FileVault mit der Geräteverwaltung verwalten
Unternehmen können die vollständige Festplattenverschlüsselung mit FireVault über einen Geräteverwaltungsdienst oder bei einigen erweiterten Implementierungen und Konfigurationen mit dem Befehlszeilenprogramm fdesetup verwalten. Die FileVault-Verwaltung mittels eines Geräteverwaltungsdienstes wird als verzögerte Aktivierung bezeichnet und erfordert eine Abmelde- oder Anmeldeaktion von Benutzer:innen. Ein Geräteverwaltungsdienst kann auch Optionen anpassen wie:
Wie oft Benutzer:innen die Aktivierung von FileVault verzögern können
Ob der Benutzer zusätzlich zum Anmelden auch beim Abmelden aufgefordert wird
Ob der Wiederherstellungsschlüssel dem Benutzer angezeigt wird
Welches Zertifikat verwendet wird, um den Wiederherstellungsschlüssel asymmetrisch zu verschlüsseln, um ihn dem Geräteverwaltungsdienst zu übergeben
Wenn es einem Benutzer möglich sein soll, den Speicher auf APFS-Volumes zu entsperren, muss der Benutzer über ein Secure Token verfügen. Auf einem Mac mit Apple Chips muss er Volume-Besitzer sein. Weitere Informationen über Secure Token und Volume-Besitz findest du unter Secure Token, Bootstrap Token und Volume-Eigentümerschaft in Implementierungen verwenden. Im Folgenden findest du Informationen dazu, wie und wann Benutzern in bestimmten Workflows ein Secure Token zuerkannt werden muss.
Durchsetzung von FileVault im Systemassistenten
Mit dem Schlüssel ForceEnableInSetupAssistant kann die Aktivierung von FileVault im Systemassistenten auf Mac-Computern vorausgesetzt werden. So wird gewährleistet, dass der interne Speicher von verwalteten Mac-Computern vor der Verwendung immer verschlüsselt wird. Organisationen können entscheiden, ob dem Benutzer der FileVault-Wiederherstellungsschlüssel angezeigt wird oder ob der persönliche Wiederherstellungsschlüssel hinterlegt wird. Stelle zum Verwenden dieser Funktion sicher, dass await_device_configured gesetzt ist.
Hinweis: Vor macOS 14.4 musste der im Systemassistenten interaktiv erstellte Benutzeraccount für diese Funktion eine Administratorrolle haben.
Ein Benutzer richtet einen Mac selbst ein
Hinweis: Der Geräteverwaltungsdienst muss bestimmte Funktionen unterstützen, damit sichere Token und Bootstrap Token mit einem Mac funktionieren.
Wenn ein Benutzer seinen Mac selbst einrichtet, führen IT-Abteilungen keine Bereitstellungsaufgaben auf dem eigentlichen Gerät aus. Du stellst alle Richtlinien und Konfigurationen über einen Geräteverwaltungsdienst oder Tools für die Konfigurationsverwaltung bereit. Der Systemassistent erstellt den ersten lokalen Admin-Account und erteilt Benutzer:innen ein Secure Token. Der Mac generiert ein Bootstrap Token und hinterlegt es beim Geräteverwaltungsdienst.
Wenn der Mac bei einem Geräteverwaltungsdienst registriert ist, darf der anfängliche Account nicht für eine:n lokale:n Admin, sondern muss für lokale Standardbenutzer:innen stehen. Wenn du Benutzer:innen mit einem Dienst zu Standardbenutzer:innen herabstufst, wird ihnen automatisch ein Secure Token zuerkannt. Wenn du bei einem Mac mit macOS 10.15.4 (oder neuer) Benutzer:innen herabstufst, wird automatisch ein Bootstrap Token generiert und beim Geräteverwaltungsdienst hinterlegt.
Wenn infolge des Einsatzes eines Geräteverwaltungsdienstes die Erstellung eines lokalen Benutzeraccounts durch den Systemassistenten übersprungen und stattdessen ein Verzeichnisdienst mit mobilen Accounts verwendet wird, wird der Person mit dem mobilen Account bei der Anmeldung ein Secure Token zuerkannt. Bei einem Mac mit macOS 10.15.4 (oder neuer) generiert macOS, nachdem die Person mit einem mobilen Account aktiviert wurde, automatisch ein Bootstrap Token bei der zweiten Anmeldung der Person und hinterlegt es beim Geräteverwaltungsdienst.
Wenn ein Geräteverwaltungsdienst die Erstellung eines lokalen Benutzeraccounts durch den Systemassistenten überspringt und stattdessen einen Verzeichnisdienst mit mobilen Accounts verwendet, wird Benutzer:innen beim Anmelden ein Secure Token zuerkannt. Bei einem Mac mit macOS 10.15.4 (oder neuer) generiert macOS, sofern der mobile Benutzeraccount ein Secure Token hat, automatisch ein Bootstrap Token und hinterlegt es beim Geräteverwaltungsdienst.
Da macOS der ersten und primären Person in den oben beschriebenen Szenarien ein Secure Token zuerkennt, können diese Benutzer:innen FileVault mit der verzögerten Aktivierung aktivieren. Dadurch kannst du FileVault aktivieren, die eigentliche Aktivierung aber bis zu dem Zeitpunkt verzögern, an dem sich die Benutzer:innen bei einem Mac an- oder abmelden. Du kannst auch auswählen, ob Benutzer:innen die Aktivierung von FileVault überspringen können (optional eine bestimmte Anzahl von Malen). Dadurch können Primärbenutzer:innen eines Mac – egal ob lokale Benutzer:innen eines beliebigen Typs oder mobile Accounts – das FileVault-Volume entsperren.
Wenn macOS auf einem Mac ein Bootstrap Token generiert und in einem Geräteverwaltungsdienst hinterlegt und sich später eine andere Person beim Mac anmeldet, verwendet macOS das Bootstrap Token, um dieser Person automatisch ein sicheres Token zu gewähren. Dies bedeutet, dass der Account auch für FileVault aktiviert ist und das FileVault-Volume entsperren kann. Verwende den Befehl fdesetup remove -user, um einem Benutzer die Fähigkeit, das Speichergerät zu entsperren, zu entziehen.
Wenn eine Organisation einen Mac bereitstellt
Wenn eine Organisation einen Mac vor der Übergabe Benutzer:innen bereitstellt, richtet die IT-Abteilung das Gerät ein. Der lokale Administratoraccount, der entweder im Systemassistenten erstellt oder über einen Geräteverwaltungsdienst bereitgestellt wurde, wird zum Bereitstellen oder Einrichten des Mac verwendet und ihm wird durch das Betriebssystem während der Anmeldung das erste Secure Token zuerkannt. Wenn der Dienst die Funktion „Bootstrap Token“ unterstützt, generiert das Betriebssystem auch ein Bootstrap Token und hinterlegt es.
Wenn der Mac bei einem Verzeichnisdienst registriert und für das Erstellen mobiler Accounts konfiguriert wird und wenn es kein Bootstrap Token gibt, werden Benutzer:innen des Verzeichnisdienstes beim erstmaligen Anmelden nach dem Benutzernamen und dem Passwort eines vorhandenen Secure Token-Administrators gefragt, damit ihrem Account ein Secure Token zuerkannt werden kann. Sie müssen die Anmeldedaten eines lokalen Administratoraccounts eingeben, der für Secure Token aktiviert ist. Falls ein Secure Token nicht erforderlich ist, kann auf „Umgehen“ geklickt werden. Bei einem Mac mit macOS 10.13.5 (oder neuer) kann das Secure Token-Dialogfenster komplett unterdrückt werden, wenn FileVault nicht mit mobilen Accounts verwendet wird. Um das Dialogfenster für Secure Token zu unterdrücken, muss ein im Geräteverwaltungsdienst generiertes Konfigurationsprofil für eigene Einstellungen mit den folgenden Schlüsseln und Werten angewendet werden:
Einstellung | Wert | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Schlüssel | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Wert | Ein | ||||||||||
Wenn der Geräteverwaltungsdienst die Funktion „Bootstrap Token“ unterstützt und ein solches Token vom Mac generiert und im Dienst hinterlegt wird, wird dieses Dialogfenster für Benutzer:innen des mobilen Accounts nicht angezeigt. Stattdessen wird ihnen während der Anmeldung automatisch ein Secure Token zuerkannt.
Werden auf dem Mac zusätzliche lokale Benutzer:innen benötigt (anstatt Benutzeraccounts eines Verzeichnisdienstes), wird macOS den betreffenden lokalen Benutzer:innen automatisch ein Secure Token zuerkennen. Dazu müssen sie im Bereich „Benutzer:innen & Gruppen“ der Systemeinstellungen von macOS 13 (oder neuer) bzw. von macOS 12.0.1 (oder neuer) von einem aktuell für Secure Token aktivierten Admin-Account erstellt worden sein. Wenn lokale Benutzer:innen mit dem Befehlszeilenprogramm erstellt werden, können Admins das Befehlszeilenprogramm sysadminctl verwenden und optional ein sicheres Token für sie aktivieren. Wenn macOS bei der Erstellung kein Secure Token zuerkennt und ein Bootstrap Token vom Geräteverwaltungsdienst verfügbar ist, wird den lokalen Benutzer:innen auf einem Mac mit macOS 11 (oder neuer) beim Anmelden ein Secure Token zuerkannt.
Bei diesen Szenarios können die folgenden Benutzer ein mit FileVault verschlüsseltes Volume entsperren:
Der ursprüngliche lokale Administrator, der für die Bereitstellung verwendet wurde
Zusätzliche Verzeichnisdienstbenutzer denen bei der Anmeldung ein Secure Token zuerkannt wurde, entweder interaktiv mit dem Dialogfenster oder automatisch mit dem Bootstrap Token
Alle neuen lokalen Benutzer
Verwende den Befehl fdesetup remove -user, um einem Benutzer die Fähigkeit, das Speichergerät zu entsperren, zu entziehen.
Bei Verwendung eines der oben beschriebenen Arbeitsabläufe wird das Secure Token ohne zusätzliche Konfiguration oder Skripts durch macOS verwaltet; es wird zu einem Implementierungsdetail und nicht zu einem Element, das aktiv verwaltet oder bearbeitet werden muss.
Befehlszeilenprogramm fdesetup
Du kannst Geräteverwaltungskonfigurationen oder das Befehlszeilenprogramm fdesetup verwenden, um FileVault zu konfigurieren. Auf einem Mac mit macOS 10.15 (oder neuer) wird die Verwendung von fdesetup zum Aktivieren von FileVault durch Bereitstellen des Benutzernamens und des Passwortes nicht mehr unterstützt und ist in künftigen Versionen nicht mehr verfügbar. Der Befehl funktioniert weiterhin, wird aber in macOS 11 und macOS 12.0.1 nicht mehr unterstützt. Verwende stattdessen die verzögerte Aktivierung von einem Geräteverwaltungsdienst. Weitere Informationen über das Befehlszeilenprogramm fdesetup werden bereitgestellt, wenn die App „Terminal“ gestartet und man fdesetup oder fdesetup help eingegeben wird.
Institutionelle oder persönliche Wiederherstellungsschlüssel
FileVault unterstützt sowohl auf CoreStorage- als auch auf APFS-Volumes die Verwendung eines institutionellen Wiederherstellungsschlüssels (Institutional Recovery Key, kurz IRK; vorher als FileVault Master-Identität bezeichnet) zum Entsperren des Volumes. Ein IRK ist für Befehlszeilenaktionen zum Entsperren eines Volumes oder zum vollständigen Deaktivieren von FileVault nützlich, sein Nutzen für Organisationen ist dagegen beschränkt, insbesondere in neueren Versionen von macOS. Auf einem Mac mit Apple Chips bieten IRKs aus den folgenden zwei Gründen keinen funktionalen Wert: Zum einen können IRKs nicht für den Zugriff auf recoveryOS verwendet werden. Zum anderen kann das Volume nicht mehr durch Verbinden mit einem anderen Mac entsperrt werden, da der Festplattenmodus nicht mehr unterstützt wird. Aus diesen und weiteren Gründen wird die Nutzung eines IRK für die institutionelle Verwaltung von FileVault auf Mac-Computern nicht mehr empfohlen. Stattdessen sollte ein persönlicher Wiederherstellungsschlüssel (Personal Recovery Key, PRK) verwendet werden. Ein PRK bietet folgende Vorteile:
Einen extrem zuverlässigen Mechanismus für die Wiederherstellung und den Zugriff auf das Betriebssystem
Individuelle Verschlüsselung pro Volume
Hinterlegung beim Geräteverwaltungsdienst
Einfache Schlüsselrotation nach der Verwendung
Bei einem Mac mit Apple Chips mit macOS 12.0.1 (oder neuer) kann ein PRK entweder in recoveryOS oder zum direkten Starten von macOS auf einem verschlüsselten Mac verwendet werden. Im recoveryOS kann der PRK genutzt werden, wenn er vom Wiederherstellungsassistenten angefordert wird, oder mit der Option „Alle Passwörter vergessen“, um Zugriff auf die Wiederherstellungsumgebung zu erhalten, wobei dann auch das Volume entsperrt wird. Bei Verwendung der Option „Alle Passwörter vergessen“ ist das Zurücksetzen eines Passworts für einen Benutzer nicht erforderlich; es kann auf die Taste zum Beenden geklickt werden, um direkt in das recoveryOS zu gelangen. Soll macOS direkt auf Intel-basierten Mac-Computern gestartet werden, klicke auf das Fragezeichen neben dem Passwortfeld und wähle dann die Option „… es mit deinem Wiederherstellungsschlüssel zurücksetzen“. Gib den PRK ein und drücke dann den Zeilenschalter oder klicke auf den Pfeil. Drücke nach dem Start von macOS im Dialogfenster zum Ändern des Passworts auf „Abbrechen“.
Drücke auf einem Mac mit Apple Chips und macOS 12.0.1 (oder neuer) die Tastenkombination „Option-Umschalt-Zeilenschalter“, um das Eingabefeld für den PRK einzublenden. Drücke dann den Zeilenschalter oder klicke auf den Pfeil.
Es gibt nur einen PRK pro verschlüsseltem Volume und während der FileVault-Aktivierung über einen Geräteverwaltungsdienst kann er für Benutzer:innen optional ausgeblendet werden. Bei Konfiguration für die Hinterlegung bei einem Geräteverwaltungsdienst bietet der Dienst einem Mac einen öffentlichen Schlüssel in Form eines Zertifikats an, das dann verwendet wird, um den PRK in einem CMS-Umschlagformat asymmetrisch zu verschlüsseln. Der verschlüsselte PRK wird in der Abfrage der Sicherheitsinformationen an den Dienst zurückgegeben, die dann zum Anzeigen in einer Organisation entschlüsselt werden kann. Da die Verschlüsselung asymmetrisch ist, kann der Dienst selbst den PRK möglicherweise nicht entschlüsseln (was möglicherweise zusätzliche Schritte von Admins erfordert). Viele Entwicklungsteams von Geräteverwaltungsdiensten bieten jedoch die Option an, diese Schlüssel so zu verwalten, dass sie direkt in ihren Produkten angezeigt werden können. Der Geräteverwaltungsdienst kann auch optional so oft wie nötig eine Rotation der PKRs ausführen, um ein hohes Sicherheitsniveau zu gewährleisten – beispielsweise nach dem Verwenden eines PRK zum Entsperren eines Volumes.
Ein PRK kann auf Mac-Computern ohne Apple Chips im Festplattenmodus (Target Disk Mode, TDM) verwendet werden, um ein Volume zu entsperren:
1. Verbinde den Mac im Festplattenmodus mit einem anderen Mac, auf dem dieselbe oder eine neuere Version von macOS installiert ist.
2. Öffne Terminal, führe den folgenden Befehl aus und suche nach dem Namen des Volumes (normalerweise „Macintosh HD“). Es sollte wie folgt lauten: „Mount-Point: Not Mounted” und „FileVault: Yes (Locked).“ Notiere die Disk-ID des APFS-Volumes, die in etwa „disk3s2“ lautet, aber wahrscheinlich mit anderen Zahlen, z. B. „disk4s5“.
diskutil apfs list3. Führe den folgenden Befehl aus, suche den PRK-Benutzer und notiere die aufgelistete UUID:
diskutil apfs listUsers /dev/<diskXsN>4. Führe diesen Befehl aus:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Setze oder gib bei der Aufforderung zur Passworteingabe den PRK ein und drücke den Zeilenschalter. Das Volume wird im Finder aktiviert.