0.1 og tidligere versioner) forhindrer, at den sidste administrator eller bruger med sikkert token slået til på en Mac slettes. Hvis der skal oprettes flere lokale brugere ved hjælp af en instruks med sysadminctl, skal godkendelsesoplysningerne for en administrator med sikkert token slået til oplyses, enten interaktivt med en parameter eller direkte med flagene -adminUser og -adminPassword til sysadminctl. Ellers kan brugerne ikke få tildelt et sikkert token.
Hvis macOS ikke tildeler et sikkert token ved oprettelsen, og hvis et Bootstrap Token er tilgængeligt fra tjenesten til enhedsadministration, tildeles den lokale bruger et sikkert token, når brugeren logger ind på en Mac med macOS 11 eller en nyere version. Brug sysadminctl -h til at se instruktioner om brugen.