FileVaultin hallinta laitehallinnalla
Organisaatiot voivat hallita koko levyn FileVault-salausta laitehallintapalvelulla tai tietyissä kehittyneissä käyttöönotoissa ja määrityksissä fdesetup-komentorivityökalulla. FileVaultin hallintaa laitehallintapalvelulla kutsutaan viivästyneeksi käyttöönotoksi, ja se vaatii käyttäjältä uloskirjautumis- tai sisäänkirjautumistapahtuman. Laitehallintapalvelu voi myös muokata esimerkiksi seuraavia valintoja:
kuinka monta kertaa käyttäjä voi viivästyttää FileVaultin käyttöönottoa
kehotetaanko käyttäjää sisäänkirjautumisen lisäksi myös uloskirjautumisen yhteydessä
näytetäänkö palautusavain käyttäjälle
mitä varmennetta käytetään palautusavaimen epäsymmetriseen salaukseen, kun se turvatallennetaan laitehallintapalveluun
Jotta käyttäjä voi avata APFS-taltioiden tallennustilan lukituksen, hänellä täytyy olla Secure Token, ja jos kyseessä on Applen sirulla varustettu Mac, hänen täytyy olla taltion omistaja. Jos haluat lisätietoja Secure Tokeneista ja taltion omistajuudesta, katso kohta Suojaus- ja alustustunnuksen sekä laajamittaisen omistajuuden käyttö käyttöönotoissa. Alla on tietoja siitä, miten ja milloin käyttäjät saavat Secure Tokenin eri työnkuluissa.
FileVaultin vaatiminen käyttöönottoapurissa
ForceEnableInSetupAssistant-avaimella voidaan vaatia Mac-tietokoneita laittamaan FileVault päälle käyttöönottoapurin suorittamisen aikana. Tämä varmistaa, että hallittujen Mac-tietokoneiden sisäinen tallennustila on aina salattu ennen kuin sitä käytetään. Organisaatiot voivat päättää, näytetäänkö FileVault-palautusavain käyttäjälle tai turvatallennetaanko henkilökohtainen palautusavain. Jos haluat käyttää tätä ominaisuutta, varmista että await_device_configured on asetettu.
Huomaa: macOS 14.4:ä vanhemmissa versioissa tämä ominaisuus edellytti, että käyttöönottoapurissa interaktiivisesti käyttöönotetun käyttäjätilin roolina oli ylläpitäjä.
Kun käyttäjä ottaa Macin itse käyttöön
Huomaa: Laitehallintapalvelun tulee tukea tiettyjä ominaisuuksia, jotta Security Tokenit ja Bootstrap Tokenit toimivat Mac-tietokoneen kanssa.
Kun käyttäjä ottaa Macin itse käyttöön, IT-osastot eivät tee mitään valmisteluja laitteelle. Annat kaikki käytännöt ja määritykset laitehallintapalvelulla tai asetusten hallintatyökaluilla. Käyttöönottoapuri luo ensimmäisen paikallisen tilin ja antaa käyttäjälle Secure Tokenin, ja Mac luo Bootstrap Tokenin ja turvatallentaa sen laitehallintapalveluun.
Jos Mac rekisteröidään laitehallintapalveluun, ensimmäinen tili ei välttämättä ole paikallinen ylläpitäjän tili vaan paikallinen tavallinen käyttäjätili. Jos teet käyttäjästä laitehallintapalvelulla normaalikäyttäjän, se antaa käyttäjälle automaattisesti Secure Tokenin. Jos teet käyttäjästä normaalikäyttäjän Macissa, jossa on macOS 10.15.4 tai uudempi, macOS luo automaattisesti Bootstrap Tokenin ja turvatallentaa sen laitehallintapalveluun.
Jos ohitat paikallisen käyttäjätilin luomisen käyttöönottoapurissa laitehallintapalvelua käyttäen ja käytät sen sijaan hakemistopalvelua ja liikkuvia tilejä, palvelu antaa liikkuvan tilin käyttäjälle Secure Tokenin kirjautumisen yhteydessä. Kun se on otettu käyttöön liikkuvalle käyttäjätilille Macissa, jossa on macOS 10.15.4 tai uudempi, macOS luo automaattisesti Bootstrap Tokenin, kun käyttäjä kirjautuu sisään toisen kerran, ja turvatallentaa sen laitehallintapalveluun.
Jos laitehallintapalvelu ohittaa paikallisen käyttäjätilin luomisen Käyttöönottoapurissa ja käyttää sen sijaan hakemistopalvelua ja liikkuvia tilejä, laitehallintapalvelu antaa käyttäjälle Secure Tokenin sisäänkirjautumisen yhteydessä. Jos liikkuvalla käyttäjällä on Secure Token Macissa, jossa on macOS 10.15.4 tai uudempi, macOS luo automaattisesti Bootstrap Tokenin ja turvatallentaa sen laitehallintapalveluun.
Koska kaikissa edellisissä tilanteissa macOS antaa ensimmäiselle ja ensisijaiselle käyttäjälle Secure Tokenin, käyttäjä voi ottaa käyttöön FileVaultin viivästyneellä käyttöönotolla. Näin voit laittaa FileVaultin päälle mutta viivyttää sen käyttöönottoa siihen asti, kunnes käyttäjä kirjautuu Maciin tai Macista ulos. Voit myös valita, voiko käyttäjä ohittaa FileVaultin laittamisen päälle (ja valinnaisesti määrittää, kuinka monta kertaa). Näin Macin ensisijainen käyttäjä (minkätyyppinen paikallinen käyttäjä tahansa tai liikkuva tili) voi avata FileVault-taltion lukituksen.
Jos Mac-tietokoneissa macOS luo Bootstrap Tokenin ja turvatallentaa sen laitehallintapalveluun ja myöhemmin toinen käyttäjä kirjautuu Maciin, macOS antaa hänelle automaattisesti Secure Tokenin Bootstrap Tokenin avulla. Tämä tarkoittaa, että tili voi myös käyttää FileVaultia ja avata FileVault-taltion lukituksen. Jos haluat poistaa käyttäjältä mahdollisuuden avata tallennuslaitteen lukitus, käytä komentoa fdesetup remove -user.
Kun organisaatio valmistelee Macin
Kun organisaatio valmistelee Macin ennen kuin se annetaan käyttäjälle, IT-osasto tekee laitteen määritykset. Macin provisiointiin tai käyttöönottoon käytetään paikallista ylläpitäjätiliä, joka luodaan joko käyttöönottoapurissa tai laitehallintapalvelussa, ja käyttöjärjestelmä antaa sille ensimmäisen Secure Tokenin, kun tilillä kirjaudutaan laitteeseen. Jos palvelu tukee Bootstrap Token ‑ominaisuutta, käyttöjärjestelmä luo lisäksi Bootstrap Tokenin ja turvatallentaa sen.
Jos Mac liitetään hakemistopalveluun ja asetetaan luomaan liikkuvia tilejä ja jos Bootstrap Tokenia ei ole, hakemistopalvelun käyttäjiltä kysytään ensimmäisessä sisäänkirjautumisessa olemassa olevan Secure Token ‑ylläpitäjän käyttäjätunnusta ja salasanaa, jotta käyttäjän tilille voidaan antaa Secure Token. Käyttäjän on syötettävä Secure Tokenia käyttävän paikallisen ylläpitäjän kirjautumistiedot. Jos Secure Tokenia ei tarvita, käyttäjä voi klikata Ohita. Macissa, jossa on macOS 10.13.5 tai uudempi, voit poistaa Secure Tokenin valintaikkunan kokonaan näkyvistä, jos et aio käyttää FileVaultia liikkuville tileille. Jos haluat kätkeä Secure Tokenin valintaikkunan, käytä laitehallintapalvelun kautta muokatut asetukset määrittävää asetusprofiilia seuraavilla avaimilla ja arvoilla:
Asetus | Arvo | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Avain | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Arvo | Tosi | ||||||||||
Jos laitehallintapalvelu tukee Bootstrap Token ‑ominaisuutta ja Mac luo sellaisen ja tallentaa sen palveluun, liikkuvan tilin käyttäjille ei näytetä tätä kehotusta. Sen sijaan macOS antaa heille automaattisesti Secure Tokenin sisäänkirjautumisen aikana.
Jos Maciin tarvitaan lisää paikallisia käyttäjiä hakemistopalvelun käyttäjätilien käyttämisen sijaan, macOS antaa heille automaattisesti Secure Tokenin, kun Secure Tokenia käyttävä ylläpitäjä luo nämä paikalliset käyttäjät Järjestelmäasetusten osiossa Käyttäjät ja ryhmät. Kun ylläpitäjä luo paikallisia käyttäjätilejä komentorivillä, hän voi käyttää sysadminctl-komentorivityökalua ja ottaa valinnaisesti tileille käyttöön Secure Tokenin. Macissa, jossa on macOS 11 tai uudempi, macOS antaa Maciin kirjautuvalle paikalliselle käyttäjälle Secure Tokenin sisäänkirjautumisen yhteydessä, jos Bootstrap Token on saatavilla laitehallintapalvelussa, vaikka macOS ei antaisi Secure Tokenia luomisen aikana.
Näissä tapauksissa seuraavat käyttäjät voivat avata FileVault-salatun taltion:
alkuperäinen paikallinen käyttäjä, jota käytettiin valmistelussa
muut hakemistopalvelukäyttäjät, joille on annettu Secure Token sisäänkirjautumisprosessin aikana, joko interaktiivisesti valintaikkunakehotuksen avulla tai automaattisesti Bootstrap Tokenilla
uudet paikalliset käyttäjät
Jos haluat poistaa käyttäjältä mahdollisuuden avata tallennuslaitteen lukitus, käytä komentoa fdesetup remove -user.
Kun käytetään jotakin edellä kuvatuista työnkuluista, macOS hallitsee Secure Tokenia ilman muita lisämäärityksiä tai -skriptiä. Siitä tulee toteutuksen yksityiskohta eikä mitään aktiivisesti hallittavaa tai muokattavaa.
fdesetup-komentorivityökalu
Voit käyttää laitehallintamäärityksiä tai fdesetup-komentorivityökalua FileVaultin määrittämiseen. Macissa, jossa on macOS 10.15 tai uudempi, fdesetup-komentorivityökalun käyttö FileVaultin päälle laittamiseen antamalla käyttäjätunnus ja salasana on poistuva ominaisuus, eikä se ole käytettävissä tulevissa julkaisuissa. Komento toimii edelleen mutta on poistuvana ominaisuutena macOS 11:ssä ja macOS 12.0.1:ssä. Harkitse sen sijaan viivästyneen käyttöönoton käyttöä laitehallintapalvelusta. Jos haluat lisätietoja fdesetup-komentorivityökalusta, avaa Pääte ja hae tietoja kirjoittamalla man fdesetup tai fdesetup help.
Organisaation tai henkilökohtaiset palautusavaimet
FileVault tukee sekä CoreStorage- että APFS-taltioilla organisaation palautusavaimen (institutional recovery key eli IRK, aikaisemmin nimeltään FileVaultin pääidentiteetti) käyttämistä taltion lukituksen avaamiseen. Vaikka organisaation palautusavain on käyttökelpoinen komentorivitoiminnoissa taltion lukituksen avaamisessa tai FileVaultin poistamisessa käytöstä, sen hyöty organisaatiolle on rajallinen varsinkin macOS:n uusimmissa versioissa. Applen sirulla varustetuissa Maceissa organisaation palautusavaimista ei ole hyötyä lähinnä kahdesta syystä: ensinnäkin organisaation palautusavaimilla ei pääse recoveryOS:ään, ja toisekseen, koska kohdelevytilaa ei enää tueta, taltion lukitusta ei voi avata toiseen Maciin yhdistämällä. Näiden ja muiden syiden vuoksi organisaation palautusavaimia ei enää suositella käytettäviksi Mac-tietokoneiden FileVaultin hallintaan organisaatioissa. Niiden sijaan tulisi käyttää henkilökohtaista palautusavainta (personal recovery key, PRK). Henkilökohtainen palautusavain tarjoaa seuraavat:
Erittäin vankka palautus ja käyttöjärjestelmän pääsymekanismi
Yksilöllinen taltiokohtainen salaus
Turvatallennus laitehallintapalveluun
Helppo avaimen kierrättäminen käytön jälkeen
Macissa, jossa on Applen siru ja macOS 12.0.1 tai uudempi, henkilökohtaista palautusavainta voidaan käyttää joko recoveryOS:ssä tai salatun Macin käynnistämisessä suoraan macOS:ään. recoveryOS:ssä henkilökohtaista palautusavainta voidaan käyttää joko jos palautusapuri pyytää sitä tai Unohditko kaikki salasanat ‑valinnalle, joka päästää palautusympäristöön, joka sitten myös avaa taltion lukituksen. Unohditko kaikki salasanat ‑valintaa käytettäessä käyttäjän salasanaa ei tarvitse nollata, vaan Poistu-painiketta klikkaamalla käynnistetään suoraan recoveryOS:ään. Jos haluat käynnistää suoraan macOS:ään Intel-pohjaisissa Mac-tietokoneissa, klikkaa kysymysmerkkiä salasanakentän vieressä ja valitse ”nollata sen palautusavaimella”. Syötä henkilökohtainen palautusavain ja paina rivinvaihtonäppäintä tai klikkaa nuolta. Kun macOS käynnistyy, valitse salasanan vaihdon valintaikkunassa Kumoa.
Macissa, jossa on Applen siru ja macOS 12.0.1 tai uudempi, näytä kenttä henkilökohtaisen palautusavaimen syöttämistä varten painamalla optio–vaihto–rivinvaihto ja paina rivinvaihtonäppäintä (tai klikkaa nuolta).
Kullakin salatulla taltiolla on vain yksi henkilökohtainen palautusavain, ja kun FileVault otetaan käyttöön laitehallintapalvelusta, voit halutessasi kätkeä sen käyttäjältä. Kun se määritetään turvatallennettavaksi laitehallintapalveluun, palvelu antaa Macille julkisen avaimen varmenteena, jota se käyttää henkilökohtaisen palautusavaimen epäsymmetriseen salaamiseen CMS-kirjekuoren muodossa. Salattu henkilökohtainen palautusavain palautuu palveluun suojaustietojen kyselyssä, ja organisaatio voi purkaa salauksen ja katsoa avaimen. Koska salaus on epäsymmetrinen, palvelu itse ei ehkä pysty purkamaan henkilökohtaisen palautusavaimen salausta (eli se voi vaatia lisätoimia ylläpitäjältä). Monet laitehallintapalvelun kehittäjät kuitenkin tarjoavat mahdollisuuden näiden avainten hallintaan siten, että niitä voidaan katsoa suoraan heidän tuotteissaan. Valinnaisesti laitehallintapalvelu voi vahvan tietoturvan varmistamiseksi kierrättää henkilökohtaisia palautusavaimia niin usein kuin on tarpeen – esimerkiksi aina sen jälkeen, kun henkilökohtaista palautusavainta on käytetty taltion avaamiseen.
Henkilökohtaista palautusavainta voidaan käyttää taltion avaamiseen kohdelevytilassa Mac-tietokoneissa, joissa ei ole Applen sirua:
1. Yhdistä Mac kohdelevytilassa toiseen Maciin, jossa on sama tai uudempi macOS-versio.
2. Avaa Pääte, suorita seuraava komento ja etsi taltion nimi (yleensä ”Macintosh HD”). Siinä tulisi lukea ”Mount Point: Not Mounted” ja ”FileVault: Yes (Locked).” Pane muistiin taltion APFS Volume Disk ID ‑tunnus. Sen on muotoa disk3s2, mutta siinä on todennäköisesti eri numerot, kuten disk4s5.
diskutil apfs list3. Suorita seuraava komento, etsi henkilökohtaisen palautusavaimen käyttäjä ja merkitse muistiin luettelossa oleva UUID:
diskutil apfs listUsers /dev/<diskXsN>4. Suorita tämä komento:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Kun saat kehotuksen antaa salauslause (passphrase), sijoita tai kirjoita henkilökohtainen palautusavain ja paina rivinvaihtonäppäintä. Taltio tulee näkyviin Finderiin.