Administrar FileVault con una administración de dispositivos
Las organizaciones pueden gestionar la encriptación de disco entero de FireVault mediante un servicio de administración de dispositivos o, en el caso de algunas implementaciones y configuraciones avanzadas, la herramienta de línea de comandos fdesetup. Al método de gestionar FileVault mediante un servicio de administración de dispositivos se le conoce como activación con retraso y requiere un evento de cierre de sesión o inicio de sesión por parte del usuario. Un servicio de administración de dispositivos también puede personalizar opciones como:
Cuántas veces puede un usuario aplazar la activación de FileVault;
Si se pregunta al usuario al cerrar la sesión, además de preguntarle al iniciar la sesión;
Si se muestra la clave de recuperación al usuario;
Qué certificado usar para encriptar asimétricamente la clave de recuperación para custodia en el servicio de administración de dispositivos.
Para que un usuario pueda desbloquear el almacenamiento en los volúmenes APFS, el usuario debe tener un identificador seguro; en una Mac con Apple Chip, el usuario debe ser propietario de volumen. Para obtener más información sobre los identificadores seguros y la propiedad de volúmenes, consulta Usar identificadores seguros, identificadores de arranque y propiedad de volúmenes en las implementaciones. A continuación se proporciona información sobre cómo y cuándo se les otorga a los usuarios identificadores seguros en flujos de trabajo específicos.
Imponer FileVault en Asistente de Configuración
Mediante la clave ForceEnableInSetupAssistant, se puede requerir a las computadoras Mac que activen FileVault durante el Asistente de Configuración. Esto asegura que el almacenamiento interno en computadoras Mac administradas esté siempre encriptado antes de usarlo. Las organizaciones pueden decidir mostrar la clave de recuperación de FileVault al usuario o custodiar la clave de recuperación personal. Para usar esta función, asegúrate de que await_device_configured esté configurada.
Nota: Para que esta característica funcione en versiones anteriores a macOS 14.4, la cuenta de usuario que se creó de forma interactiva durante el flujo de Asistente de Configuración debe tener el rol de administrador.
Cuando un usuario configura una Mac por su cuenta
Nota: El servicio de administración de dispositivos debe admitir funciones específicas para que los identificadores seguros y de arranque funcionen con una Mac.
Cuando un usuario configura una Mac por su cuenta, los departamentos de TI no realizan la configuración del dispositivo en persona. Tú proporcionas todas las políticas y configuraciones mediante un servicio de administración de dispositivos o herramientas de administración de configuraciones. Asistente de Configuración crea la primera cuenta local y otorga al usuario un identificador seguro, y la Mac genera un identificador de arranque que se custodia en el servicio de administración de dispositivos.
Si la Mac se inscribe en un servicio de administración de dispositivos, puede que la cuenta inicial no sea una cuenta de administrador local, sino una cuenta de usuario estándar local. Si degradas al usuario a uno estándar mediante un servicio, el usuario recibe automáticamente un identificador seguro. En una Mac con macOS 10.15.4 o posterior, si degradas al usuario, macOS genera automáticamente un identificador de arranque y lo custodia en el servicio de administración de dispositivos.
Si omites la creación de una cuenta de usuario local en Asistente de Configuración mediante un servicio de administración de dispositivos y, en vez de eso, usas un servicio de directorio con cuentas móviles, el servicio otorga el identificador seguro a la cuenta de usuario móvil durante el inicio de sesión. En una Mac con macOS 10.15.4 o posterior, después de que se activa el usuario con una cuenta móvil, macOS genera automáticamente un identificador de arranque durante el segundo inicio de sesión del usuario y lo pone en custodia del servicio de administración de dispositivos.
Si un servicio de administración de dispositivos omite la creación de una cuenta de usuario local en Asistente de Configuración y, en vez de eso, usa un servicio de directorio con cuentas móviles, el servicio de administración de dispositivos otorga el identificador seguro al usuario cuando inicia sesión. En una Mac con macOS 10.15.4 o posterior, si el usuario móvil tiene un identificador seguro, macOS genera automáticamente un identificador de arranque y lo pone en custodia del servicio de administración de dispositivos.
En cualquiera de los casos anteriores, dado que macOS otorga al primer y principal usuario un identificador seguro, este puede activar FileVault mediante la activación con retraso, que permite activar FileVault, pero retrasa su activación hasta que un usuario inicie o cierre sesión en una Mac. También puedes elegir si el usuario puede omitir la activación de FileVault (opcionalmente, un número de veces definido). Esto permite que el usuario principal de la Mac, ya sea un usuario local de cualquier tipo o una cuenta móvil, pueda desbloquear el volumen de FileVault.
En una Mac en la que macOS genera un identificador de arranque y lo custodia en un servicio de administración de dispositivos, si otro usuario inicia sesión en la Mac en el futuro, macOS usa el identificador de arranque para otorgarle automáticamente un identificador seguro. Esto significa que la cuenta también está habilitada para FileVault y puede desbloquear el volumen de FileVault. Para anular la capacidad de desbloquear el dispositivo de almacenamiento de un usuario, usa fdesetup remove -user.
Cuando una organización provee una Mac
Cuando una organización provee una Mac antes de entregársela a un usuario, el departamento de TI configura el dispositivo. La cuenta administrativa local, que puedes crear en Asistente de Configuración o mediante un servicio de administración de dispositivos, se utiliza para asignar o configurar la Mac, y el sistema operativo le otorga el primer identificador seguro durante el inicio de sesión. Si el servicio es compatible con la funcionalidad del identificador de arranque, el sistema operativo también genera un identificador de arranque y lo custodia.
Si la Mac se conecta a un servicio de directorio y está configurada para crear cuentas móviles y no hay un identificador de arranque, los usuarios del servicio de directorio tendrán que ingresar un nombre de usuario y contraseña de administrador de identificador seguro existente cuando inicien sesión por primera vez para otorgar un identificador seguro a su cuenta. Se deberá ingresar las credenciales de un administrador local con el identificador seguro activado. Si no se requiere un identificador seguro, el usuario puede hacer clic en Omitir. En una Mac con macOS 10.13.5, o posterior, es posible omitir el cuadro de diálogo del identificador seguro por completo si no se va a usar FileVault con las cuentas móviles. Para omitir el cuadro de diálogo del identificador seguro, aplica un perfil de configuración personalizado del servicio de administración de dispositivos con las siguientes claves y valores:
Configuración | Valor | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Dominio | com.apple.MCX | ||||||||||
Clave | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valor | Verdadero | ||||||||||
Si el servicio de administración de dispositivos es compatible con la función de identificador de arranque y la Mac genera uno y lo pone en custodia del servicio, los usuarios con cuenta móvil no verán este mensaje. En cambio, macOS les otorga automáticamente un identificador seguro durante el inicio de sesión.
Si se requieren más usuarios locales en la Mac en lugar de cuentas de usuarios de un servicio de directorio, macOS les otorga automáticamente un identificador seguro cuando un administrador con identificador seguro activado los crea desde el panel Usuarios y grupos (en Configuración del Sistema en macOS 13 o posterior, o en Preferencias del Sistema en macOS 12.0.1 o anterior). Cuando se crean usuarios locales mediante la línea de comandos, el administrador puede usar sysadminctl y, opcionalmente, activarlos para usar un identificador seguro. En una Mac con macOS 11 o posterior, si macOS no otorga un identificador seguro durante la creación y si hay un identificador de arranque disponible en el servicio de administración de dispositivos, se le otorga un identificador seguro al usuario local cuando inicia sesión.
En estas situaciones, los siguientes usuarios pueden desbloquear el volumen encriptado con FileVault:
El primer administrador local usado para la instalación;
Cualquier usuario de un servicio de directorio adicional al que se le haya concedido un identificador seguro durante el proceso de inicio de sesión, ya sea de forma interactiva mediante el cuadro de diálogo o automáticamente con el identificador de arranque
Todos los usuarios locales nuevos.
Para anular la capacidad de desbloquear el dispositivo de almacenamiento de un usuario, usa fdesetup remove -user.
Cuando se usa uno de los flujos de trabajo descritos arriba, el identificador seguro es administrado por macOS sin ninguna configuración o secuencia de comandos adicional; se convierte en un detalle de implementación y no en algo que deba administrarse o manipularse activamente.
Herramientas de línea de comandos fdesetup
Puedes usar las configuraciones de la administración de dispositivos o la herramienta de línea de comandos fdesetup para configurar FileVault. En computadoras Mac con macOS 10.15 y versiones posteriores, utilizar fdesetup para activar FileVault proporcionando el nombre de usuario y la contraseña se considera un método obsoleto que ya no estará disponible en una versión futura. El comando sigue funcionando, pero es obsoleto en macOS 11 y macOS 12.0.1. Considera la posibilidad de usar la activación con retraso de un servicio de administración de dispositivos. Para obtener más información sobre la herramienta de línea de comandos fdesetup, abre la app Terminal e ingresa man fdesetup o fdesetup help.
Diferencias entre las claves de recuperación institucionales y las personales
FileVault en volúmenes CoreStorage y APFS admite usar una clave de recuperación institucional (IRK, anteriormente denominada identidad principal de FileVault) para desbloquear el volumen. Aunque la IRK es útil para usar operaciones de línea de comandos a fin de desbloquear un volumen o desactivar FileVault, su utilidad resulta limitada para las organizaciones, en especial en las últimas versiones de macOS. Y en una Mac con Apple Chip, las IRK no aportan ningún valor funcional por dos razones principales: En primer lugar, las IRK no pueden usarse para acceder a recoveryOS y, en segundo lugar, como el modo de disco de destino ya no es compatible, el volumen no puede desbloquearse conectándolo a otra Mac. Por esos motivos y más, ya no se recomienda usar una IRK para la administración de instituciones de FileVault en computadoras Mac. En su lugar, debe usarse una clave de recuperación personal (PRK). La PRK proporciona lo siguiente:
Un mecanismo muy sólido de recuperación y acceso al sistema operativo
Encriptación única por volumen
Custodia en el servicio de administración de dispositivos
Rotación fácil después del uso
En una Mac con un Apple Chip y macOS 12.0.1 o posterior, se puede usar una clave de recuperación personal, ya sea, en recoveryOS o para arrancar una Mac encriptada directamente en macOS. En recoveryOS, la PRK se puede usar si lo pide el Asistente de Recuperación o con la opción ¿Olvidaste todas las contraseñas? para acceder al entorno de recuperación que también desbloquea el volumen. Al usar la opción ¿Olvidaste todas las contraseñas?, no es necesario restablecer la contraseña de un usuario; se puede hacer clic en el botón Salir para arrancar directamente en recoveryOS. Para arrancar macOS directamente en computadoras Mac con procesador Intel, haz clic en el símbolo de interrogación junto al campo de contraseña y enseguida selecciona Cambiarla mediante la clave de recuperación. Ingresa la PRK y presiona Retorno, o haz clic en la flecha. Después de que macOS arranque, presiona Cancelar en el cuadro de diálogo que aparece.
Además, en una Mac con Apple Chip y macOS 12.0.1 o posterior, presiona Opción + Mayús + Retorno para abrir el campo de entrada de la PRK, presiona la tecla Intro (o haz clic en la flecha).
Sólo hay una PRK por volumen encriptado; al activar FileVault desde un servicio de administración de dispositivos, existe la opción de ocultarla del usuario. Si se configura para su custodia en un servicio de administración de dispositivos, este proporciona a la Mac una clave pública en forma de certificado, que se usa después para encriptar de forma asimétrica la PRK en un formato de sobre CMS. La PRK encriptada se devuelve al servicio en la consulta de información de seguridad, que después una organización puede desencriptar para visualizarla. Dado que la encriptación es asimétrica, es posible que el propio servicio no pueda desencriptar la PRK (lo que podría requerir pasos adicionales por parte de un administrador). No obstante, muchos desarrolladores de servicios de administración de dispositivos ofrecen la opción de administrar estas claves para permitir su visualización directamente en sus productos. El servicio de administración de dispositivos también puede rotar las PRK con la frecuencia que sea necesaria para mantener un nivel de seguridad óptimo (por ejemplo, después de usar una PRK para desbloquear un volumen).
Se puede usar una PRK en modo de disco de destino en las computadoras Mac sin Apple Chip para desbloquear un volumen:
1. Conecta la Mac en modo de disco de destino a otra Mac que tiene la misma versión o una versión más nueva de macOS.
2. Abre la app Terminal, ejecuta el siguiente comando y busca el nombre del volumen (normalmente es “Macintosh HD”). Debería aparecer “Punto de montaje: no montado”, y “FileVault: sí (bloqueado)”. Apunta el identificador de disco del volumen APFS, el cual puede ser algo parecido a disk3s2 pero con números diferentes; por ejemplo, disk4s5.
diskutil apfs list3. Ejecuta el siguiente comando, busca el usuario de la clave de recuperación personal y toma nota del UUID que aparece:
diskutil apfs listUsers /dev/<diskXsN>4. Ejecuta este comando:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Cuando se pida la contraseña, pega o ingresa la PRK y luego presiona Retorno. El volumen está montado en el Finder.