Χρήση ασφαλούς διακριτικού, διακριτικού bootstrap και ιδιοκτησία τόμου σε αναπτύξεις
Ασφαλές διακριτικό
Το Apple File System (APFS) σε ένα Mac με macOS 10.13 ή μεταγενέστερη έκδοση αλλάζει τον τρόπο δημιουργίας κλειδιών κρυπτογράφησης FileVault. Σε προηγούμενες εκδόσεις του macOS σε τόμους CoreStorage, τα κλειδιά που χρησιμοποιούνταν στη διαδικασία κρυπτογράφησης FileVault παράγονταν όταν ένας χρήστης ή οργανισμός ενεργοποιούσε το FileVault σε Mac. Για υπολογιστές Mac με τόμους APFS, τα κλειδιά κρυπτογράφησης παράγονται κατά τη δημιουργία χρηστών, κατά τον καθορισμό του συνθηματικού του πρώτου χρήστη ή κατά την πρώτη είσοδο ενός χρήστη στο Mac. Αυτή η υλοποίηση των κλειδιών κρυπτογράφησης, ο χρόνος δημιουργίας τους, και ο τρόπος αποθήκευσής τους αποτελούν τμήμα μιας δυνατότητας που ονομάζεται ασφαλές διακριτικό. Συγκεκριμένα, ένα ασφαλές διακριτικό είναι μια έκδοση περικάλυψης ενός κλειδιού κρυπτογράφησης κλειδιών (KEK) που προστατεύεται από το συνθηματικό ενός χρήστη.
Κατά την ανάπτυξη του FileVault σε APFS, ο χρήστης μπορεί να συνεχίσει να κάνει τα εξής:
Χρησιμοποιήστε υπάρχοντα εργαλεία και διαδικασίες, π.χ. ένα προσωπικό κλειδί ανάκτησης (PRK), που μπορείτε να αποθηκεύσετε σε μια υπηρεσία διαχείρισης συσκευών για μεσεγγύηση
Δημιουργία και χρήση κλειδιού ανάκτησης του εκπαιδευτικού ιδρύματος (IRK)
Αναβολή ενεργοποίησης του FileVault μέχρι ένας χρήστης να πραγματοποιήσει είσοδο ή έξοδο από το Mac
Για Mac με macOS 11 ή μεταγενέστερη έκδοση, ο καθορισμός του αρχικού συνθηματικού για τον πρώτο χρήστη στο Mac έχει ως αποτέλεσμα την εκχώρηση ενός ασφαλούς διακριτικού στον συγκεκριμένο χρήστη. Σε κάποιες ροές εργασίας, αυτό μπορεί να μην είναι η επιθυμητή συμπεριφορά, διότι σε προηγούμενες εκδόσεις η εκχώρηση του πρώτου ασφαλούς διακριτικού απαιτούσε είσοδο στον λογαριασμό χρήστη. Αν δεν θέλετε να συμβαίνει αυτό, προσθέστε το ;DisabledTags;SecureToken στο προγραμματικά δημιουργημένο χαρακτηριστικό χρήστη AuthenticationAuthority πριν καθορίσετε το συνθηματικό του χρήστη, όπως φαίνεται παρακάτω:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Διακριτικό bootstrap
Σε Mac με macOS 10.15 ή μεταγενέστερη έκδοση, μπορείτε να χρησιμοποιήσετε το διακριτικό bootstrap και για άλλες λειτουργίες, πέρα από την εκχώρηση ασφαλών διακριτικών σε υπάρχοντες λογαριασμούς χρηστών. Σε υπολογιστή Mac με Apple Silicon –αν διατίθεται και όταν η διαχείρισή του γίνεται μέσω υπηρεσίας διαχείρισης συσκευών– μπορείτε να χρησιμοποιήσετε το διακριτικό bootstrap για τα εξής:
Επίβλεψη
Υποστήριξη από τον δημιουργό της υπηρεσίας διαχείρισης συσκευών
Σε ένα Mac με macOS 10.15.4 ή μεταγενέστερη έκδοση, όταν ένας χρήστης που έχει λάβει ένα ασφαλές διακριτικό πραγματοποιήσει είσοδο για πρώτη φορά, το macOS δημιουργεί ένα διακριτικό bootstrap και το εκχωρεί για μεσεγγύηση σε μια υπηρεσία διαχείρισης συσκευών. Μπορείτε επίσης να δημιουργήσετε ένα διακριτικό bootstrap και να το θέσετε προς μεσεγγύηση σε μια υπηρεσία χρησιμοποιώντας το εργαλείο γραμμής εντολών profiles, αν χρειαστεί.
Σε Mac με macOS 11 ή μεταγενέστερη έκδοση, μπορείτε να χρησιμοποιήσετε το διακριτικό bootstrap και για άλλες λειτουργίες, πέρα από την εκχώρηση ασφαλών διακριτικών σε υπάρχοντες λογαριασμούς χρηστών. Σε υπολογιστή Mac με Apple Silicon –αν διατίθεται και όταν η διαχείρισή του γίνεται μέσω υπηρεσίας διαχείρισης συσκευών– μπορείτε να χρησιμοποιήσετε το διακριτικό bootstrap για τα εξής:
Εξουσιοδότηση της εγκατάστασης ενημερώσεων λογισμικού.
Αθόρυβη εξουσιοδότηση μιας εντολής διαχείρισης συσκευών Σβησίματος όλου του περιεχομένου και των ρυθμίσεων (macOS 12.0.1 ή μεταγενέστερη έκδοση).
Δημιουργία νέων χρηστών κατά την πρώτη τους είσοδο με την Ενιαία σύνδεση πλατφόρμας (macOS 13 ή μεταγενέστερη έκδοση).
Ιδιοκτησία τόμου
Οι υπολογιστές Mac με Apple silicon εισάγουν την έννοια της ιδιοκτησίας τόμου. Η ιδιοκτησία τόμου στο πλαίσιο ενός οργανισμού δεν είναι συνδεδεμένη με την πραγματική νόμιμη ιδιοκτησία ή αλυσίδα επιτήρησης του Mac. Αντ' αυτού, η ιδιοκτησία τόμου μπορεί να οριστεί σε γενικές γραμμές ως ο πρώτος χρήστης που διεκδίκησε ένα Mac διαμορφώνοντάς το για δική του χρήση, μαζί με τυχόν πρόσθετους χρήστες. Πρέπει να είστε ιδιοκτήτης τόμου για πραγματοποίηση αλλαγών στην πολιτική ασφάλειας εκκίνησης για μια συγκεκριμένη εγκατάσταση του macOS, για εξουσιοδότηση της εγκατάστασης ενημερώσεων και αναβαθμίσεων λογισμικού macOS, για εκκίνηση της εντολής Σβησίματος όλου του περιεχομένου και των ρυθμίσεων στο Mac, και πολλά άλλα. Η πολιτική ασφάλειας εκκίνησης καθορίζει τους περιορισμούς για το ποιες εκδόσεις του macOS μπορούν να εκκινηθούν, καθώς και για το πώς και αν μπορεί να γίνει φόρτωση ή διαχείριση των επεκτάσεων πυρήνα.
Ο πρώτος χρήστης που διεκδίκησε ένα Mac διαμορφώνοντάς το για δική του χρήση λαμβάνει ένα ασφαλές διακριτικό σε ένα Mac με Apple Silicon και γίνεται ο πρώτος ιδιοκτήτης τόμου. Όταν ένα διακριτικό bootstrap είναι διαθέσιμο και χρησιμοποιείται, γίνεται επίσης ο ιδιοκτήτης τόμου και στη συνέχεια παραχωρεί την κατάσταση ιδιοκτησίας τόμου σε επιπρόσθετους λογαριασμούς καθώς τους παραχωρεί ασφαλή διακριτικά. Καθώς και ο πρώτος χρήσης στον οποίο εκχωρείται ένα ασφαλές διακριτικό και το διακριτικό bootstrap γίνονται ιδιοκτήτες τόμου, σε συνδυασμό με τη δυνατότητα του διακριτικού bootstrap να εκχωρεί ασφαλή διακριτικά σε επιπρόσθετους χρήστες (συνεπώς και την κατάσταση ιδιοκτησίας τόμου), η ιδιοκτησία τόμου δεν θα πρέπει να είναι κάτι που χρειάζεται ενεργή διαχείριση ή χειρισμό σε έναν οργανισμό. Τα προηγούμενα θέματα διαχείρισης και εκχώρησης ασφαλών διακριτικών θα πρέπει σε γενικές γραμμές να αντιστοιχούν στην κατάσταση ιδιοκτησίας τόμου.
Υπάρχει δυνατότητα να είναι κάποιος ιδιοκτήτης τόμου αλλά όχι διαχειριστής, αλλά ορισμένες εργασίες απαιτούν τον έλεγχο ιδιοκτησίας και για τους δύο ρόλους. Για παράδειγμα, η τροποποίηση των ρυθμίσεων ασφάλειας εκκίνησης απαιτεί να είναι ο χρήστης και διαχειριστής και ιδιοκτήτης τόμου, ενώ η εξουσιοδότηση ενημερώσεων λογισμικού μπορεί να γίνει από τυπικούς χρήστες και απαιτεί μόνο ιδιοκτησία.
Για να δείτε την τρέχουσα λίστα ιδιοκτητών τόμου σε έναν υπολογιστή Mac με Apple Silicon, μπορείτε να εκτελέσετε την ακόλουθη εντολή:
sudo diskutil apfs listUsers /Τα GUID που παρατίθενται στην έξοδο της εντολής diskutil του τύπου «Τοπικός χρήστης Open Directory» αντιστοιχίζονται με τα χαρακτηριστικά GeneratedUID των εγγραφών χρηστών στο Open Directory. Για να βρείτε έναν χρήστη με το GeneratedUID, χρησιμοποιήστε την ακόλουθη εντολή:
dscl . -search /Users GeneratedUID <GUID>Μπορείτε επίσης να χρησιμοποιήσετε την ακόλουθη εντολή για να δείτε μαζί τα ονόματα χρηστών και τα GUID:
sudo fdesetup list -extendedΗ ιδιοκτησία υποστηρίζεται από κρυπτογραφία που προστατεύεται στο Secure Enclave. Για περισσότερες πληροφορίες, δείτε:
Χρήση του εργαλείου γραμμής εντολών
Τα εργαλεία γραμμής εντολών είναι διαθέσιμα για τη διαχείριση διακριτικών bootstrap και ασφαλών διακριτικών. Συνήθως, το macOS δημιουργεί το διακριτικό bootstrap και το εκχωρεί στην υπηρεσία διαχείρισης συσκευών για μεσεγγύηση κατά τη διαδικασία διαμόρφωσης macOS, αφού η υπηρεσία ενημερώσει το Mac ότι υποστηρίζει αυτήν τη δυνατότητα. Ωστόσο, μπορείτε επίσης να δημιουργήσετε ένα διακριτικό bootstrap σε Mac που έχει ήδη αναπτυχθεί. Σε Mac με macOS 10.15.4 ή μεταγενέστερη έκδοση, το macOS δημιουργεί ένα διακριτικό bootstrap και το εκχωρεί για μεσεγγύηση στην υπηρεσία κατά την πρώτη είσοδο από οποιονδήποτε χρήστη που έχει τη δυνατότητα λήψης ασφαλούς διακριτικού (αν η υπηρεσία υποστηρίζει τη δυνατότητα). Αυτό μειώνει την ανάγκη χρήσης του εργαλείου γραμμής εντολών profiles μετά τη διαμόρφωση της συσκευής για δημιουργία και εκχώρηση προς μεσεγγύηση ενός διακριτικού bootstrap στην υπηρεσία.
Το εργαλείο γραμμής εντολών profiles διαθέτει ποικίλες επιλογές για αλληλεπίδραση με το διακριτικό bootstrap:
sudo profiles install -type bootstraptoken: Αυτή η εντολή δημιουργεί ένα νέο διακριτικό bootstrap και το εκχωρεί στην υπηρεσία διαχείρισης συσκευών για μεσεγγύηση. Αυτή η εντολή απαιτεί πληροφορίες υπάρχοντος διαχειριστή ασφαλών διακριτικών για την αρχική δημιουργία του διακριτικού bootstrap, και η υπηρεσία πρέπει να υποστηρίζει τη δυνατότητα.sudo profiles remove -type bootstraptoken: Αφαιρεί το υπάρχον διακριτικό bootstrap από το Mac και την υπηρεσία διαχείρισης συσκευών.sudo profiles status -type bootstraptoken: Υποδεικνύει αν η υπηρεσία διαχείρισης συσκευών υποστηρίζει τη δυνατότητα «Διακριτικό bootstrap» και ποια είναι η τρέχουσα κατάσταση του διακριτικού bootstrap στο Mac.sudo profiles validate -type bootstraptoken: Υποδεικνύει αν η υπηρεσία διαχείρισης συσκευών υποστηρίζει τη δυνατότητα «Διακριτικό bootstrap» και ποια είναι η τρέχουσα κατάσταση του διακριτικού bootstrap στο Mac.
εργαλείο γραμμής εντολών sysadminctl
Το εργαλείο γραμμής εντολών sysadminctl μπορεί να χρησιμοποιηθεί συγκεκριμένα για τροποποίηση της κατάστασης ασφαλούς διακριτικού για λογαριασμούς χρηστών σε υπολογιστή Mac. Αυτό πρέπει να γίνεται με προσοχή και μόνο όταν είναι απαραίτητο. Η αλλαγή της κατάστασης ασφαλούς διακριτικού ενός χρήστη μέσω του sysadminctl απαιτεί πάντα το όνομα χρήστη και το συνθηματικό ενός υπάρχοντος διαχειριστή με δυνατότητα ασφαλούς διακριτικού, είτε διαδραστικά είτε μέσω των κατάλληλων σημαιών στην εντολή. Τόσο το sysadminctl όσο και οι Ρυθμίσεις συστήματος (macOS 13 ή μεταγενέστερη έκδοση) ή οι Προτιμήσεις συστήματος (macOS 12.0.1 ή προγενέστερη έκδοση) αποτρέπουν τη διαγραφή του τελευταίου διαχειριστή ή χρήστη με δυνατότητα ασφαλούς διακριτικού σε Mac. Αν η δημιουργία πρόσθετων τοπικών χρηστών βασίζεται σε σκριπτ με το sysadminctl, για να έχουν τη δυνατότητα ασφαλούς διακριτικού οι συγκεκριμένοι χρήστες, πρέπει να εισαχθούν τα διακριτικά τρέχοντος διαχειριστή με δυνατότητα ασφαλούς διακριτικού είτε διαδραστικά είτε απευθείας με τις σημαίες -adminUser και -adminPassword μαζί με το sysadminctl.
Σε Mac με macOS 11 ή μεταγενέστερη έκδοση, αν το macOS δεν εκχωρήσει ένα ασφαλές διακριτικό κατά τη δημιουργία, και αν ένα διακριτικό bootstrap είναι διαθέσιμο από την υπηρεσία διαχείρισης συσκευών, εκχωρεί ένα ασφαλές διακριτικό στον τοπικό χρήστη κατά την είσοδό του. Χρησιμοποιήστε το sysadminctl -h για πρόσθετες οδηγίες χρήσης.