Usar identificadores seguros, identificadores de arranque y propiedad de volúmenes en las implementaciones
Identificador seguro
El sistema de archivos de Apple (APFS) en macOS 10.13 o posterior cambia cómo se generan las claves de encriptación de FileVault. En los volúmenes CoreStorage de las versiones anteriores de macOS, las claves usadas en proceso de encriptación de FileVault se creaban cuando un usuario u organización activaba FileVault en una Mac. En los volúmenes APFS de macOS, las claves de encriptación se generan, ya sea, durante la creación y configuración del primer usuario, o durante el primer inicio de sesión de un usuario de la Mac. Esta implementación de las claves de encriptación, cuándo se generan y cómo se almacenan, forman parte de una función conocida como identificador seguro. Concretamente, un identificador seguro es una versión protegida de una clave de encriptación de claves (KEK) protegida por la contraseña de un usuario.
Al implementar FileVault en APFS, el usuario puede seguir realizando lo siguiente:
Usar los procesos y herramientas existentes, como custodiar la clave de recuperación personal (PRK) en una solución de administración de dispositivos móviles (MDM).
Crear y usar una clave de recuperación institucional (IRK).
Aplicar la activación con retraso de FileVault hasta que un usuario inicie o cierre sesión en la Mac.
En macOS 11 o posterior, al establecer la contraseña inicial del primer usuario de una Mac se otorga un identificador seguro a dicho usuario. En algunos flujos de trabajo, esta medida podría no ser favorable, ya que anteriormente se requería iniciar sesión en la cuenta del usuario para otorgar el identificador seguro. Para prevenir lo anterior, agrega ;DisabledTags;SecureToken
al atributo AuthenticationAuthority
del usuario antes de establecer la contraseña del usuario:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
Identificador de arranque
En macOS 10.15 o posterior, también se puede usar el identificador de arranque para otras tareas, no sólo para otorgar identificadores seguros a las cuentas de usuario existentes. Cuando se utiliza una solución MDM para administrar una computadora Mac con Apple Chip, el identificador de arranque, si está disponible, puede usarse para:
Supervisión
Compatibilidad con el proveedor de MDM
Supón que tu solución de MDM es compatible con los identificadores de arranque. En macOS 10.15.4 o posterior, cuando un usuario que tiene activado el identificador de seguridad se conecta por primera vez, se genera un identificador de arranque que es custodiado por la solución de MDM. De ser necesario, también puede generarse un identificador de arranque y ponerse en custodia de la solución MDM usando la línea de comandos profiles
.
En macOS 11 o posterior, también se puede usar el identificador de arranque para otras tareas, no sólo para otorgar identificadores seguros a las cuentas de usuario existentes. Cuando se utiliza una solución MDM para administrar una computadora Mac con Apple Chip, el identificador de arranque, si está disponible, puede usarse para:
Autorizar la instalación de actualizaciones de software.
Autoriza silenciosamente el comando Borrar contenido y configuración mediante MDM (macOS 12.0.1 o versiones posteriores).
Crear nuevos usuarios cuando inician sesión por primera vez con SSO de plataforma (macOS 13 o versiones posteriores).
Propiedad de volúmenes
Las computadoras Mac con Apple Chip introducen el concepto de propiedad de volúmenes. La propiedad del volumen en un contexto organizativo no está vinculada a la verdadera propiedad legal o cadena de custodia de la Mac. En su lugar, la propiedad del volumen puede definirse vagamente como el usuario que reclamó por primera vez una Mac configurándola para su propio uso, junto con cualquier usuario adicional. Deber ser propietario del volumen para modificar la política de seguridad de arranque de una instalación en específico de macOS, autorizar la instalación de actualizaciones y mejoras de macOS, iniciar el comando Borrar contenido y configuración en la Mac y más. La política de seguridad de arranque define las restricciones sobre qué versiones de macOS pueden arrancar y si las extensiones del kernel de terceros se pueden cargar o administrar.
El usuario que reclamó primero una Mac configurándola para su uso recibe un identificador en una Mac con Apple Chip y se convierte en el primer propietario del volumen. Si hay un identificador de arranque y está en uso, también se convierte en propietario de volumen y luego le otorga el estado de propiedad de volumen a las cuentas adicionales a la vez que les otorga identificadores seguros. La propiedad de volúmenes no debería ser algo que se deba administrar ni manipular de forma activa en una organización porque tanto el primer usuario al que se le otorga un identificador seguro como el identificador de arranque se convierten en propietarios de volúmenes, a lo cual se suma el hecho de que el identificador de arranque puede otorgar identificadores seguros a los usuarios adicionales (y, por lo tanto, también el estado de propiedad de volumen). En general, las consideraciones anteriores sobre administrar y otorgar identificadores seguros deben alinearse con el estado de propiedad de volúmenes.
Es posible ser propietario de volumen sin ser administrador, pero algunas tareas requieren la verificación de propiedad de ambos. Por ejemplo, para modificar la configuración de la seguridad de arranque se requiere ser tanto administrador como propietario de volumen; en cambio, los usuarios estándar pueden autorizar las actualizaciones de software y sólo se requiere el estado de propietario.
Para ver la lista actual de propietarios de volúmenes en una computadora Mac con Apple Chip, puedes ejecutar el siguiente comando:
sudo diskutil apfs listUsers /
Los GUID que aparecen en el resultado del comando diskutil
tipo “Usuario de Open Directory local” se vuelven a vincular con los atributos de GeneratedUID
de los registros del usuario en Open Directory. Para buscar a un usuario por GeneratedUID
, usa el siguiente comando:
dscl . -search /Users GeneratedUID <GUID>
Puedes usar el siguiente comando para consultar los nombres de usuario y GUID al mismo tiempo:
sudo fdesetup list -extended
La propiedad se respalda por criptografía protegida en Secure Enclave. Para obtener más información, consulta:
Uso de herramientas de línea de comandos
Hay herramientas de línea de comandos para administrar identificadores de arranque e identificadores seguros. El identificador de arranque suele generarse en la Mac y se custodia en la solución de administración de dispositivos móviles (MDM) durante el proceso de configuración de macOS después de que la solución de MDM le indica a la Mac que es compatible con la función. Sin embargo, también se puede generar un identificador de arranque en una Mac ya implementada. En macOS 10.15.4 o posterior, cuando un usuario con un identificador seguro activado inicia sesión, se genera un identificador de arranque y se pone en custodia de la solución MDM (si la solución MDM admite la función). Esto reduce la necesidad de usar la herramienta de línea de comando profiles después de la configuración del dispositivo para generar un identificador de arranque y ponerlo en custodia de la solución MDM.
La herramienta de línea de comandos profiles
tiene una variedad opciones para interactuar con el identificador de arranque:
sudo profiles install -type bootstraptoken
: este comando genera un nuevo identificador de arranque y lo pone en custodia de la solución de MDM. Este comando requiere la información del administrador del identificador seguro existente para primero generar el identificador de arranque, y la solución MDM debe ser compatible con esta funcionalidad.sudo profiles remove -type bootstraptoken
: elimina el identificador de arranque existente en la Mac y la solución de MDM.sudo profiles status -type bootstraptoken
: informa si la solución de MDM es compatible con la función identificador de arranque, y cuál es el estado actual del identificador de arranque en la Mac.sudo profiles validate -type bootstraptoken
: informa si la solución de MDM es compatible con la función identificador de arranque, y cuál es el estado actual del identificador de arranque en la Mac.
Herramienta de línea de comandos sysadminctl
Se puede usar la herramienta de línea de comandos sysadminctl
específicamente para modificar el estado del identificador seguro de las cuentas de usuario de la computadora Mac. Esto debe hacerse con precaución y únicamente cuando sea necesario. Para cambiar el estado del identificador seguro de un usuario que utiliza sysadminctl
, siempre se requiere del nombre de usuario y la contraseña de un administrador con identificador seguro activado existente, ya sea de forma interactiva o a través de los indicadores correspondientes del comando. Tanto sysadminctl
como Configuración del Sistema (macOS 13 o posterior) o Preferencias del Sistema (macOS 12.0.1 o anterior) impiden la eliminación del último administrador o usuario con identificador seguro activado de una Mac. Si la creación de usuarios locales adicionales se realiza utilizando el script sysadminctl
, para los usuarios con identificador seguro activado, es necesario proporcionar las credenciales de un administrador con identificador seguro activado existente ya sea mediante la opción interactiva, o directamente con los indicadores -adminUser
y -adminPassword
con sysadminctl
. Si no se otorga un identificador seguro durante el proceso de creación, cuando un usuario local inicia sesión en una computadora Mac con macOS 11 o posterior, se le otorga un identificador seguro durante el proceso si hay un identificador de arranque disponible en la solución MDM. Utiliza sysadminctl -h
para obtener instrucciones de uso adicionales.