Define la configuración de FileVault en Apple Business Essentials

FileVault es una capacidad de cifrado incorporada para proteger todos los datos en reposo, y puedes fijar el uso de FileVault para proteger información en una Mac.

Con FileVault, se cifran los datos en una Mac para que los usuarios no autorizados no puedan acceder a ninguna información sin una contraseña de usuario. Si un usuario olvida su contraseña o no está disponible y debes obtener acceso a la Mac, puedes usar una clave especial, llamada clave de recuperación, en lugar de la contraseña del usuario. Antes de poder aplicarse la configuración de FileVault a las computadoras Mac, debes cargar un certificado para cifrar la clave de recuperación guardada para cada Mac. Las claves de recuperación cifradas se guardan y son accesibles para cualquier usuario con la función de administración en Apple Business Essentials.

Después de activar FileVault en una Mac, se requieren las credenciales del usuario durante el proceso de inicio. FileVault, junto con la seguridad del hardware de la computadora Mac, ayuda a alcanzar cuatro objetivos principales:

Requiere la contraseña de un usuario para el descifrado
Protege el sistema operativo contra un ataque de fuerza bruta directo hacia los medios de almacenamiento extraídos de la Mac
Ofrece un método rápido y seguro para borrar contenido al eliminar material criptográfico necesario
Permite a los usuarios cambiar su contraseña (y, después, las claves criptográficas usadas para proteger sus archivos) sin la necesidad de volver a cifrar todo el volumen

Apple Business Essentials usa el cifrado asimétrico para ayudar a garantizar la privacidad de tus claves de recuperación de FileVault, y cifrar la clave de recuperación de cada dispositivo mediante un certificado de cifrado que tú generas. Después de generar el certificado, debes cargarlo en Apple Business Essentials.

Un certificado de cifrado y su clave privada son un par combinado. Cuando se genera un nuevo certificado de cifrado, solo la clave privada generada con él funcionará para descifrar las claves de recuperación que debe cifrar. Si hay otros administradores en tu equipo que necesitan acceso a las claves de recuperación guardadas en Apple Business Essentials, intenta usar un administrador de contraseña para guardar y compartir de manera segura la clave privada necesaria para descifrarlas. Si generas un nuevo par y cargas su certificado de cifrado, ya no se usará el anterior para cifrar nuevas claves de recuperación. Sin embargo, la clave privada anterior aún será necesaria para descifrar las claves de recuperación que fueron cifradas con su certificado correspondiente.

Nota: Si decides crear tu propio certificado de cifrado en lugar de usar la tarea inferior para crear uno, el archivo debe ser un certificado codificado en PEM con una clave pública RSA de al menos 2048 bits.

Crear un certificado de cifrado

El ID generado en los nombres coincidirá, y servirá para ayudar a distinguir qué clave privada coincide con qué certificado, en caso de que debas crear más de uno.

En una Mac, abre la app Terminal , pega el siguiente texto y presiona Regresar.
(ID=$(LC_ALL=C tr -dc A-Z0-9 </dev/urandom | head -c 8)openssl req -newkey rsa:2048 -nodes \-keyout ~/Documents/FileVaultKeyEncryptionPrivateKey_$ID.pem \-x509 -days 36500 \-subj "/CN=FileVault Key Encryption Cert ($ID)" \-out ~/Documents/FileVaultKeyEncryptionCert_$ID.pem)
Esos comandos generan dos archivos en tu carpeta Documentos. Ábrela y verifica que contenga:
- Un certificado de cifrado: en un archivo con el nombre FileVaultKeyEncryptionCert_[id].pem
- Una clave privada RSA: en un archivo con el nombre FileVaultKeyEncryptionPrivateKey_[id].pem
Importante: Mantén cada clave privada RSA segura. Si pierdes un archivo con una clave privada, no podrás descifrar las claves de recuperación cifradas por su certificado y, por lo tanto, no podrás usar esas claves de recuperación para desbloquear sus dispositivos correspondientes si un usuario pierde su contraseña.

Cargar un certificado de cifrado

En Apple Business Essentials, inicia sesión con un usuario que tenga la función de administración.
Selecciona tu nombre en la parte inferior de la barra lateral, selecciona Preferencias y luego selecciona Apple Business Essentials en Tus servidores MDM.
Selecciona la pestaña FileVault, selecciona Cargar archivo y selecciona el archivo FileVaultKeyEncryptionCert_[id].pem creado anteriormente. Luego, selecciona Cargar.
Si se asignó una configuración de FileVault a los usuarios o dispositivos a través de una colección antes de que se cargara tu primer certificado de cifrado, se aplicará la configuración a todos los usuarios y dispositivos asignados.

Reemplazar un certificado de cifrado

Importante: Los certificados de cifrado solo cifran claves de recuperación guardadas en Apple Businesses Essentials después de cargar el certificado. Las claves de recuperación cifradas anteriormente no vuelven a cifrarse con el nuevo certificado de cifrado.

En Apple Business Essentials, inicia sesión con un usuario que tenga la función de administración.
Selecciona tu nombre en la parte inferior de la barra lateral, selecciona Preferencias y luego selecciona Apple Business Essentials en Tus servidores MDM.
Selecciona la pestaña FileVault, selecciona Reemplazar certificado y selecciona el archivo del nuevo certificado de cifrado que deseas usar. Luego, selecciona Cargar.

Descargar una clave de recuperación de FileVault para un solo dispositivo

Para brindarte la mayor seguridad, tus claves de recuperación de FileVault no serán visibles para Apple Business Essentials. Para ver las claves de recuperación, primero debes descargar la clave de recuperación cifrada.

Para descargar la clave de recuperación para un solo dispositivo cifrado con FileVault a través de Apple Business Essentials:

En Apple Business Essentials, inicia sesión con un usuario que tenga la función de administración.
Selecciona Dispositivos en la barra lateral y luego busca un dispositivo en el campo de búsqueda. Consulta Cómo realizar una búsqueda.
Selecciona el dispositivo, desplázate a la sección FileVault y selecciona Descargar clave.
Se descarga un archivo .csv con el nombre FileVaultRecoveryKeysEncrypted.csv a tu computadora. Contiene tu clave cifrada junto con el dispositivo y el certificado de cifrado correspondientes.
Nota: Si un dispositivo ya se cifró con FileVault antes de la asignación de FileVault en Apple Business Essentials, la clave de recuperación no estará visible en la página del dispositivo hasta que se alterne la clave de recuperación.

Alternar la clave de recuperación y hacerla visible

En Apple Business Essentials, inicia sesión con un usuario que tenga la función de administración.
Abre la app Terminal en la Mac y pega lo siguiente:
sudo /usr/bin/fdesetup changerecovery -personal
Cuando se te pida, ingresa la contraseña del administrador con sesión iniciada localmente para ejecutar el comando (la contraseña no será visible).
Cuando se te pida de nuevo, ingresa por segunda vez el nombre de usuario y la contraseña del administrador con sesión iniciada localmente.
Cuando el proceso esté completado, la Mac tendrá una nueva clave de recuperación disponible en Apple Business Essentials.

Descargar claves de recuperación de FileVault para todos los dispositivos

Para descargar las claves de recuperación para todos los dispositivos cifrados con FileVault a través de Apple Business Essentials:

En Apple Business Essentials, inicia sesión con un usuario que tenga la función de administración.
Selecciona tu nombre en la parte inferior de la barra lateral, selecciona Preferencias y luego selecciona Apple Business Essentials en Tus servidores MDM.
Selecciona la pestaña FileVault y luego selecciona Descargar claves de recuperación.
Se descarga un archivo .csv con el nombre FileVaultRecoveryKeysEncrypted.csv a tu computadora. Contiene todas tus claves cifradas junto con el dispositivo y el certificado de cifrado correspondientes.

Ver una clave de recuperación de FileVault

Puedes ver una clave de recuperación de FileVault al descifrarla del archivo .csv descargado.

Abre FileVaultRecoveryKeysEncrypted.csv.
Ubica la fila con el número de serie del dispositivo para el que deseas la clave de recuperación. Copia la segunda celda de esa fila, que es una columna llamada “Clave de recuperación cifrada”. La celda debe tener contenido que luzca como texto aleatorio.
Abre TextEdit y crea un nuevo archivo de texto sin formato.
Es posible que necesites presionar Shift-Comando-T si tu TextEdit crea archivos de texto enriquecido de forma predeterminada. Pega la celda copiada arriba y guarda el archivo en la carpeta que contiene tu clave privada correspondiente a tu certificado de cifrado.
Abre la app Terminal , navega hasta la carpeta que contiene el nuevo archivo de texto y la clave privada, y pega los comandos abajo. Reemplaza YourTextFile y YourPrivateKey con tus respectivos nombres de archivo y presiona Regresar.
base64 --decode -i YourTextFile.txt |\openssl smime -decrypt -inform der -inkey YourPrivateKey.pem \-out FileVaultRecoveryKey.txt
Tu clave de recuperación descifrada se escribe en un archivo con el nombre FileVaultRecoveryKey.txt en la misma carpeta que tu clave privada.

Ver tambiénEditar una opción en Apple Business Essentials Apple Platform Deployment: Introducción a FileVault Apple Platform Deployment: Uso del identificador de seguridad, del identificador de bootstrap y de la propiedad de volumen en las implementaciones Apple Platform Deployment: Administración de FileVault con la administración de dispositivos móviles

¿Te ha resultado útil?

Manual de uso de Apple Business Essentials