Administrar FileVault con una solución de administración de dispositivos móviles
La encriptación de disco entero de FileVault se puede administrar en organizaciones mediante una solución de administración de dispositivos móvil (MDM) o, en el caso de algunas implementaciones y configuraciones avanzadas, la herramienta de línea de comandos fdesetup
. Al método de administrar FileVault mediante una solución de MDM se le conoce como activación con retraso y requiere un evento de cierre de sesión o inicio de sesión del usuario. La solución MDM puede personalizar opciones como las siguientes:
Cuántas veces puede un usuario aplazar la activación de FileVault;
Si se pregunta al usuario al cerrar la sesión, además de preguntarle al iniciar la sesión;
Si se muestra la clave de recuperación al usuario;
Qué certificado se usa para encriptar asimétricamente la clave de recuperación para la custodia en la solución MDM.
Para que un usuario pueda desbloquear el almacenamiento en los volúmenes APFS, el usuario debe tener un identificador seguro; en una Mac con Apple Chip, el usuario debe ser propietario de volumen. Para obtener más información sobre los identificadores seguros y la propiedad de volúmenes, consulta Usar identificadores seguros, identificadores de arranque y propiedad de volúmenes en las implementaciones. A continuación se proporciona información sobre cómo y cuándo se les otorga a los usuarios identificadores seguros en flujos de trabajo específicos.
Imponer FileVault en Asistente de Configuración
Mediante la clave ForceEnableInSetupAssistant
, se puede requerir a las computadoras Mac que activen FileVault durante el Asistente de Configuración. Esto asegura que el almacenamiento interno en computadoras Mac administradas esté siempre encriptado antes de usarlo. Las organizaciones pueden decidir mostrar la clave de recuperación de FileVault al usuario o custodiar la clave de recuperación personal. Para usar esta función, asegúrate de que await_device_configured
esté configurada.
Nota: Para que esta característica funcione en versiones anteriores a macOS 14.4, la cuenta de usuario que se creó de forma interactiva durante el Asistente de Configuración debe tener el rol de administrador.
Cuando un usuario configura una Mac por su cuenta
Cuando un usuario configura una Mac por su cuenta, los departamentos de TI no realizan la configuración del dispositivo en persona. Todas las políticas y configuraciones se proporcionan utilizando una solución MDM o herramientas de administración de configuraciones. Se utiliza Asistente de Configuración para crear la primera cuenta de local, y el usuario recibe un identificador seguro. Si la solución de MDM es compatible con la función identificador de arranque e informa a la Mac durante la inscripción en MDM, la Mac genera un identificador de arranque que se custodia en la solución de MDM.
Si la Mac está inscrita en una solución MDM, puede que la cuenta inicial no sea una cuenta de administrador local, sino una cuenta de usuario estándar local. Si se degrada la cuenta del usuario a una cuenta estándar utilizando una solución de MDM, el usuario recibe automáticamente un identificador seguro. Si se degrada al usuario, en macOS 10.15.4 o versiones posteriores se genera automáticamente un identificador de arranque y se pone en custodia de la solución MDM si esta es compatible con la función.
Si se omite por completo la creación de una cuenta de usuario local en Asistente de Configuración mediante MDM y, en vez de eso, se usa un servicio de directorio con cuentas móviles, se otorga el identificador seguro a la cuenta de usuario móvil durante el inicio de sesión. Con una cuenta móvil, después de que se activa el identificador seguro para el usuario, en macOS 10.15.4 o posterior, se genera automáticamente un identificador de arranque durante el segundo inicio de sesión del usuario y se pone en custodia de la solución MDM si esta es compatible con la función.
En cualquiera de los casos anteriores, dado que al primer y principal usuario se le otorga un identificador seguro, se pueden habilitar para usar FileVault utilizando la activación con retraso. La activación con retraso permite a la organización activar FileVault, pero retrasa su activación hasta que un usuario inicie o cierre sesión en la Mac. También es posible permitir que el usuario decida si se omite la activación de FileVault (de manera opcional, un número de veces definido). El resultado final es que el usuario principal de la Mac, ya sea un usuario local de cualquier tipo o una cuenta móvil, podrá desbloquear el dispositivo de almacenamiento cuando esté encriptado con FileVault.
En las computadoras Mac en las que se generó un identificador de arranque y se custodia en una solución de MDM, si otro usuario inicia sesión en la Mac en una fecha y hora futuras, el identificador de arranque se utiliza para otorgar automáticamente un identificador seguro. Esto significa que la cuenta también está habilitada para FileVault y puede desbloquear el volumen de FileVault. Para anular la capacidad de desbloquear el dispositivo de almacenamiento de un usuario, usa fdesetup remove -user
.
Cuando una organización provee una Mac
Cuando una organización provee una Mac antes de entregársela a un usuario, el departamento de TI configura el dispositivo. La cuenta administrativa local, creada en Asistente de Configuración o proporcionada mediante MDM, se utiliza para asignar o configurar la Mac, y se concede el primer identificador seguro durante el inicio de sesión. Si la solución MDM es compatible con la funcionalidad del identificador de arranque, también se genera un identificador de arranque y se pone en custodia de la solución MDM.
Si la Mac se conecta a un servicio de directorio y está configurada para crear cuentas móviles y no hay un identificador de arranque, los usuarios del servicio de directorio tendrán que ingresar un nombre de usuario y contraseña de administrador de identificador seguro existente cuando inicien sesión por primera vez para otorgar un identificador seguro a su cuenta. Se deberá ingresar las credenciales de un administrador local con identificador seguro activado. Si no se requiere un identificador seguro, el usuario puede hacer clic en Omitir. En macOS 10.13.5 y versiones posteriores, es posible omitir el cuadro de diálogo del identificador seguro por completo si no se va a usar FileVault con las cuentas móviles. Para omitir el cuadro de diálogo del identificador seguro, aplica un perfil de configuración personalizado de la solución MDM con las siguientes claves y valores:
Configuración | Valor | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Dominio | com.apple.MCX | ||||||||||
Clave | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valor | Verdadero |
Si la solución MDM es compatible con la funcionalidad del identificador de arranque y la Mac generó uno y lo puso en custodia de la solución MDM, los usuarios con cuenta móvil no verán este mensaje. En lugar de eso, se les otorgará un identificador seguro automáticamente durante el inicio de sesión.
Si se requieren más usuarios locales en la Mac en lugar de cuentas de usuarios de un servicio de directorio, a esos usuarios locales se les brinda automáticamente un identificador seguro cuando un administrador con identificador seguro activado los crea desde el panel Usuarios y grupos (en Configuración del Sistema en macOS 13 o posterior, o en Preferencias del Sistema en macOS 12.0.1 o anterior). Para crear usuarios locales usando la línea de comandos, se puede usar la herramienta de línea de comandos sysadminctl
y, opcionalmente, activarlos para usar el identificador seguro. Incluso si no se otorga un identificador seguro durante el proceso de creación, cuando un usuario local inicia sesión en una Mac con macOS 11 o posterior, se le otorga un identificador seguro durante el proceso si hay un identificador de arranque disponible en la solución MDM.
En estas situaciones, los siguientes usuarios pueden desbloquear el volumen encriptado con FileVault:
El primer administrador local usado para la instalación;
Cualquier usuario de un servicio de directorio adicional al que se le haya concedido un identificador seguro durante el proceso de inicio de sesión, ya sea de forma interactiva mediante el cuadro de diálogo o automáticamente con el identificador de arranque
Todos los usuarios locales nuevos.
Para anular la capacidad de desbloquear el dispositivo de almacenamiento de un usuario, usa fdesetup remove -user
.
Cuando se usa uno de los flujos de trabajo descritos arriba, el identificador seguro es administrado por macOS sin ninguna configuración o secuencia de comandos adicional; se convierte en un detalle de implementación y no en algo que deba administrarse o manipularse activamente.
Herramientas de línea de comandos fdesetup
Se pueden usar las configuraciones de MDM o la herramienta de línea de comandos fdesetup
para configurar FileVault. En macOS 10.15 y versiones posteriores, utilizar fdesetup
para activar FileVault proporcionando el nombre de usuario y la contraseña es un método obsoleto y no será reconocido en una futura versión. El comando sigue funcionando, pero es obsoleto en macOS 11 y macOS 12.0.1. Considera la posibilidad de utilizar la activación con retraso utilizando una solución de MDM. Para obtener más información sobre la herramienta de línea de comandos fdesetup
, abre la app Terminal e ingresa man fdesetup
o fdesetup help
.
Diferencias entre las claves de recuperación institucionales y las personales
FileVault en volúmenes CoreStorage y APFS admite usar una clave de recuperación institucional (IRK, anteriormente denominada identidad principal de FileVault) para desbloquear el volumen. Aunque la IRK es útil para usar operaciones de línea de comandos a fin de desbloquear un volumen o desactivar FileVault, su utilidad resulta limitada para las organizaciones, en especial en las últimas versiones de macOS. Y en una Mac con Apple Chip, las IRK no aportan ningún valor funcional por dos razones principales: En primer lugar, las IRK no pueden usarse para acceder a recoveryOS y, en segundo lugar, como el modo de disco de destino ya no es compatible, el volumen no puede desbloquearse conectándolo a otra Mac. Por esos motivos y más, ya no se recomienda usar una IRK para la administración de instituciones de FileVault en computadoras Mac. En su lugar, debe usarse una clave de recuperación personal (PRK). La PRK proporciona lo siguiente:
Un mecanismo muy sólido de recuperación y acceso al sistema operativo
Encriptación única por volumen
Custodia en la solución MDM
Rotación fácil después del uso
Se puede usar una clave de recuperación (PRK) en recoveryOS o para arrancar macOS directamente en una Mac encriptada (si es una Mac con Apple Chip, se requiere macOS 12.0.1 o posterior). En recoveryOS, la PRK se puede usar si lo pide el Asistente de Recuperación o con la opción ¿Olvidaste todas las contraseñas? para acceder al entorno de recuperación que también desbloquea el volumen. Al usar la opción ¿Olvidaste todas las contraseñas?, no es necesario restablecer la contraseña de un usuario; se puede hacer clic en el botón Salir para arrancar directamente en recoveryOS. Para arrancar macOS directamente en computadoras Mac con procesador Intel, haz clic en el símbolo de interrogación junto al campo de contraseña y enseguida selecciona Cambiarla mediante la clave de recuperación. Ingresa la PRK y presiona Retorno, o haz clic en la flecha. Después de que macOS arranque, presiona Cancelar en el cuadro de diálogo que aparece. En una Mac con Apple Chip y macOS 12.0.1 o posterior, presiona Opción + Mayús + Retorno para abrir el campo de entrada de la PRK, presiona la tecla Intro (o haz clic en la flecha).
Sólo hay una PRK por volumen encriptado; al activar FileVault desde la solución de MDM, se puede ocultar del usuario opcionalmente. Si se configura para ponerse en custodia de la solución de MDM, esta proporciona a la Mac una clave pública como un certificado, el cual se utiliza para encriptar de forma asimétrica la PRK en un formato de sobre CMS. La PRK encriptada se devuelve a la solución de MDM en la consulta de información de seguridad que después se puede desencriptar para que la vea una organización. Dado que la encriptación es asimétrica, es posible que la solución MDM no pueda descifrar la PRK (y, por lo tanto, requeriría que un administrador realice pasos adicionales). Sin embargo, muchos proveedores de MDM ofrecen la opción de administrar estas claves para permitir su visualización directamente en sus productos. Opcionalmente, la solución de MDM también puede rotar las PRK con la frecuencia que se requiera para ayudar a mantener una seguridad de alto nivel (por ejemplo, después de usar una PRK para desbloquear un volumen).
Se puede usar una PRK en modo de disco de destino en las computadoras Mac sin Apple Chip para desbloquear un volumen:
1. Conecta la Mac en modo de disco de destino a otra Mac que tiene la misma versión o una versión más nueva de macOS.
2. Abre la app Terminal, ejecuta el siguiente comando y busca el nombre del volumen (normalmente es “Macintosh HD”). Debería aparecer “Punto de montaje: no montado”, y “FileVault: sí (bloqueado)”. Apunta el identificador de disco del volumen APFS, el cual puede ser algo parecido a disk3s2 pero con números diferentes; por ejemplo, disk4s5.
diskutil apfs list
3. Ejecuta el siguiente comando, busca el usuario de la clave de recuperación personal y toma nota del UUID que aparece:
diskutil apfs listUsers /dev/<diskXsN>
4. Ejecuta este comando:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>
5. Cuando se pida la contraseña, pega o ingresa la PRK y luego presiona Retorno. El volumen está montado en el Finder.