FileVault-Konfiguration in Apple Business erstellen
FileVault ist eine eingebaute Verschlüsselungsfunktion, um alle Daten im Ruhezustand zu sichern. Du kannst die Verwendung von FileVault erzwingen, um Informationen auf einem Mac zu schützen.
FileVault verschlüsselt die Daten auf einem Mac, sodass Unbefugte ohne das Benutzerpasswort nicht auf die Daten zugreifen können. Wenn Benutzer:innen ihr Passwort vergessen haben oder nicht erreichbar sind und du dir Zugang zum Mac verschaffen musst, kannst du einen speziellen Schlüssel, den sogenannten Wiederherstellungsschlüssel, anstelle des Benutzerpassworts verwenden. Bevor die FileVault-Konfiguration auf Mac‑Computer angewendet werden kann, musst du ein Zertifikat hochladen, das zur Verschlüsselung des für jeden Mac gespeicherten Wiederherstellungsschlüssels verwendet wird. Die verschlüsselten Wiederherstellungsschlüssel werden in Apple Business gespeichert und sind für alle Benutzer:innen mit der Rolle „Administrator:in der Organisation“ zugänglich.
Nachdem FileVault für einen Mac aktiviert wurde, werden die Anmeldedaten der Benutzer:innen während des Startvorgangs abgefragt. Zusammen mit der Hardwaresicherheit des Mac-Computers hilft FileVault, vier Hauptziele zu erreichen:
Erfordert das Passwort der Benutzer:innen für die Entschlüsselung
Schützt das Betriebssystem vor einem Brute-Force-Angriff direkt auf die vom Mac entfernten Speichermedien
Bietet eine schnelle und sichere Methode zur Löschung von Inhalten durch die Löschung des notwendigen kryptografischen Materials
Ermöglicht es den Benutzer:innen, ihr Passwort zu ändern (und damit auch die kryptografischen Schlüssel, die zum Schutz ihrer Dateien verwendet werden), ohne dass der gesamte Datenträger neu verschlüsselt werden muss.
Apple Business verwendet asymmetrische Verschlüsselung, um den Datenschutz deiner FileVault-Wiederherstellungsschlüssel zu gewährleisten, und verschlüsselt den Wiederherstellungsschlüssel jedes Geräts mit einem von dir erstellten Verschlüsselungszertifikat. Nachdem du das Zertifikat erstellt hast, musst du es in Apple Business hochladen.
Ein Verschlüsselungszertifikat und sein privater Schlüssel sind ein zusammengehöriges Paar. Wenn ein neues Verschlüsselungszertifikat erstellt wird, funktioniert nur der damit erstellte private Schlüssel, um die Wiederherstellungsschlüssel zu entschlüsseln, die damit verschlüsselt wurden. Wenn andere Benutzer:innen mit der Rolle „Administrator:in“ in deinem Team Zugriff auf die in Apple Business gespeicherten Wiederherstellungsschlüssel benötigen, verwende einen Passwortmanager, um den privaten Schlüssel, der zur Entschlüsselung benötigt wird, sicher zu speichern und weiterzugeben. Wenn du ein neues Paar erstellst und dessen Verschlüsselungszertifikat hochlädst, wird das vorherige Paar nicht mehr zur Verschlüsselung neuer Wiederherstellungsschlüssel verwendet. Der vorherige private Schlüssel wird jedoch weiterhin benötigt, um Wiederherstellungsschlüssel zu entschlüsseln, die mit dem entsprechenden Zertifikat verschlüsselt wurden.
Hinweis: Wenn du dich entscheidest, dein eigenes Verschlüsselungszertifikat zu erstellen, anstatt die unten stehende Aufgabe zu verwenden, muss die Datei ein PEM-kodiertes Zertifikat mit einem öffentlichen RSA-Schlüssel von mindestens 2048 Bit sein.
Ein Verschlüsselungszertifikat erstellen
Die ID, die in den Namen generiert wird, stimmt überein und dient dazu, zu unterscheiden, welcher private Schlüssel zu welchem Zertifikat passt.
Hinweis: Du kannst mehr als einen erstellen.
Öffne auf dem Mac die Terminal-App
, füge den unten stehenden Text ein und drücke dann die Eingabetaste.(ID=$(LC_ALL=C tr -dc A-Z0-9 </dev/urandom | head -c 8)openssl req -newkey rsa:2048 -nodes \-keyout ~/Documents/FileVaultKeyEncryptionPrivateKey_$ID.pem \-x509 -days 36500 \-subj "/CN=FileVault Key Encryption Cert ($ID)" \-out ~/Documents/FileVaultKeyEncryptionCert_$ID.pem)Diese Befehle erzeugen zwei Dateien in deinem Ordner „Dokument“. Öffne ihn und überprüfe, ob er jetzt Folgendes enthält:
Ein Verschlüsselungszertifikat: in einer Datei mit dem Namen
FileVaultKeyEncryptionCert_[id].pemEin privater RSA-Schlüssel: in einer Datei mit dem Namen
FileVaultKeyEncryptionPrivateKey_id.pem
Wichtig: Bewahre jeden privaten RSA-Schlüssel sicher auf. Wenn du eine private Schlüsseldatei verlierst, kannst du die mit ihrem Zertifikat verschlüsselten Wiederherstellungsschlüssel nicht entschlüsseln und somit auch nicht zum Entsperren der entsprechenden Geräte verwenden, falls ein:e Benutzer:in sein:ihr Passwort verliert.
Ein Verschlüsselungszertifikat hochladen
Melde dich in Apple Business mit einem Benutzeraccount an, der über die Rolle „Administrator:in der Organisation“ verfügt.
Wähle in deinem Browser „Geräte“ > „Geräteverwaltungsdienste“ aus.
Wähle „Integrierte Geräteverwaltung“ aus, wähle „Datei hochladen“ aus, dann wähle die oben erstellte Datei
FileVaultKeyEncryptionCert_[id].pemund anschließend „Hochladen“ aus.Wähle „Sichern“ aus.
Wenn eine FileVault-Konfiguration vor dem Hochladen deines ersten Verschlüsselungszertifikats Benutzer:innen oder Geräten über einen Blueprint zugewiesen wurde, gilt die Konfiguration jetzt für alle zugewiesenen Benutzer:innen und Mac‑Computer.
Ein Verschlüsselungszertifikat ersetzen
Wichtig: Verschlüsselungszertifikate verschlüsseln nur Wiederherstellungsschlüssel, die in Apple Businesses gespeichert sind, nachdem das Zertifikat hochgeladen wurde. Zuvor verschlüsselte Wiederherstellungsschlüssel werden mit dem neuen Verschlüsselungszertifikat nicht erneut verschlüsselt.
Melde dich in Apple Business mit einem Benutzeraccount an, der über die Rolle „Administrator:in der Organisation“ verfügt.
Wähle in deinem Browser „Geräte“ > „Geräteverwaltungsdienste“ aus.
Wähle „Integrierte Geräteverwaltung“ aus, wähle „Zertifikat ersetzen“ und dann die neue Verschlüsselungszertifikatsdatei aus, die du verwenden möchtest, und wähle anschließend „Hochladen“ aus.
Wähle „Sichern“ aus.
Download eines FileVault-Wiederherstellungsschlüssels für ein einzelnes Gerät
Um dir die größtmögliche Sicherheit zu bieten, sind deine FileVault-Wiederherstellungsschlüssel für Apple Business nicht sichtbar. Um Wiederherstellungsschlüssel einzusehen, musst du zuerst den verschlüsselten Wiederherstellungsschlüssel laden.
Um den Wiederherstellungsschlüssel für ein einzelnes mit FileVault verschlüsseltes Gerät über Apple Business herunterzuladen:
Melde dich in Apple Business mit einem Benutzeraccount an, der über die Rolle „Administrator:in der Organisation“ verfügt.
Suche ggf. im Suchfeld nach dem Gerät. Siehe Suche.
Wähle das Gerät aus, scrolle zum Abschnitt „FileVault“ und wähle dann „Schlüssel laden“ aus.
Eine
.csv-Datei mit Komma-getrennten Werten mit dem NamenFileVaultRecoveryKeysEncrypted.csvwird auf deinen Computer geladen. Sie enthält deinen verschlüsselten Schlüssel zusammen mit dem entsprechenden Gerät und dem Verschlüsselungszertifikat.Hinweis: Wenn ein Gerät vor der Zuweisung von FileVault in Apple Business bereits mit FileVault verschlüsselt wurde, ist der Wiederherstellungsschlüssel erst dann auf der Seite des Geräts sichtbar, sobald der Wiederherstellungsschlüssel gedreht wurde.
Wiederherstellungsschlüssel drehen und sichtbar machen
Melde dich in Apple Business mit einem Benutzeraccount an, der über die Rolle „Administrator:in der Organisation“ verfügt.
Öffne auf dem Mac die Terminal-App
und füge Folgendes ein:sudo /usr/bin/fdesetup changerecovery -personalGib bei entsprechender Aufforderung das Passwort des:der lokal angemeldeten Administrator:in ein, um den Befehl auszuführen (das Passwort ist nicht sichtbar).
Gib bei entsprechender Aufforderung noch einmal den Benutzernamen und das Passwort des:der lokal angemeldeten Administrator:in ein.
Nach Abschluss des Vorgangs steht für den Mac ein neuer Wiederherstellungsschlüssel in Apple Business zur Verfügung.
FileVault-Wiederherstellungsschlüssel für alle Geräte laden
Um die Wiederherstellungsschlüssel für alle mit FileVault verschlüsselten Geräte über Apple Business herunterzuladen:
Melde dich in Apple Business mit einem Benutzeraccount an, der über die Rolle „Administrator:in der Organisation“ verfügt.
Wähle in deinem Browser „Geräte“ > „Geräteverwaltungsdienste“ aus.
Wähle „Integrierte Geräteverwaltung“ und dann „Wiederherstellungsschlüssel laden“ aus.
Eine
.csv-Datei mit Komma-getrennten Werten mit dem NamenFileVaultRecoveryKeysEncrypted.csvwird auf deinen Computer geladen. Sie enthält deinen verschlüsselten Schlüssel zusammen mit dem entsprechenden Gerät und dem Verschlüsselungszertifikat.
Einen FileVault-Wiederherstellungsschlüssel anzeigen
Du kannst einen FileVault-Wiederherstellungsschlüssel anzeigen, indem du ihn aus der heruntergeladenen .csv-Datei mit Komma-getrennten Werten entschlüsselst.
Öffne
FileVaultRecoveryKeysEncrypted.csv.Suche die Zeile mit der Seriennummer des Geräts, für das du den Wiederherstellungsschlüssel benötigst. Kopiere die zweite Zelle dieser Zeile, die sich in einer Spalte mit dem Namen „Verschlüsselter Wiederherstellungsschlüssel“ befindet. Die Zelle muss Inhalte enthalten, die wie zufälliger Text aussehen.
Öffne TextEdit und erstelle eine neue einfache Textdatei.
Du musst eventuell Umschalt-Befehl-T drücken, wenn dein TextEdit standardmäßig Rich-Text-Dateien verwendet. Füge die oben kopierte Zelle ein und sichere die Datei in dem Ordner, der deinen privaten Schlüssel enthält, der mit deinem Verschlüsselungszertifikat gepaart ist.
Starte auf dem Mac die App „Terminal“
, navigiere zu dem Ordner, der die neue Textdatei und den privaten Schlüssel enthält, und füge die folgenden Befehle ein. Ersetze YourTextFileundYourPrivateKeydurch deine jeweiligen Dateinamen und drücke dann die Eingabetaste.base64 --decode -i YourTextFile.txt |\openssl smime -decrypt -inform der -inkey YourPrivateKey.pem \-out FileVaultRecoveryKey.txtDein entschlüsselter Wiederherstellungsschlüssel wird in eine Datei mit dem Namen
FileVaultRecoveryKey.txtim selben Ordner wie dein privater Schlüssel geschrieben.