Διαχείριση FileVault με διαχείριση συσκευών

Επιβολή του FileVault στον Βοηθό διαμόρφωσης

Χρησιμοποιώντας το κλειδί ForceEnableInSetupAssistant, οι υπολογιστές Mac μπορεί να χρειαστεί να ενεργοποιήσουν το FileVault κατά τη διάρκεια του Βοηθού Εγκατάστασης. Αυτό διασφαλίζει ότι ο εσωτερικός χώρος αποθήκευσης σε διαχειριζόμενους υπολογιστές Mac είναι πάντα κρυπτογραφημένος πριν χρησιμοποιηθεί. Οι οργανισμοί μπορούν να αποφασίσουν αν θα εμφανίζεται το κλειδί ανάκτησης FileVault στον χρήστη ή αν θα γίνει μεσεγγύηση του προσωπικού κλειδιού ανάκτησης. Για να χρησιμοποιήσετε αυτήν τη δυνατότητα, βεβαιωθείτε ότι έχει οριστεί το await_device_configured.

Όταν ένας χρήστης διαμορφώσει ένα Mac μόνος του

Όταν ένας χρήστης διαμορφώσει ένα Mac μόνος του, τα τμήματα πληροφορικής δεν εκτελούν εργασίες παροχής στη φυσική συσκευή. Εσείς παρέχετε όλες τις πολιτικές και τις διαμορφώσεις μέσω μιας υπηρεσίας διαχείρισης συσκευών ή εργαλείων διαχείρισης διαμόρφωσης. Ο Βοηθός διαμόρφωσης δημιουργεί τον αρχικό τοπικό λογαριασμό και εκχωρεί στον χρήστη ένα ασφαλές διακριτικό, και το macOS δημιουργεί ένα διακριτικό bootstrap και το εκχωρεί προς μεσεγγύηση σε μια υπηρεσία διαχείρισης συσκευών.

Αν το Mac εγγραφεί σε μια υπηρεσία διαχείρισης συσκευών, ο αρχικός λογαριασμός ίσως να μην είναι τοπικός λογαριασμός διαχειριστή αλλά τοπικός τυπικός λογαριασμός χρήστη. Αν υποβιβάσετε τον χρήστη σε τυπικό χρήστη μέσω μιας υπηρεσίας, εκχωρεί αυτόματα στον χρήστη ένα ασφαλές διακριτικό. Σε Mac με macOS 10.15.4 ή μεταγενέστερη έκδοση, αν υποβιβάσετε τον χρήστη, το macOS δημιουργεί αυτόματα ένα διακριτικό bootstrap και το εκχωρεί προς μεσεγγύηση στην υπηρεσία διαχείρισης συσκευών.

Αν παραλείψετε τη δημιουργία τοπικού λογαριασμού χρήστη στον Βοηθό διαμόρφωσης χρησιμοποιώντας μια υπηρεσία διαχείρισης συσκευών, και αντ' αυτού χρησιμοποιήσετε μια υπηρεσία καταλόγου με φορητούς λογαριασμούς, η υπηρεσία θα εκχωρήσει στον χρήστη του φορητού λογαριασμού ένα ασφαλές διακριτικό κατά την είσοδο. Σε Mac με macOS 10.15.4 ή νεότερη έκδοση, μετά την ενεργοποίηση του χρήστη με φορητό λογαριασμό, το macOS δημιουργεί αυτόματα ένα διακριτικό bootstrap κατά τη δεύτερη είσοδο του χρήστη και το θέτει σε μεσεγγύηση στην υπηρεσία διαχείρισης συσκευών.

Αν η υπηρεσία διαχείρισης συσκευών παραλείψει τη δημιουργία τοπικού λογαριασμού χρήστη στον Βοηθό διαμόρφωσης και χρησιμοποιήσει αντ' αυτού μια υπηρεσία καταλόγου με φορητούς λογαριασμούς, η υπηρεσία διαχείρισης συσκευών εκχωρεί στον χρήστη ένα ασφαλές διακριτικό κατά την είσοδό του. Σε Mac με macOS 10.15.4 ή μεταγενέστερη έκδοση, αν ο χρήστης φορητού λογαριασμού διαθέτει ασφαλές διακριτικό, το macOS δημιουργεί αυτόματα ένα διακριτικό bootstrap και το εκχωρεί προς μεσεγγύηση στην υπηρεσία διαχείρισης συσκευών.

Σε οποιαδήποτε από τα παραπάνω σενάρια, καθώς το macOS εκχωρεί ένα ασφαλές διακριτικό στον πρώτο και κύριο χρήστη, ο χρήστης μπορεί να ενεργοποιήσει το FileVault μέσω αναβλημένης ενεργοποίησης, γεγονός που σας επιτρέπει να ενεργοποιήσετε το FileVault αλλά να αναβάλλετε την ενεργοποίησή του έως ότου ένας χρήστης πραγματοποιήσει είσοδο ή έξοδο από ένα Mac. Μπορείτε επίσης να επιλέξετε αν ο χρήστης μπορεί να παραλείψει την ενεργοποίηση του FileVault (προαιρετικά για έναν καθορισμένο αριθμό φορών). Αυτό παρέχει τη δυνατότητα στον κύριο χρήστη του Mac, είτε είναι τοπικός χρήστης είτε φορητός λογαριασμός οποιουδήποτε τύπου, να ξεκλειδώνει τον τόμο FileVault.

Σε Mac όπου το macOS δημιουργεί ένα διακριτικό bootstrap και το εκχωρεί προς μεσεγγύηση σε μια υπηρεσία διαχείρισης συσκευών, αν ένας άλλος χρήστης πραγματοποιήσει είσοδο στο Mac στο μέλλον, το macOS χρησιμοποιεί το διακριτικό bootstrap για να του εκχωρήσει αυτόματα ένα ασφαλές διακριτικό. Αυτό σημαίνει ότι ο λογαριασμός είναι επίσης ενεργοποιημένος για το FileVault και μπορεί να ξεκλειδώσει τον τόμο FileVault. Για να αφαιρέσετε τη δυνατότητα του χρήστη να ξεκλειδώνει τη συσκευή αποθήκευσης, χρησιμοποιήστε την εντολή fdesetup remove -user.

Όταν ένας οργανισμός παρέχει ένα Mac

Όταν ένας οργανισμός παρέχει ένα Mac, προτού δοθεί στον χρήστη, το τμήμα πληροφορικής διαμορφώνει τη συσκευή. Χρησιμοποιείτε τον τοπικό λογαριασμό διαχειριστή, τον οποίο δημιουργείτε είτε στον Βοηθό διαμόρφωσης είτε μέσω παροχής από υπηρεσία διαχείρισης συσκευών, για παροχή ή διαμόρφωση του Mac, και το λειτουργικό σύστημα τού εκχωρεί το πρώτο ασφαλές διακριτικό κατά την είσοδο. Αν η υπηρεσία υποστηρίζει τη δυνατότητα διακριτικού bootstrap, το λειτουργικό σύστημα δημιουργεί επίσης ένα διακριτικό bootstrap και το θέτει προς μεσεγγύηση.

Αν το Mac συνδεθεί σε υπηρεσία καταλόγου, διαμορφωθεί για να δημιουργεί φορητούς λογαριασμούς και δεν υπάρχει διακριτικό bootstrap, ζητείται από τους χρήστες της υπηρεσίας καταλόγου κατά την πρώτη είσοδο να εισαγάγουν το όνομα χρήστη και το συνθηματικό ενός υπάρχοντος διαχειριστή ασφαλούς διακριτικού για να εκχωρηθεί στον λογαριασμό του χρήστη ένα ασφαλές διακριτικό. Πρέπει να εισαγάγει τα διαπιστευτήρια με δυνατότητα ασφαλούς διακριτικού ενός τοπικού διαχειριστή. Αν δεν απαιτείται ασφαλές διακριτικό, ο χρήστης μπορεί να κάνει κλικ στην «Παράκαμψη». Για Mac με macOS 10.13.5 ή μεταγενέστερη έκδοση, είναι δυνατή η πλήρης απενεργοποίηση του πλαισίου διαλόγου ασφαλούς διακριτικού, αν δεν πρόκειται να χρησιμοποιείται το FileVault με φορητούς λογαριασμούς. Για να αποκρύψετε το πλαίσιο διαλόγου ασφαλούς διακριτικού, εφαρμόστε ένα προφίλ διαμόρφωσης προσαρμοσμένων ρυθμίσεων από την υπηρεσία διαχείρισης συσκευών με τα ακόλουθα κλειδιά και τιμές:

Αν η υπηρεσία διαχείρισης συσκευών υποστηρίζει τη δυνατότητα «Διακριτικό bootstrap» και το Mac δημιουργήσει ένα διακριτικό bootstrap και το εκχωρήσει στην υπηρεσία για μεσεγγύηση, οι χρήστες φορητού λογαριασμού δεν βλέπουν αυτό το μήνυμα. Αντ' αυτού, το macOS τους εκχωρεί αυτόματα ένα ασφαλές διακριτικό κατά την είσοδο.

Αν απαιτηθούν πρόσθετοι τοπικοί χρήστες στο Mac αντί των λογαριασμών χρηστών από υπηρεσία καταλόγου, το macOS τους εκχωρεί αυτόματα ένα ασφαλές διακριτικό όταν ένας διαχειριστής με δυνατότητα ασφαλούς διακριτικού δημιουργήσει αυτούς τους τοπικούς χρήστες στο τμήμα «Χρήστες και ομάδες» (στις Ρυθμίσεις συστήματος σε macOS 13 ή μεταγενέστερη έκδοση, ή στις Προτιμήσεις συστήματος σε macOS 12.0.1 ή προγενέστερη έκδοση). Κατά τη δημιουργία τοπικών χρηστών με χρήση της γραμμής εντολών, ο διαχειριστής μπορεί να χρησιμοποιήσει το εργαλείο γραμμής εντολών sysadminctl και μπορεί επίσης να τους ενεργοποιήσει προαιρετικά για ασφαλές διακριτικό. Σε Mac με macOS 11 ή μεταγενέστερη έκδοση, αν το macOS δεν εκχωρήσει ένα ασφαλές διακριτικό κατά τη δημιουργία, και αν ένα διακριτικό bootstrap είναι διαθέσιμο από την υπηρεσία διαχείρισης συσκευών, εκχωρεί ένα ασφαλές διακριτικό στον τοπικό χρήστη κατά την είσοδό του.

Σε αυτά τα σενάρια, οι ακόλουθοι χρήστες μπορούν να ξεκλειδώσουν τον τόμο που είναι κρυπτογραφημένος με το FileVault:

• Ο αρχικός τοπικός διαχειριστής που χρησιμοποιήθηκε για την παροχή

• Οι πρόσθετοι χρήστες υπηρεσίας καταλόγου στους οποίους εκχωρήθηκε ασφαλές διακριτικό κατά τη διεργασία εισόδου είτε διαδραστικά μέσω του πλαισίου διαλόγου είτε αυτόματα με το διακριτικό bootstrap

• Οι νέοι τοπικοί χρήστες

Για να αφαιρέσετε τη δυνατότητα του χρήστη να ξεκλειδώνει τη συσκευή αποθήκευσης, χρησιμοποιήστε την εντολή fdesetup remove -user.

Κατά τη χρήση μίας εκ των προαναφερόμενων ροών εργασίας, το ασφαλές διακριτικό βρίσκεται υπό τη διαχείριση του macOS χωρίς να απαιτείται πρόσθετη διαμόρφωση ή δημιουργία σκριπτ. Αποτελεί λεπτομέρεια υλοποίησης και όχι ένα στοιχείο που χρειάζεται ενεργή διαχείριση ή χειρισμό.

εργαλείο γραμμής εντολών fdesetup

Για τη διαμόρφωση του FileVault, μπορείτε να χρησιμοποιήσετε διαμορφώσεις διαχείρισης συσκευών ή το εργαλείο γραμμής εντολών fdesetup. Σε Mac με macOS 10.15 ή μεταγενέστερη έκδοση, η χρήση του fdesetup για ενεργοποίηση του FileVault μέσω της παροχής του ονόματος χρήστη και του συνθηματικού είναι παρωχημένη και δεν θα είναι διαθέσιμη σε μελλοντική έκδοση. Η εντολή συνεχίζει να λειτουργεί αλλά παραμένει παρωχημένη σε macOS 11 και macOS 12.0.1. Συνιστάται η χρήση της αναβλημένης ενεργοποίησης μέσω μιας υπηρεσίας διαχείρισης συσκευών. Για να περισσότερες πληροφορίες σχετικά με το εργαλείο γραμμής εντολών fdesetup, εκκινήστε την εφαρμογή «Τερματικό» και εισαγάγετε man fdesetup ή fdesetup help.

Κλειδιά ανάκτησης ιδρύματος έναντι προσωπικών κλειδιών ανάκτησης

Το FileVault στους τόμους CoreStorage και APFS υποστηρίζει τη χρήση ενός κλειδιού ανάκτησης ιδρύματος (Institutional Recovery Key - IRK, γνωστό παλαιότερα ως Κύρια ταυτότητα FileVault) για ξεκλείδωμα του τόμου. Παρόλο που ένα κλειδί ανάκτησης ιδρύματος (IRK) είναι χρήσιμο για λειτουργίες γραμμής εντολών για ξεκλείδωμα ενός τόμου ή απενεργοποίηση του FileVault, η χρησιμότητά του για τους οργανισμούς είναι περιορισμένη, ειδικά στις πρόσφατες εκδόσεις του macOS. Σε Mac με Apple Silicon, τα IRK δεν παρέχουν λειτουργική αξία για δύο κύριους λόγους: Καταρχάς, τα IRK δεν μπορούν να χρησιμοποιηθούν στο recoveryOS, και κατά δεύτερον, η Λειτουργία δίσκου προορισμού δεν υποστηρίζεται πλέον, οπότε δεν είναι δυνατό το ξεκλείδωμα του τόμου με σύνδεση σε ένα άλλο Mac. Για αυτούς τους λόγους και άλλους, η χρήση ενός κλειδιού ανάκτησης ιδρύματος (IRK) δεν συνιστάται πλέον για την ιδρυματική διαχείριση του FileVault σε υπολογιστές Mac. Αντ' αυτού, θα πρέπει να χρησιμοποιείται ένα προσωπικό κλειδί ανάκτησης (PRK). Ένα προσωπικό κλειδί ανάκτησης (PRK) παρέχει:

• Έναν ιδιαίτερα ισχυρό μηχανισμό ανάκτησης και πρόσβασης λειτουργικού συστήματος

• Μοναδική κρυπτογράφηση ανά τόμο

• Μεσεγγύηση σε υπηρεσία διαχείρισης συσκευών

• Εύκολη αντικατάσταση κλειδιού μετά τη χρήση

Για Mac με Apple Silicon και macOS 12.0.1 ή μεταγενέστερη έκδοση, ένα PRK μπορεί να χρησιμοποιηθεί είτε στο recoveryOS είτε για την εκκίνηση ενός κρυπτογραφημένου Mac στο macOS απευθείας. Στο recoveryOS, το προσωπικό κλειδί ανάκτησης (PRK) μπορεί να χρησιμοποιηθεί αν ζητηθεί από τον Βοηθό ανάκτησης, ή με την επιλογή «Ξεχάσατε όλα τα συνθηματικά» για πρόσβαση στο περιβάλλον ανάκτησης που ξεκλειδώνει επίσης και τον τόμο. Όταν χρησιμοποιείται η επιλογή «Ξεχάσατε όλα τα συνθηματικά», δεν απαιτείται η επαναφορά ενός συνθηματικού για έναν χρήστη. Μπορεί να γίνει κλικ στο κουμπί εξόδου για εκκίνηση απευθείας στο recoveryOS. Για άμεση εκκίνηση του macOS σε υπολογιστές με επεξεργαστή Intel, κάντε κλικ στο ερωτηματικό δίπλα στο πεδίο συνθηματικού και μετά επιλέξτε την επιλογή «επαναφορά με χρήση του κλειδιού ανάκτησης». Εισαγάγετε το PRK και μετά πατήστε Return ή κάντε κλικ στο βέλος. Αφού εκκινηθεί το macOS, πατήστε «Ακύρωση» στο πλαίσιο διαλόγου αλλαγής συνθηματικού.

Επίσης, σε Mac με Apple Silicon που χρησιμοποιεί το macOS 12 ή μεταγενέστερη έκδοση, πατήστε Option+Shift+Return για να αποκαλύψετε το πεδίο εισαγωγής για το προσωπικό κλειδί ανάκτησης (PRK) και μετά πατήστε το Return (ή κάντε κλικ στο βέλος).

Υπάρχει μόνο ένα προσωπικό κλειδί ανάκτησης (PRK) ανά κρυπτογραφημένο τόμο, και κατά τη διάρκεια της ενεργοποίησης FileVault από μια υπηρεσία διαχείρισης συσκευών, μπορείτε προαιρετικά να το αποκρύψετε από τον χρήστη. Κατά τη διαμόρφωση για μεσεγγύηση σε μια υπηρεσία διαχείρισης συσκευών, παρέχει στο Mac ένα δημόσιο κλειδί σε μορφή πιστοποιητικού που στη συνέχεια χρησιμοποιείται για ασύμμετρη κρυπτογράφηση του προσωπικού κλειδιού ανάκτησης (PRK) σε μορφή φακέλου CMS. Το κρυπτογραφημένο προσωπικό κλειδί ανάκτησης (PRK) επιστρέφει στην υπηρεσία στο ερώτημα πληροφοριών ασφάλειας, που μπορεί στη συνέχεια να αποκρυπτογραφήσει για προβολή ένας οργανισμός. Καθώς η κρυπτογράφηση είναι ασύμμετρη, η ίδια η υπηρεσία μπορεί να μην μπορεί να αποκρυπτογραφήσει το PRK (και ενδέχεται να απαιτηθούν επιπλέον βήματα από έναν διαχειριστή). Ωστόσο, πολλοί δημιουργοί υπηρεσιών διαχείρισης συσκευών παρέχουν την επιλογή διαχείρισης αυτών των κλειδιών για να επιτρέπεται η απευθείας προβολή στα προϊόντα τους. H υπηρεσία διαχείρισης συσκευών μπορεί επίσης να περιστρέφει προαιρετικά τα PRK όσο συχνά απαιτείται για τη διατήρηση μιας ισχυρής στάσης ασφάλειας –για παράδειγμα, μετά τη χρήση ενός PRK για ξεκλείδωμα ενός τόμου.

Ένα PRK μπορεί να χρησιμοποιηθεί στη Λειτουργία δίσκου προορισμού σε υπολογιστές Mac χωρίς Apple Silicon για ξεκλείδωμα ενός τόμου:

1. Συνδέστε το Mac σε Λειτουργία δίσκου προορισμού σε ένα άλλο Mac που χρησιμοποιεί την ίδια ή νεότερη έκδοση macOS.

2. Ανοίξτε το Τερματικό, και μετά εκτελέσετε την ακόλουθη εντολή και αναζητήστε το όνομα του τόμου (συνήθως «Macintosh HD»). Θα πρέπει να λέει «Σημείο προσάρτησης: Μη προσαρτημένο» και «FileVault: Ναι (Κλειδωμένο)». Σημειώστε το αναγνωριστικό δίσκου τόμου APFS για τον τόμο, που θα μοιάζει με disk3s2 αλλά θα περιέχει πιθανότατα διαφορετικούς αριθμούς, π.χ. disk4s5.

3. Εκτελέστε την ακόλουθη εντολή και μετά αναζητήστε τον χρήστη προσωπικού κλειδιού ανάκτησης και σημειώστε το UUID που εμφανίζεται:

4. Εκτελέστε αυτήν την εντολή:

5. Στην προτροπή φράσης πρόσβασης, επικολλήστε ή εισαγάγετε το PRK και πιέστε Return. Ο τόμος προσαρτάται στο Finder.