Verwalten von FileVault in macOS
In macOS können Unternehmen FileVault mit Secure Token oder Bootstrap Token verwalten.
Verwendung des Secure Token
Beim Apple File System (APFS) unter macOS 10.13 (oder neuer) ergibt sich eine Änderung hinsichtlich der Art und Weise, wie FileVault-Verschlüsselungsschlüssel generiert werden. Bei früheren Versionen von macOS auf CoreStorage-Volumes wurden die Schlüssel, die für den FileVault-Verschlüsselungsprozess verwendet wurden, zu dem Zeitpunkt erstellt, an dem der Benutzer oder die Organisation FileVault auf einem Mac aktivierte. Bei macOS auf APFS-Volumes werden die Schlüssel entweder beim Erstellen des Benutzers, beim Festlegen des Benutzerpassworts oder bei der erstmaligen Anmeldung eines Benutzers am Mac erstellt. Diese Implementierung der Verschlüsselungsschlüssel, der Zeitpunkt ihrer Generierung und die Art ihrer Speicherung sind Bestandteil einer neuen Funktion, die „Secure Token“ oder „sicherer Token“ genannt wird. Genau genommen ist ein sicherer Token die verpackte Version eines KEK (Key Encryption Key), die durch das Passwort des Benutzers geschützt ist.
Bei der Bereitstellung von FileVault auf einem APFS-Volume kann der Benutzer weiterhin:
vorhandene Werkzeuge und Prozesse verwenden, zum Beispiel das Hinterlegen eines persönlichen Wiederherstellungsschlüssels (PRK) in einer Lösung für die Mobilgeräteverwaltung (Mobile Device Management, MDM)
einen institutionellen Wiederherstellungsschlüssel (IRK, Institutional Recovery Key) erstellen und verwenden
die FileVault-Aktivierung bis zum An- oder Abmelden eines Benutzers am Mac verzögern
Bei macOS 11 bewirkt das Festlegen des Initialpassworts für den allerersten Benutzer auf einem Mac, dass diesem Benutzer ein Secure Token zuerkannt wird. Für bestimmte Workflows und Prozesse ist dieses Verhalten möglicherweise nicht wünschenswert, da früher das Zuerkennen des ersten Secure Token voraussetzte, dass sich der Benutzer mit seinem Account anmeldet. Damit dies nicht geschieht, muss ;DisabledTags;SecureToken dem programmseits erstellten Attribut AuthenticationAuthority des Benutzers hinzugefügt werden, bevor dessen Passwort festgelegt wird. Dies kann wie folgt geschehen:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Verwendung des „Bootstrap Token“
macOS 10.15 umfasst mit Bootstrap Token eine neue Funktion, die es ermöglicht, mobilen Accounts und zugleich dem bei der Geräteregistrierung optional erstellten Admin-Account („verwalteter Administrator“) einen Secure Token zuzuerkennen. In macOS 11 kann der Bootstrap Token jedem Benutzer, der sich an einem Mac-Computer anmeldet – auch einem lokalen Benutzeraccount –, einen Secure Token zuerkennen. Die Verwendung der Bootstrap-Token-Funktion von macOS 10.15 (oder neuer) ist an die folgenden Bedingungen geknüpft:
Registrierung des Mac-Computers in Apple School Manager oder Apple Business Manager, was den Mac zu einem betreuten Gerät macht
Unterstützung für den MDM-Anbieter
Wenn die MDM-Lösung diese Funktion unterstützt, wird in macOS 10.15.4 (oder neuer) ein Bootstrap-Token bei der ersten Anmeldung jedes für Secure Token aktivierten Benutzers generiert und in der MDM-Lösung hinterlegt. Sofern erforderlich, kann ein Bootstrap Token auch mit dem Befehlszeilenprogramm profiles generiert und in der MDM-Lösung hinterlegt werden.
Bei macOS 11 kann ein Bootstrap Token außer für das Zuerkennen eines Secure Token zu Benutzeraccounts auch für andere Zwecke genutzt werden. Bei einem Mac mit Apple Chips kann ein Bootstrap Token (sofern verfügbar) dazu genutzt werden, Kernel-Erweiterungen und Softwareaktualisierungen zu autorisieren, wenn die Verwaltung mittels einer MDM-Lösung erfolgt.
Institutionelle und persönliche Wiederherstellungsschlüssel
FileVault unterstützt sowohl auf CoreStorage- als auch auf APFS-Volumes die Verwendung eines institutionellen Wiederherstellungsschlüssels (Institutional Recovery Key, kurz IRK; vorher als FileVault Master-Identität bezeichnet) zum Entsperren des Volumes. Ein IRK ist für Befehlszeilenaktionen zum Entsperren eines Volumes oder zum vollständigen Deaktivieren von FileVault nützlich, sein Nutzen für Organisationen ist dagegen beschränkt, insbesondere in neueren Versionen von macOS. Auf einem Mac mit Apple Chips bieten IRKs aus den folgenden zwei Gründen keinen funktionalen Wert: Zum einen können IRKs nicht für den Zugriff auf recoveryOS verwendet werden. Zum anderen kann das Volume nicht mehr durch Verbinden mit einem anderen Mac entsperrt werden, da der Festplattenmodus nicht mehr unterstützt wird. Aus diesen und weiteren Gründen wird die Nutzung eines IRK für die institutionelle Verwaltung von FileVault auf Mac-Computern nicht mehr empfohlen. Stattdessen sollte ein persönlicher Wiederherstellungsschlüssel (Personal Recovery Key, PRK) verwendet werden.