FileVaultin hallinta mobiililaitteiden hallinnalla
Koko levyn FileVault-salausta voidaan hallita organisaatioissa mobiililaitteiden hallintaratkaisulla (MDM) tai tietyissä kehittyneissä käyttöönotoissa ja määrityksissä fdesetup-komentorivityökalulla. FileVaultin hallintaa MDM:llä kutsutaan viivästyneeksi käyttöönotoksi, ja se vaatii käyttäjältä uloskirjautumis- tai sisäänkirjautumistapahtuman. MDM voi muokata esimerkiksi seuraavia valintoja:
kuinka monta kertaa käyttäjä voi viivästyttää FileVaultin käyttöönottoa
kehotetaanko käyttäjää sisäänkirjautumisen lisäksi myös uloskirjautumisen yhteydessä
näytetäänkö palautusavain käyttäjälle
Mitä varmennetta käytetään palautusavaimen epäsymmetriseen salaukseen, kun se turvatallennetaan MDM-ratkaisuun
Jotta käyttäjä voi avata APFS-taltioiden tallennustilan lukituksen, hänellä täytyy olla Secure Token, ja jos kyseessä on Applen sirulla varustettu Mac, hänen täytyy olla taltion omistaja. Jos haluat lisätietoja Secure Tokeneista ja taltion omistajuudesta, katso kohta Suojaus- ja alustustunnuksen sekä laajamittaisen omistajuuden käyttö käyttöönotoissa. Alla on tietoja siitä, miten ja milloin käyttäjät saavat Secure Tokenin eri työnkuluissa.
FileVaultin vaatiminen käyttöönottoapurissa
ForceEnableInSetupAssistant-avaimella voidaan vaatia Mac-tietokoneita laittamaan FileVault päälle käyttöönottoapurin suorittamisen aikana. Tämä varmistaa, että hallittujen Mac-tietokoneiden sisäinen tallennustila on aina salattu ennen kuin sitä käytetään. Organisaatiot voivat päättää, näytetäänkö FileVault-palautusavain käyttäjälle tai turvatallennetaanko henkilökohtainen palautusavain. Jos haluat käyttää tätä ominaisuutta, varmista että await_device_configured on asetettu.
Huomaa: Jotta tämä ominaisuus toimii macOS 14.4:ä vanhemmissa versioissa, käyttöönottoapurissa interaktiivisesti käyttöönotetun käyttäjätilin roolin on oltava ylläpitäjä.
Kun käyttäjä ottaa Macin itse käyttöön
Kun käyttäjä ottaa Macin itse käyttöön, IT-osastot eivät tee mitään valmisteluja laitteelle. Kaikki käytännöt ja määritykset saadaan MDM-ratkaisulla tai asetusten hallintatyökaluilla. Käyttöönottoapurilla luodaan ensimmäinen paikallinen tili, ja käyttäjä saa Secure Tokenin. Jos MDM-ratkaisu tukee Bootstrap Token ‑ominaisuutta ja ilmoittaa siitä Macille MDM-rekisteröinnin aikana, Mac luo Bootstrap Tokenin ja se tallennetaan MDM-ratkaisuun.
Jos Mac on rekisteröity MDM-ratkaisuun, ensimmäinen tili ei välttämättä ole paikallinen ylläpitäjän tili vaan paikallinen tavallinen käyttäjätili. Jos käyttäjästä tehdään normaalikäyttäjä MDM-ratkaisulla, käyttäjälle annetaan automaattisesti Secure Token. Jos käyttäjästä tehdään normaalikäyttäjä macOS 10.15.4:ssä tai uudemmassa, luodaan automaattisesti Bootstrap Token ja turvatallennetaan se MDM-ratkaisuun, jos se tukee Bootstrap Token ‑ominaisuutta.
Jos paikallisen käyttäjätilin luominen ohitetaan kokonaan Käyttöönottoapurissa käyttäen MDM:ää ja sen sijaan käytetään hakemistopalvelua ja liikkuvia tilejä, liikkuva tili saa Secure Tokenin sisäänkirjautumisen yhteydessä. Kun liikkuvan tilin käyttäjä on saanut Secure Tokenin, macOS 10.15.4:ssä tai uudemmassa luodaan automaattisesti Bootstrap Token käyttäjän toisen sisäänkirjautumisen yhteydessä ja turvatallennetaan se MDM-ratkaisuun, jos se tukee Bootstrap Token ‑ominaisuutta.
Koska kaikissa edellisissä tilanteissa ensimmäiselle ja ensisijaiselle käyttäjälle annetaan Secure Token, käyttäjälle voidaan ottaa käyttöön FileVault viivästyneellä käyttöönotolla. Viivästyneen käyttöönoton avulla organisaatio voi laittaa FileVaultin päälle mutta viivyttää sen käyttöönottoa siihen asti, kunnes käyttäjä kirjautuu Maciin tai Macista ulos. On myös mahdollista muokata sitä, voiko käyttäjä ohittaa FileVaultin laittamisen päälle (ja valinnaisesti voidaan määrittää, kuinka monta kertaa). Lopputuloksena Macin ensisijainen käyttäjä (minkätyyppinen paikallinen käyttäjä tahansa tai liikkuva tili) voi avata tallennuslaitteen, joka on salattu FileVaultilla.
Jos Mac-tietokoneissa on luotu Bootstrap Token ja se on turvatallennettu MDM-ratkaisuun ja jos toinen käyttäjä kirjautuu myöhemmin Maciin, Bootstrap Tokenilla annetaan automaattisesti Secure Token. Tämä tarkoittaa, että tili voi myös käyttää FileVaultia ja avata FileVault-taltion lukituksen. Jos haluat poistaa käyttäjältä mahdollisuuden avata tallennuslaitteen lukitus, käytä komentoa fdesetup remove -user.
Kun organisaatio valmistelee Macin
Kun organisaatio valmistelee Macin ennen kuin se annetaan käyttäjälle, IT-osasto tekee laitteen määritykset. Macin valmistelua tai käyttöönottoa varten luodaan käyttöönottoapurissa tai valmistellaan MDM:llä paikallinen ylläpitäjätili, ja se saa ensimmäisen Secure Tokenin sisäänkirjautumisen yhteydessä. Jos MDM-ratkaisu tukee Bootstrap Token ‑ominaisuutta, luodaan myös Bootstrap Token ja se tallennetaan MDM-ratkaisuun.
Jos Mac liitetään hakemistopalveluun ja asetetaan luomaan liikkuvia tilejä ja jos Bootstrap Tokenia ei ole, hakemistopalvelun käyttäjiltä kysytään ensimmäisessä sisäänkirjautumisessa olemassa olevan Secure Token ‑ylläpitäjän käyttäjätunnusta ja salasanaa, jotta käyttäjän tilille voidaan antaa Secure Token. Syötä tällä hetkellä Secure Tokenia käyttävän paikallisen ylläpitäjän kirjautumistiedot. Jos Secure Tokenia ei tarvita, käyttäjä voi klikata Ohita. macOS 10.13.5:ssä tai uudemmassa on mahdollista poistaa Secure Tokenin valintaikkuna kokonaan näkyvistä, jos FileVaultia ei aiota käyttää liikkuville tileille. Jos haluat kätkeä Secure Tokenin valintaikkunan, käytä MDM-ratkaisun kautta muokatut asetukset määrittävää asetusprofiilia seuraavilla avaimilla ja arvoilla:
Asetus | Arvo | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Avain | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Arvo | Tosi | ||||||||||
Jos MDM-ratkaisu tukee Bootstrap Token ‑ominaisuutta ja Mac loi sellaisen ja tallensi sen MDM-ratkaisuun, liikkuvan tilin käyttäjille ei näytetä tätä kehotusta. Sen sijaan heille annetaan automaattisesti Secure Token sisäänkirjautumisen aikana.
Jos Maciin tarvitaan lisää paikallisia käyttäjiä hakemistopalvelun käyttäjätilien käyttämisen sijaan, paikalliset käyttäjät saavat automaattisesti Secure Tokenin, kun nykyinen Secure Tokenia käyttävä ylläpitäjä luo ne Järjestelmäasetusten osiossa Käyttäjät ja ryhmät. Voit käyttää sysadminctl-komentorivityökalua, jos luot paikallisia käyttäjätilejä komentorivillä, ja ottaa valinnaisesti niille käyttöön Secure Tokenin. Vaikka Secure Tokenia ei annettaisi luomisen aikana, macOS 11:ssä tai uudemmassa Maciin kirjautuva paikallinen käyttäjä saa Secure Tokenin sisäänkirjautumisen yhteydessä, jos Bootstrap Token on saatavilla MDM-ratkaisusta.
Näissä tapauksissa seuraavat käyttäjät voivat avata FileVault-salatun taltion:
alkuperäinen paikallinen käyttäjä, jota käytettiin valmistelussa
muut hakemistopalvelukäyttäjät, joille on annettu Secure Token sisäänkirjautumisprosessin aikana, joko interaktiivisesti valintaikkunakehotuksen avulla tai automaattisesti Bootstrap Tokenilla
uudet paikalliset käyttäjät
Jos haluat poistaa käyttäjältä mahdollisuuden avata tallennuslaitteen lukitus, käytä komentoa fdesetup remove -user.
Kun käytetään jotakin edellä kuvatuista työnkuluista, macOS hallitsee Secure Tokenia ilman muita lisämäärityksiä tai -skriptiä. Siitä tulee toteutuksen yksityiskohta eikä mitään aktiivisesti hallittavaa tai muokattavaa.
fdesetup-komentorivityökalu
MDM-määrityksiä tai fdesetup-komentorivityökalua voidaan käyttää FileVaultin määrittämiseen. macOS 10.15:ssä ja uudemmissa fdesetup-komentorivityökalun käyttö FileVaultin päälle laittamiseen tarjoamalla käyttäjätunnus ja salasana on poistuva ominaisuus, eikä sitä tunnisteta tulevissa julkaisuissa. Komento toimii edelleen mutta on poistuvana ominaisuutena macOS 11:ssä ja macOS 12.0.1:ssä. Harkitse sen sijaan viivästyneen käyttöönoton käyttöä MDM:llä. Jos haluat lisätietoja fdesetup-komentorivityökalusta, avaa Pääte ja hae tietoja kirjoittamalla man fdesetup tai fdesetup help.
Organisaation tai henkilökohtaiset palautusavaimet
FileVault tukee sekä CoreStorage- että APFS-taltioilla organisaation palautusavaimen (institutional recovery key eli IRK, aikaisemmin nimeltään FileVaultin pääidentiteetti) käyttämistä taltion lukituksen avaamiseen. Vaikka organisaation palautusavain on käyttökelpoinen komentorivitoiminnoissa taltion lukituksen avaamisessa tai FileVaultin poistamisessa käytöstä, sen hyöty organisaatiolle on rajallinen varsinkin macOS:n uusimmissa versioissa. Applen sirulla varustetuissa Maceissa organisaation palautusavaimista ei ole hyötyä lähinnä kahdesta syystä: ensinnäkin organisaation palautusavaimilla ei pääse recoveryOS:ään, ja toisekseen, koska kohdelevytilaa ei enää tueta, taltion lukitusta ei voi avata toiseen Maciin yhdistämällä. Näiden ja muiden syiden vuoksi organisaation palautusavaimia ei enää suositella käytettäviksi Mac-tietokoneiden FileVaultin hallintaan organisaatioissa. Niiden sijaan tulisi käyttää henkilökohtaista palautusavainta (personal recovery key, PRK). Henkilökohtainen palautusavain tarjoaa seuraavat:
Erittäin vankka palautus ja käyttöjärjestelmän pääsymekanismi
Yksilöllinen taltiokohtainen salaus
Turvatallennus MDM:ään
Helppo avaimen kierrättäminen käytön jälkeen
Henkilökohtaista palautusavainta voidaan käyttää joko recoveryOS:ssä tai salatun Macin käynnistämisessä suoraan macOS:ään (vaatii macOS 12.0.1:n tai uudemman Applen sirulla varustetussa Macissa). recoveryOS:ssä henkilökohtaista palautusavainta voidaan käyttää joko jos palautusapuri pyytää sitä tai Unohditko kaikki salasanat ‑valinnalle, joka päästää palautusympäristöön, joka sitten myös avaa taltion lukituksen. Unohditko kaikki salasanat ‑valintaa käytettäessä käyttäjän salasanaa ei tarvitse nollata, vaan Poistu-painiketta klikkaamalla käynnistetään suoraan recoveryOS:ään. Jos haluat käynnistää suoraan macOS:ään Intel-pohjaisissa Mac-tietokoneissa, klikkaa kysymysmerkkiä salasanakentän vieressä ja valitse ”nollata sen palautusavaimella”. Syötä henkilökohtainen palautusavain ja paina rivinvaihtonäppäintä tai klikkaa nuolta. Kun macOS käynnistyy, valitse salasanan vaihdon valintaikkunassa Kumoa. Jos kyseessä on Applen sirulla varustettu Mac, jossa on macOS 12.0.1 tai uudempi, näytä kenttä henkilökohtaisen palautusavaimen syöttämistä varten painamalla optio–vaihto–rivinvaihto ja paina rivinvaihtonäppäintä (tai klikkaa nuolta).
Kullakin salatulla taltiolla on vain yksi henkilökohtainen palautusavain, ja kun FileVault otetaan käyttöön MDM:stä, se voidaan haluttaessa kätkeä käyttäjältä. Kun turvatallennus MDM:ään on määritetty, MDM antaa Macille julkisen avaimen varmenteena ja sitä käytetään henkilökohtaisen palautusavaimen epäsymmetriseen salaamiseen CMS-kirjekuoren muodossa. Salattu henkilökohtainen palautusavain palautetaan MDM:lle suojaustietojen kyselyssä, ja organisaatio voi purkaa salauksen ja katsoa avaimen. Koska salaus on epäsymmetrinen, MDM itse ei ehkä pysty purkamaan henkilökohtaisen palautusavaimen salausta (eli se vaatii lisätoimia ylläpitäjältä). Monet MDM-toimittajat kuitenkin tarjoavat mahdollisuuden näiden avainten hallintaan siten, että niitä voidaan katsoa suoraan heidän tuotteissaan. Valinnaisesti MDM voi vahvan tietoturvan varmistamiseksi kierrättää henkilökohtaisia palautusavaimia niin usein kuin on tarpeen – esimerkiksi aina sen jälkeen, kun henkilökohtaista palautusavainta on käytetty taltion avaamiseen.
Henkilökohtaista palautusavainta voidaan käyttää taltion avaamiseen kohdelevytilassa Mac-tietokoneissa, joissa ei ole Applen sirua:
1. Yhdistä Mac kohdelevytilassa toiseen Maciin, jossa on sama tai uudempi macOS-versio.
2. Avaa Pääte, suorita seuraava komento ja etsi taltion nimi (yleensä ”Macintosh HD”). Siinä tulisi lukea ”Mount Point: Not Mounted” ja ”FileVault: Yes (Locked).” Pane muistiin taltion APFS Volume Disk ID ‑tunnus. Sen on muotoa disk3s2, mutta siinä on todennäköisesti eri numerot, kuten disk4s5.
diskutil apfs list3. Suorita seuraava komento, etsi henkilökohtaisen palautusavaimen käyttäjä ja merkitse muistiin luettelossa oleva UUID:
diskutil apfs listUsers /dev/<diskXsN>4. Suorita tämä komento:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Kun saat kehotuksen antaa salauslause (passphrase), sijoita tai kirjoita henkilökohtainen palautusavain ja paina rivinvaihtonäppäintä. Taltio tulee näkyviin Finderiin.