Διαχείριση FileVault με διαχείριση φορητών συσκευών
Η διαχείριση της πλήρους κρυπτογράφησης δίσκου μέσω FileVault μπορεί να γίνει σε οργανισμούς χρησιμοποιώντας μια λύση MDM (Διαχείριση φορητών συσκευών), ή, για κάποιες προηγμένες αναπτύξεις και διαμορφώσεις, χρησιμοποιώντας το εργαλείο γραμμής εντολών fdesetup. Η διαχείριση του FileVault με χρήση MDM αναφέρεται ως αναβαλλόμενη ενεργοποίηση και απαιτεί ένα γεγονός εξόδου ή εισόδου από τον χρήστη. Οι λύσεις MDM μπορούν να προσαρμόσουν επιλογές όπως οι εξής:
Πόσες φορές ένας χρήστης μπορεί να αναβάλει την ενεργοποίηση του FileVault
Αν θα ζητείται από τον χρήστη κατά την έξοδο εκτός από το μήνυμα κατά την είσοδο
Αν θα εμφανίζεται το κλειδί ανάκτησης στον χρήστη
Ποιο πιστοποιητικό χρησιμοποιείται για ασύμμετρη κρυπτογράφηση του κλειδιού ανάκτησης για μεσεγγύηση στη λύση MDM
Για να μπορεί ο χρήστης να ξεκλειδώσει τον χώρο αποθήκευσης σε τόμους APFS, πρέπει να έχει στην κατοχή του ένα ασφαλές διακριτικό από τον χρήστη, ενώ σε Mac με Apple Silicon, ο χρήστης πρέπει να είναι ιδιοκτήτης τόμου. Για περισσότερες πληροφορίες σχετικά με τα ασφαλή διακριτικά και την ιδιοκτησία τόμου, δείτε την ενότητα Χρήση ασφαλούς διακριτικού, διακριτικού bootstrap και ιδιοκτησία τόμου σε αναπτύξεις. Παρακάτω παρέχονται πληροφορίες σχετικά με το πώς και πότε παραχωρείται στους χρήστες ένα ασφαλές διακριτικό σε συγκεκριμένες ροές εργασιών.
Επιβολή του FileVault στον Βοηθό διαμόρφωσης
Χρησιμοποιώντας το κλειδί ForceEnableInSetupAssistant, οι υπολογιστές Mac μπορεί να χρειαστεί να ενεργοποιήσουν το FileVault κατά τη διάρκεια του Βοηθού Εγκατάστασης. Αυτό διασφαλίζει ότι ο εσωτερικός χώρος αποθήκευσης σε διαχειριζόμενους υπολογιστές Mac είναι πάντα κρυπτογραφημένος πριν χρησιμοποιηθεί. Οι οργανισμοί μπορούν να αποφασίσουν αν θα εμφανίζεται το κλειδί ανάκτησης FileVault στον χρήστη ή αν θα γίνει μεσεγγύηση του προσωπικού κλειδιού ανάκτησης. Για να χρησιμοποιήσετε αυτήν τη δυνατότητα, βεβαιωθείτε ότι έχει οριστεί το await_device_configured.
Σημείωση: Πριν το macOS 14.4, αυτή η δυνατότητα απαιτεί τη διαδραστική δημιουργία του λογαριασμού χρήστη κατά τη διάρκεια του Βοηθού διαμόρφωσης για να έχει τον ρόλο του Διαχειριστή.
Όταν ένας χρήστης διαμορφώσει ένα Mac μόνος του
Όταν ένας χρήστης διαμορφώσει ένα Mac μόνος του, τα τμήματα πληροφορικής δεν εκτελούν εργασίες παροχής στη φυσική συσκευή. Όλες οι πολιτικές και οι διαμορφώσεις παρέχονται μέσω μιας λύσης MDM ή εργαλείων διαχείρισης διαμόρφωσης. Ο Βοηθός διαμόρφωσης χρησιμοποιείται για τη δημιουργία του αρχικού τοπικού λογαριασμού και στον χρήστη εκχωρείται ένα ασφαλές διακριτικό. Αν η λύση MDM υποστηρίζει τη δυνατότητα «Διακριτικό bootstrap» και ενημερώσει το Mac κατά την εγγραφή MDM, δημιουργείται ένα διακριτικό bootstrap από το Mac και εκχωρείται στη λύση MDM για μεσεγγύηση.
Αν το Mac είναι εγγεγραμμένο σε μια λύση MDM, ο αρχικός λογαριασμός ίσως να μην είναι τοπικός λογαριασμός διαχειριστή αλλά τοπικός τυπικός λογαριασμός χρήστη. Αν ο χρήστης υποβιβαστεί σε τυπικό χρήστη μέσω MDM, εκχωρείται αυτόματα στον χρήστη ένα ασφαλές διακριτικό. Αν ο χρήστης υποβαθμιστεί, στο macOS 10.15.4 και μεταγενέστερες εκδόσεις, ένα διακριτικό bootstrap δημιουργείται αυτόματα και εκχωρείται για μεσεγγύηση στη λύση MDM, αν υποστηρίζει τη δυνατότητα.
Αν παραλειφθεί εξ ολοκλήρου η δημιουργία τοπικού λογαριασμού χρήστη στον Βοηθό διαμόρφωσης μέσω MDM, και χρησιμοποιηθεί αντ' αυτού μια υπηρεσία καταλόγου με φορητούς λογαριασμούς, θα εκχωρηθεί ένα ασφαλές διακριτικό στον φορητό λογαριασμό κατά την είσοδο. Με φορητό λογαριασμό, όταν ο χρήστης λάβει ένα ασφαλές διακριτικό, στο macOS 10.15.4 και μεταγενέστερες εκδόσεις, ένα διακριτικό bootstrap δημιουργείται αυτόματα κατά τη δεύτερη είσοδο του χρήστη και εκχωρείται για μεσεγγύηση στη λύση MDM, αν υποστηρίζει τη δυνατότητα.
Σε οποιαδήποτε από τα παραπάνω σενάρια, καθώς εκχωρείται ένα ασφαλές διακριτικό στον πρώτο και κύριο χρήστη, είναι δυνατή η ενεργοποίηση του FileVault για τον συγκεκριμένο χρήστη μέσω αναβλημένης ενεργοποίησης. Χάρη στην αναβαλλόμενη ενεργοποίηση, ο οργανισμός μπορεί να ενεργοποιήσει το FileVault, αλλά η ενεργοποίησή του αναβάλλεται μέχρι ένας χρήστης να πραγματοποιήσει είσοδο ή έξοδο από το Mac. Είναι επίσης δυνατό να προσαρμοστεί αν ο χρήστης μπορεί να παραλείψει την ενεργοποίηση του FileVault (προαιρετικά για έναν καθορισμένο αριθμό φορών). Το τελικό αποτέλεσμα είναι να έχει τη δυνατότητα ο κύριος χρήστης του Mac, είτε τοπικός χρήστης είτε φορητός λογαριασμός οποιουδήποτε τύπου, να ξεκλειδώνει τη συσκευή αποθήκευσης όταν είναι κρυπτογραφημένη με το FileVault.
Σε υπολογιστές Mac όπου δημιουργήθηκε ένα διακριτικό bootstrap και μετά εκχωρήθηκε σε λύση MDM για μεσεγγύηση, αν ένας άλλος χρήστης πραγματοποιήσει είσοδο στο Mac σε μελλοντική ημερομηνία και ώρα, το διακριτικό bootstrap χρησιμοποιείται για αυτόματη εκχώρηση ενός ασφαλούς διακριτικού. Αυτό σημαίνει ότι ο λογαριασμός είναι επίσης ενεργοποιημένος για το FileVault και μπορεί να ξεκλειδώσει τον τόμο FileVault. Για να αφαιρέσετε τη δυνατότητα του χρήστη να ξεκλειδώνει τη συσκευή αποθήκευσης, χρησιμοποιήστε την εντολή fdesetup remove -user.
Όταν ένα Mac παρέχεται από οργανισμό
Όταν ένα Mac παρέχεται από οργανισμό προτού δοθεί σε έναν χρήστη, το τμήμα πληροφορικής διαμορφώνει τη συσκευή. Ο τοπικός λογαριασμός διαχειριστή, που είτε δημιουργήθηκε στον Βοηθό διαμόρφωσης είτε παρασχέθηκε μέσω MDM, χρησιμοποιείται για παροχή ή διαμόρφωση του Mac και του εκχωρείται το πρώτο ασφαλές διακριτικό κατά την είσοδο. Αν η λύση MDM υποστηρίζει τη δυνατότητα «Διακριτικό bootstrap», ένα διακριτικό bootstrap δημιουργείται επίσης και εκχωρείται στη λύση MDM για μεσεγγύηση.
Αν το Mac συνδεθεί σε υπηρεσία καταλόγου, διαμορφωθεί για να δημιουργεί φορητούς λογαριασμούς και δεν υπάρχει διακριτικό bootstrap, ζητείται από τους χρήστες της υπηρεσίας καταλόγου κατά την πρώτη είσοδο να εισαγάγουν το όνομα χρήστη και το συνθηματικό ενός υπάρχοντος διαχειριστή ασφαλούς διακριτικού για να εκχωρηθεί στον λογαριασμό του χρήστη ένα ασφαλές διακριτικό. Πρέπει να εισαχθούν τα διαπιστευτήρια ενός τρέχοντος τοπικού διαχειριστή που έχει ενεργοποιηθεί για ασφαλές διακριτικό. Αν δεν απαιτείται το ασφαλές διακριτικό, ο χρήστης μπορεί να κάνει κλικ στην «Παράκαμψη». Σε macOS 10.13.5 και μεταγενέστερες εκδόσεις, είναι δυνατή η εξ ολοκλήρου απενεργοποίηση του πλαισίου διαλόγου ασφαλούς διακριτικού, αν δεν πρόκειται να χρησιμοποιηθεί το FileVault με φορητούς λογαριασμούς. Για να αποκρύψετε το πλαίσιο διαλόγου ασφαλούς διακριτικού, εφαρμόστε ένα προφίλ ρύθμισης παραμέτρων προσαρμοσμένων ρυθμίσεων από τη λύση MDM με τα ακόλουθα κλειδιά και τιμές:
Ρύθμιση | Τιμή | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Τομέας | com.apple.MCX | ||||||||||
Κλειδί | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Τιμή | Αληθής | ||||||||||
Αν η λύση MDM υποστηρίζει τη δυνατότητα «Διακριτικό bootstrap» και έχει δημιουργηθεί ένα διακριτικό bootstrap από το Mac και έχει εκχωρηθεί στη λύση MDM για μεσεγγύηση, οι χρήστες φορητού λογαριασμού δεν θα δουν αυτό το μήνυμα. Αντ' αυτού, θα τους εκχωρηθεί αυτόματα ένα ασφαλές διακριτικό κατά την είσοδο.
Αν απαιτηθούν πρόσθετοι τοπικοί χρήστες στο Mac αντί των λογαριασμών χρηστών από υπηρεσία καταλόγου, εκχωρείται αυτόματα σε αυτούς τους τοπικούς χρήστες ένα ασφαλές διακριτικό όταν δημιουργηθούν οι σχετικοί λογαριασμοί στο τμήμα «Χρήστες και ομάδες» (στις Ρυθμίσεις συστήματος σε macOS 13 ή μεταγενέστερη έκδοση, ή στις Προτιμήσεις συστήματος σε macOS 12.0.1 ή προγενέστερη έκδοση) από έναν τρέχοντα διαχειριστή που έχει τη δυνατότητα χρήσης ασφαλούς διακριτικού. Κατά τη δημιουργία τοπικών χρηστών με χρήση της γραμμής εντολών, μπορεί να χρησιμοποιηθεί το εργαλείο γραμμής εντολών sysadminctl, το οποίο μπορεί επίσης να ενεργοποιήσει προαιρετικά τους χρήστες για ασφαλές διακριτικό. Ακόμη κι αν δεν εκχωρηθεί ασφαλές διακριτικό κατά τη δημιουργία χρηστών, στο macOS 11 ή μεταγενέστερες εκδόσεις, ένας τοπικός χρήστης που πραγματοποιεί είσοδο σε Mac λαμβάνει ένα ασφαλές διακριτικό κατά την είσοδο αν διατίθεται ένα διακριτικό bootstrap από τη λύση MDM.
Σε αυτά τα σενάρια, οι ακόλουθοι χρήστες μπορούν να ξεκλειδώσουν τον τόμο που είναι κρυπτογραφημένος με το FileVault:
Ο αρχικός τοπικός διαχειριστής που χρησιμοποιήθηκε για την παροχή
Οι πρόσθετοι χρήστες υπηρεσίας καταλόγου στους οποίους εκχωρήθηκε ασφαλές διακριτικό κατά τη διεργασία εισόδου είτε διαδραστικά μέσω του πλαισίου διαλόγου είτε αυτόματα με το διακριτικό bootstrap
Οι νέοι τοπικοί χρήστες
Για να αφαιρέσετε τη δυνατότητα του χρήστη να ξεκλειδώνει τη συσκευή αποθήκευσης, χρησιμοποιήστε την εντολή fdesetup remove -user.
Κατά τη χρήση μίας εκ των προαναφερόμενων ροών εργασίας, το ασφαλές διακριτικό βρίσκεται υπό τη διαχείριση του macOS χωρίς να απαιτείται πρόσθετη διαμόρφωση ή δημιουργία σκριπτ. Αποτελεί λεπτομέρεια υλοποίησης και όχι ένα στοιχείο που χρειάζεται ενεργή διαχείριση ή χειρισμό.
εργαλείο γραμμής εντολών fdesetup
Για τη διαμόρφωση του FileVault, μπορούν να χρησιμοποιηθούν διαμορφώσεις MDM ή το εργαλείο γραμμής εντολών fdesetup. Στο macOS 10.15 ή μεταγενέστερη έκδοση, η χρήση του fdesetup για ενεργοποίηση του FileVault μέσω της παροχής του ονόματος χρήστη και του συνθηματικού είναι παρωχημένη και δεν θα αναγνωρίζεται σε μελλοντική έκδοση. Η εντολή συνεχίζει να λειτουργεί αλλά παραμένει παρωχημένη σε macOS 11 και macOS 12.0.1. Συνιστάται η χρήση της αναβλημένης ενεργοποίησης μέσω MDM. Για να περισσότερες πληροφορίες σχετικά με το εργαλείο γραμμής εντολών fdesetup, εκκινήστε την εφαρμογή «Τερματικό» και εισαγάγετε man fdesetup ή fdesetup help.
Κλειδιά ανάκτησης ιδρύματος έναντι προσωπικών κλειδιών ανάκτησης
Το FileVault στους τόμους CoreStorage και APFS υποστηρίζει τη χρήση ενός κλειδιού ανάκτησης ιδρύματος (Institutional Recovery Key - IRK, γνωστό παλαιότερα ως Κύρια ταυτότητα FileVault) για ξεκλείδωμα του τόμου. Παρόλο που ένα κλειδί ανάκτησης ιδρύματος (IRK) είναι χρήσιμο για λειτουργίες γραμμής εντολών για ξεκλείδωμα ενός τόμου ή απενεργοποίηση του FileVault, η χρησιμότητά του για τους οργανισμούς είναι περιορισμένη, ειδικά στις πρόσφατες εκδόσεις του macOS. Σε Mac με Apple Silicon, τα IRK δεν παρέχουν λειτουργική αξία για δύο κύριους λόγους: Καταρχάς, τα IRK δεν μπορούν να χρησιμοποιηθούν στο recoveryOS, και κατά δεύτερον, η Λειτουργία δίσκου προορισμού δεν υποστηρίζεται πλέον, οπότε δεν είναι δυνατό το ξεκλείδωμα του τόμου με σύνδεση σε ένα άλλο Mac. Για αυτούς τους λόγους και άλλους, η χρήση ενός κλειδιού ανάκτησης ιδρύματος (IRK) δεν συνιστάται πλέον για την ιδρυματική διαχείριση του FileVault σε υπολογιστές Mac. Αντ' αυτού, θα πρέπει να χρησιμοποιείται ένα προσωπικό κλειδί ανάκτησης (PRK). Ένα προσωπικό κλειδί ανάκτησης (PRK) παρέχει:
Έναν ιδιαίτερα ισχυρό μηχανισμό ανάκτησης και πρόσβασης λειτουργικού συστήματος
Μοναδική κρυπτογράφηση ανά τόμο
Μεσεγγύηση σε λύση MDM
Εύκολη αντικατάσταση κλειδιού μετά τη χρήση
Ένα προσωπικό κλειδί ανάκτησης (PRK) μπορεί να χρησιμοποιηθεί είτε στο recoveryOS είτε για εκκίνηση ενός κρυπτογραφημένου Mac απευθείας στο macOS (απαιτείται macOS 12.0.1 ή μεταγενέστερη έκδοση για Mac με Apple Silicon). Στο recoveryOS, το προσωπικό κλειδί ανάκτησης (PRK) μπορεί να χρησιμοποιηθεί αν ζητηθεί από τον Βοηθό ανάκτησης, ή με την επιλογή «Ξεχάσατε όλα τα συνθηματικά» για πρόσβαση στο περιβάλλον ανάκτησης που ξεκλειδώνει επίσης και τον τόμο. Όταν χρησιμοποιείται η επιλογή «Ξεχάσατε όλα τα συνθηματικά», δεν απαιτείται η επαναφορά ενός συνθηματικού για έναν χρήστη. Μπορεί να γίνει κλικ στο κουμπί εξόδου για εκκίνηση απευθείας στο recoveryOS. Για άμεση εκκίνηση του macOS σε υπολογιστές με επεξεργαστή Intel, κάντε κλικ στο ερωτηματικό δίπλα στο πεδίο συνθηματικού και μετά επιλέξτε την επιλογή «επαναφορά με χρήση του κλειδιού ανάκτησης». Εισαγάγετε το PRK και μετά πατήστε Return ή κάντε κλικ στο βέλος. Αφού εκκινηθεί το macOS, πατήστε «Ακύρωση» στο πλαίσιο διαλόγου αλλαγής συνθηματικού. Σε ένα Mac με Apple Silicon που χρησιμοποιεί macOS 12 ή μεταγενέστερη έκδοση, πιέστε Option+Shift+Return για να αποκαλύψετε το πεδίο εισαγωγής για το προσωπικό κλειδί ανάκτησης (PRK), πατήστε Return (ή κάντε κλικ στο βέλος), και στη συνέχεια το macOS εκκινείται.
Υπάρχει μόνο ένα προσωπικό κλειδί ανάκτησης (PRK) ανά κρυπτογραφημένο τόμο, και κατά τη διάρκεια της ενεργοποίησης FileVault από το MDM, μπορεί προαιρετικά να αποκρυφτεί από τον χρήστη. Όταν έχει διαμορφωθεί για μεσεγγύηση στην MDM, η MDM παρέχει στο Mac ένα δημόσιο κλειδί σε μορφή πιστοποιητικού που στη συνέχεια χρησιμοποιείται για ασύμμετρη κρυπτογράφηση του προσωπικού κλειδιού ανάκτησης (PRK) σε μορφή φακέλου CMS. Το κρυπτογραφημένο προσωπικό κλειδί ανάκτησης (PRK) επιστρέφεται στη λύση MDM στο ερώτημα πληροφοριών ασφάλειας που μπορεί στη συνέχεια να αποκρυπτογραφηθεί για προβολή από έναν οργανισμό. Καθώς η κρυπτογράφηση είναι ασύμμετρη, η ίδια η MDM μπορεί να μην μπορεί να αποκρυπτογραφήσει το PRK (και συνεπώς θα απαιτούνται επιπλέον βήματα από έναν διαχειριστή). Ωστόσο, πολλοί προμηθευτές MDM παρέχουν την επιλογή διαχείρισης αυτών των κλειδιών για να επιτρέπεται η απευθείας προβολή στα προϊόντα τους. H MDM μπορεί επίσης να περιστρέφει προαιρετικά τα PRK όσο συχνά απαιτείται για τη διατήρηση μιας ισχυρής στάσης ασφάλειας –για παράδειγμα, μετά τη χρήση ενός PRK για ξεκλείδωμα ενός τόμου.
Ένα PRK μπορεί να χρησιμοποιηθεί στη Λειτουργία δίσκου προορισμού σε υπολογιστές Mac χωρίς Apple Silicon για ξεκλείδωμα ενός τόμου:
1. Συνδέστε το Mac σε Λειτουργία δίσκου προορισμού σε ένα άλλο Mac που χρησιμοποιεί την ίδια ή νεότερη έκδοση macOS.
2. Ανοίξτε το Τερματικό, και μετά εκτελέσετε την ακόλουθη εντολή και αναζητήστε το όνομα του τόμου (συνήθως «Macintosh HD»). Θα πρέπει να λέει «Σημείο προσάρτησης: Μη προσαρτημένο» και «FileVault: Ναι (Κλειδωμένο)». Σημειώστε το αναγνωριστικό δίσκου τόμου APFS για τον τόμο, που θα μοιάζει με disk3s2 αλλά θα περιέχει πιθανότατα διαφορετικούς αριθμούς, π.χ. disk4s5.
diskutil apfs list3. Εκτελέστε την ακόλουθη εντολή και μετά αναζητήστε τον χρήστη προσωπικού κλειδιού ανάκτησης και σημειώστε το UUID που εμφανίζεται:
diskutil apfs listUsers /dev/<diskXsN>4. Εκτελέστε αυτήν την εντολή:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Στην προτροπή φράσης πρόσβασης, επικολλήστε ή εισαγάγετε το PRK και πιέστε Return. Ο τόμος προσαρτάται στο Finder.