Administración de FileVault en macOS
En macOS, las organizaciones pueden administrar FileVault mediante SecureToken o el identificador Bootstrap.
Utilizar el identificador seguro
Apple File System (APFS), en macOS 10.13 o versiones posteriores, cambia la forma en la que se generan las claves de encriptación de FileVault. En versiones anteriores de macOS en volúmenes CoreStorage, las claves utilizadas en el proceso de encriptación de FileVault se creaban cuando el usuario o la organización activaba FileVault en una Mac. En macOS en volúmenes APFS, las claves se generan ya sea durante la creación del usuario, al configurar la primera contraseña del usuario, o durante el primer inicio de sesión del usuario de la Mac. Esta implementación de las claves de encriptación, cuándo se generan, y la forma en la que se almacenan son parte de una función conocida como Identificador seguro. Específicamente, un identificador seguro es una versión encapsulada de una clave de encriptación clave (KEK) protegida por la contraseña del usuario.
Al implementar FileVault en APFS, el usuario puede:
Utilizar las herramientas y procesos existentes, como almacenar una clave personal de recuperación (PRK) con una solución de administración de dispositivos móviles (MDM) para tenerla en custodia.
Aplazar la activación de FileVault hasta que un usuario inicie o cierre sesión en la Mac.
Crear y usar una clave institucional de recuperación (IRK).
En macOS 11, establecer la contraseña inicial para el primer usuario en la Mac genera la concesión de un identificador seguro para el usuario. En algunos flujos de trabajo, puede que ese no sea el comportamiento deseado, como se explicó anteriormente, otorgar el primer identificador seguro habría requerido que la cuenta de usuario inicie sesión. Para evitar que esto suceda, agrega ;DisabledTags;SecureToken al atributo AuthenticationAuthority del usuario creado mediante programación antes de configurar la contraseña del usuario, como se muestra a continuación:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Utilizar el identificador Bootstrap
macOS 10.15 introduce una funcionalidad nueva, el identificador Bootstrap, para ayudar a otorgar un identificador seguro tanto a las cuentas móviles como a la cuenta de administrador opcional creada por la inscripción del dispositivo (“administrador administrado”). En macOS 11, un identificador Bootstrap puede otorgar un identificador seguro a cualquier usuario que inicie sesión en una computadora Mac, incluidas las cuentas de usuario locales. Para utilizar la funcionalidad del identificador Bootstrap de macOS 10.15 se requiere lo siguiente:
Que la Mac se inscriba en la MDM utilizando Apple School Manager o Apple Business Manager, lo que la convierte en supervisada
Soporte por parte del proveedor de la MDM
En macOS 10.15.4 o versiones posteriores, cuando inicia sesión un usuario que tiene el identificador seguro activado, se genera un identificador Bootstrap y se pone en custodia de la solución MDM (si la solución MDM admite la función). De ser necesario, también puede generarse un identificador Bootstrap y ponerse en custodia de la solución MDM usando la línea de comandos profiles.
En macOS 11, un identificador Bootstrap también se puede utilizar para más que sólo otorgar un identificador seguro a las cuentas de usuario. En computadoras Mac con Apple Chip, un identificador Bootstrap, si está disponible, se puede utilizar para autorizar la instalación de las extensiones del kernel y las actualizaciones de software cuando se administra mediante MDM.
Claves de recuperación institucionales o personales
Tanto en los volúmenes CoreStorage como en los APFS, FileVault admite el uso de una clave institucional de recuperación (IRK, antes conocida como la identidad maestra de FileVault) para desbloquear el volumen. Aunque una IRK resulta útil al realizar operaciones de línea de comandos para desbloquear un volumen o desactivar FileVault por completo, su utilidad para las organizaciones es limitada, especialmente en las versiones recientes de macOS. Aunado a esto, en computadoras Mac con Apple Chip, las IRK no proporcionan ningún valor funcional, por dos razones principales: primero, las IRK no se pueden usar para acceder a recoveryOS y, segundo, debido a que ya no se admite el modo de disco de destino, el volumen no se puede desbloquear conectándolo a otra Mac. Por estas y otras razones, ya no se recomienda el uso de una IRK para la administración institucional de FileVault en computadoras Mac. En su lugar, se debería usar una clave personal de recuperación (PRK).