Gestionar FileVault con el servicio de gestión de dispositivos
Las organizaciones pueden gestionar la encriptación total del disco con FireVault mediante un servicio de gestión de dispositivos o, para algunas implementaciones y configuraciones avanzadas, con la herramienta de línea de comandos fdesetup. La gestión de FileVault mediante un servicio de gestión de dispositivos se conoce como activación diferida y requiere un evento de inicio o cierre de sesión por parte del usuario. Un servicio de gestión de dispositivos también puede personalizar opciones como:
El número de veces que un usuario puede posponer la activación de FileVault
Si pedir al usuario que cierre la sesión además de que inicie la sesión
Si mostrar al usuario una clave de recuperación
El certificado que se usará para encriptar asimétricamente la clave de recuperación para custodia al servicio de gestión de dispositivos
Hacer que un usuario pueda desbloquear el almacenamiento en volúmenes APFS requiere que tenga un identificador seguro y, en un Mac con chip de Apple, que tenga la propiedad del volumen. Para obtener más información sobre los identificadores seguros y la propiedad de los volúmenes, consulta Usar identificadores seguros, de arranque y de propiedad de volúmenes en las implementaciones. A continuación se ofrece información sobre cómo y cuándo se conceden a los usuarios identificadores seguros en flujos de trabajo específicos.
Imponer FileVault en el asistente de configuración
Si se usa la clave ForceEnableInSetupAssistant, puede que los ordenadores Mac tengan que activar FileVault durante el asistente de configuración. Esto garantiza que el almacenamiento interno de los ordenadores Mac gestionados esté siempre encriptado antes de usarse. Las organizaciones pueden decidir si mostrar o no la clave de recuperación de FileVault al usuario o permitir la custodia de la clave de recuperación personal. Para usar esta función, asegúrate de que await_device_configured esté configurado.
Nota: En las versiones anteriores a macOS 14.4, esta prestación requería que la cuenta de usuario creada de manera interactiva durante el asistente de configuración tuviera la función de administrador.
Cuando un usuario configura un Mac por su cuenta
Nota: El servicio de gestión de dispositivos tiene que admitir funciones específicas para que los identificadores seguros y de arranque funcionen con un Mac.
Cuando un usuario configura un Mac por su cuenta, los departamentos de TI no realizan ninguna tarea de suministro en el dispositivo en sí. Tú proporcionas todas las políticas y configuraciones mediante un servicio de gestión de dispositivos o herramientas de gestión de configuración. El asistente de configuración crea la cuenta local inicial y otorga al usuario un identificador seguro, mientras que el Mac genera un identificador de arranque que custodia en el servicio de gestión de dispositivos.
Si el Mac se inscribe en un servicio de gestión de dispositivos, la cuenta inicial puede no ser una cuenta de administrador local, sino una cuenta de usuario estándar local. Si cambias la cuenta del usuario por otra de tipo estándar mediante un servicio, el usuario recibe automáticamente un identificador seguro. En un Mac con macOS 10.15.4 o posterior, si cambias el usuario por uno inferior, macOS genera automáticamente un identificador de arranque que custodia en el servicio de gestión del dispositivo.
Si omites la creación de una cuenta de usuario local en el asistente de configuración mediante un servicio de gestión de dispositivos y, en su lugar, se usa un servicio de directorio con cuentas móviles, el servicio otorga un identificador seguro al usuario de la cuenta móvil durante el inicio de sesión. En un Mac con macOS 10.15.4 o versiones posteriores, una vez que el usuario se activa con una cuenta móvil, macOS genera automáticamente un identificador de arranque durante el segundo inicio de sesión del usuario, que se custodia en el servicio de gestión de dispositivos.
Si un servicio de gestión de dispositivos omite la creación de una cuenta de usuario local en el asistente de configuración y en su lugar usa un servicio de directorio con cuentas móviles, el servicio de gestión de dispositivos otorga al usuario un identificador seguro al iniciar sesión. En un Mac con macOS 10.15.4 o posterior, si el usuario móvil tiene un identificador seguro, macOS genera automáticamente un identificador de arranque que custodia en el servicio de gestión del dispositivo.
En cualquiera de los casos anteriores, dado que macOS otorga al primer usuario y principal un identificador seguro, este puede activar FileVault mediante la activación con retraso, lo que te permite activar FileVault, pero retrasar su funcionamiento hasta que un usuario inicie o cierre sesión en un Mac. También puedes elegir si el usuario puede omitir la activación de FileVault (de manera opcional, un número de veces definido). Esto permite al usuario principal del Mac, ya sea un usuario local (del tipo que sea) o una cuenta móvil, desbloquear el volumen FileVault.
En un Mac en el que macOS genera un identificador de arranque y lo custodia en un servicio de gestión de dispositivos, si otro usuario inicia sesión en el Mac en el futuro, macOS usa el identificador de arranque para otorgarle automáticamente un identificador seguro. Esto significa que la cuenta también se habilita para FileVault y puede desbloquear el volumen FileVault. Si quieres quitar al usuario la capacidad de desbloquear el dispositivo de almacenamiento, utiliza el comando fdesetup remove -user.
Cuando una organización instala un Mac
Cuando una organización instala un Mac antes de entregárselo a un usuario, el departamento de TI configura el dispositivo. Se usa la cuenta administrativa local, que se crea en el asistente de configuración o mediante un servicio de gestión de dispositivos, para aprovisionar o configurar el Mac, y el sistema operativo le otorga el primer identificador seguro durante el inicio de sesión. Si el servicio admite la función de identificador de arranque, el sistema operativo también genera un identificador de arranque y lo custodia.
Si el Mac se conecta a un servicio de directorio y está configurado para crear cuentas móviles, y no hay ningún identificador de arranque, a los usuarios del servicio de directorio que inicien sesión por primera vez se les pedirá un nombre de usuario y contraseña de administrador para otorgar un identificador seguro a esta cuenta. Deben introducir las credenciales de un administrador local con identificador seguro activado. Si no se requiere un identificador seguro, el usuario puede hacer clic en Omitir. En un Mac con macOS 10.13.5 o posterior, si no vas a utilizar FileVault con las cuentas móviles, es posible suprimir por completo el cuadro de diálogo de identificador seguro. Para suprimir el cuadro de diálogo de identificador seguro, aplica un perfil de configuración de ajustes personalizados en el servicio de gestión de dispositivos con las claves y los valores siguientes:
Ajuste | Valor | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Dominio | com.apple.MCX | ||||||||||
Clave | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valor | Verdadero | ||||||||||
Si el servicio de gestión de dispositivos es compatible con la función de identificador de arranque y el Mac genera uno que pasa a ser custodiado por el servicio, los usuarios de cuentas móviles no verán este mensaje. En su lugar, macOS les otorga automáticamente un identificador seguro durante el inicio de sesión.
Si se requieren usuarios locales adicionales en el Mac en lugar de cuentas de usuario de un servicio de directorio, macOS les otorga automáticamente un identificador seguro cuando un administrador autorizado de identificadores seguros los crea en “Usuarios y grupos” (en Ajustes del Sistema en macOS 13 o posterior, o en Preferencias del Sistema en macOS 12.0.1 o anterior). Cuando se crean usuarios locales con la línea de comandos, el administrador puede usar la herramienta de línea de comandos sysadminctl para crearlos y, opcionalmente, activarlos para usar identificadores seguros. En un Mac con macOS 11 o posterior, si macOS no otorga un identificador seguro en el momento de la creación y si el servicio de gestión de dispositivos proporciona un identificador de arranque, se otorgará un identificador seguro al usuario local cuando inicie sesión.
En estos casos, los siguientes usuarios pueden desbloquear el volumen encriptado con FileVault:
El administrador local original usado para la instalación.
Cualquier usuario adicional del servicio de directorio al que se le haya otorgado un identificador seguro durante el proceso de inicio de sesión ya sea de forma interactiva mediante el cuadro de diálogo o automáticamente con el identificador de arranque.
Los usuarios locales nuevos.
Si quieres quitar al usuario la capacidad de desbloquear el dispositivo de almacenamiento, utiliza el comando fdesetup remove -user.
Cuando se usa alguno de los procesos de trabajo descritos arriba, el identificador seguro está gestionado por macOS sin ninguna configuración o programación adicional; se convierte en un detalle de la implementación, no en algo que haya que gestionar o manipular activamente.
Herramienta de línea de comandos fdesetup
Puedes usar las configuraciones de gestión de dispositivos o la herramienta de línea de comandos fdesetup para configurar FileVault. En un Mac con macOS 10.15 o posterior, ya no está disponible el uso de fdesetup para activar FileVault introduciendo el nombre de usuario y la contraseña, método que ya no se reconocerá en una futura versión. El comando sigue funcionando pero continúa estando obsoleto en macOS 11 y macOS 12.0.1. Considera la posibilidad de usar la activación diferida de un servicio de gestión de dispositivos. Para obtener más información sobre la herramienta de línea de comandos fdesetup, abre la app Terminal e introduce man fdesetup o fdesetup help.
Claves de recuperación institucionales y personales
FileVault, en volúmenes CoreStorage y APFS, permite utilizar una clave de recuperación institucional (IRK, que antes se conocía como “Identidad maestra de FileVault”) para desbloquear el volumen. Aunque una IRK es útil para las operaciones de línea de comandos para desbloquear un volumen o desactivar FileVault al mismo tiempo, su utilidad para las organizaciones es limitada, sobre todo en versiones recientes de macOS. Además, en los ordenadores Mac con chip de Apple, las IRK no proporcionan ningún valor funcional por dos razones principales: En primer lugar, las IRK no se pueden usar para acceder a recoveryOS y, en segundo lugar, dado que ya no se acepta la “Modalidad de disco de destino”, el volumen no puede desbloquearse conectándolo a otro ordenador Mac. Por estos y otros motivos, ya no se recomienda usar IRK para la gestión institucional de FileVault en los ordenadores Mac. En su lugar, debería utilizarse una clave de recuperación personal (PRK). Una PRK:
proporciona un mecanismo muy sólido de recuperación y de acceso al sistema operativo,
proporciona una encriptación única por volumen,
Custodia en el servicio de gestión de dispositivos
permite una rotación de claves sencilla después de usarlas.
En un Mac con chip de Apple y macOS 12.0.1 o posterior, se puede usar una PRK en recoveryOS o para iniciar un Mac encriptado directamente en macOS. En recoveryOS, la PRK se puede utilizar si lo solicita Asistente de Recuperación, o mediante la opción “¿Has olvidado todas las contraseñas?” para obtener acceso al entorno de recuperación, que después también desbloquea el volumen. Si se utiliza la opción “¿Has olvidado todas las contraseñas?”, no se requiere restablecer la contraseña para un usuario; se puede hacer clic en el botón de salida para arrancar directamente en recoveryOS. Para iniciar sesión directamente en macOS en ordenadores Mac con procesador Intel, haz clic en el signo de interrogación que aparece junto al campo de contraseña y selecciona la opción “restablecerla mediante la clave de recuperación”. Introduce la PRK y, a continuación, pulsa la tecla Intro o haz clic en la flecha. Después de arrancar macOS, pulsa Cancelar en el cuadro de diálogo de cambiar la contraseña.
En un Mac con chip de Apple y macOS 12.0.1 o posterior, también puedes pulsar Opción + Mayúsculas + Retorno para mostrar el campo de entrada de la PRK y, a continuación, pulsar la tecla Intro (o hacer clic en la flecha).
Solo hay una PRK por volumen encriptado y, durante la activación de FileVault desde un servicio de gestión de dispositivos, existe la opción de ocultarla al usuario. Al configurarlo para custodiarlo en un servicio de gestión de dispositivos, este proporciona al Mac una clave pública en forma de certificado que este utiliza para encriptar de forma asimétrica la PRK en un formato de sobre CMS. La PRK encriptada se devuelve al servicio en la consulta de información de seguridad, que después una organización puede desencriptar para visualizarla. Dado que el encriptado es asimétrico, es posible que el propio servicio no pueda descifrar la PRK (lo que podría requerir pasos adicionales por parte de un administrador). No obstante, muchos desarrolladores de servicios de gestión de dispositivos ofrecen la opción de gestionar estas llaves para permitir su visualización directamente en sus productos. El servicio de gestión de dispositivos también puede rotar las PRK con la frecuencia que sea necesaria para ayudar a mantener un nivel de seguridad óptimo (por ejemplo, después de usar una PRK para desbloquear un volumen).
Para desbloquear un volumen se puede usar una PRK en modalidad de disco de destino en los ordenadores Mac que no tienen chip de Apple:
1. Conecta el Mac en modo de disco de destino a otro Mac que utilice la misma versión de macOS u otra más reciente.
2. Abre el Terminal y ejecuta el comando siguiente para buscar el nombre del volumen (normalmente es “Macintosh HD”). Debería decir “Mount Point: Not Mounted” y “FileVault: Yes (Locked)”. Toma nota del ID de disco del volumen APFS para el volumen, que tiene un formato parecido a disk3s2, pero probablemente con números diferentes (por ejemplo, disk4s5).
diskutil apfs list3. Ejecuta el comando siguiente, busca el usuario de la clave de recuperación personal y, a continuación, toma nota del UUID que se indique:
diskutil apfs listUsers /dev/<diskXsN>4. Ejecuta este comando:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Cuando se te pida la contraseña, pega o introduce la PRK y, a continuación, pulsa Intro. El volumen aparece montado en el Finder.