Suojaus- ja alustustunnuksen sekä laajamittaisen omistajuuden käyttö käyttöönotoissa
Secure Token
macOS 10.13:ssa tai uudemmassa oleva Apple File System (APFS) -tiedostojärjestelmä muuttaa sen, kuinka FileVault-salausavaimia luodaan. macOS:n edellisissä versioissa CoreStorage-taltioilla FileVault-salausprosessiin tarvittavat avaimet luotiin, kun käyttäjä tai organisaatio laittoi FileVaultin päälle Macissa. APFS-taltioilla olevassa macOS:ssä salausavaimet luodaan joko käyttäjän luomisen aikana, käyttäjän ensimmäisen salasanan asettamisen aikana tai Macin käyttäjän ensimmäisen sisäänkirjautumisen aikana. Tämä salausavaimien toteutus sekä niiden luomisaika ja säilytystapa ovat osa ominaisuutta nimeltä Secure Token. Secure Token on salattu versio avaimensalausavaimesta (key encryption key, KEK), joka on suojattu käyttäjän salasanalla.
Kun FileVault otetaan käyttöön APFS:llä, käyttäjä voi edelleen tehdä seuraavia:
käyttää olemassa olevia työkaluja ja prosesseja, kuten henkilökohtaista palautusavainta (personal recovery key, PRK), joka voidaan tallentaa mobiililaitteiden hallintaratkaisulla (MDM)
luoda ja käyttää organisaation palautusavainta (institutional recovery key, IRK)
viivyttää FileVaultin käyttöönottoa, kunnes käyttäjä kirjautuu sisään Maciin tai Macista ulos
macOS 11:ssä tai uudemmassa käyttäjä saa Secure Tokenin, kun Macin ensimmäiselle käyttäjälle asetetaan ensimmäinen salasana. Joissakin työnkuluissa se ei ole toivottavaa, sillä aiemmin ensimmäisen Secure Tokenin antaminen edellytti käyttäjätilin sisäänkirjaamista. Tämä voidaan estää lisäämällä ;DisabledTags;SecureToken ohjelmallisesti luodun käyttäjän AuthenticationAuthority-attribuuttiin ennen käyttäjän salasanan asettamista alla olevan esimerkin mukaisesti:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrap Token
macOS 10.15:ssä tai uudemmassa käytetään Bootstrap Tokenia, joka auttaa antamaan Secure Tokenin macOS:n tileille ja valinnaiselle laiterekisteröinnillä luodulle ylläpitäjän tilille (”hallittu ylläpitäjä”). macOS 11:ssä tai uudemmassa Bootstrap Token voi antaa Secure Tokenin mille tahansa käyttäjälle, joka kirjautuu Mac-tietokoneeseen, mukaan lukien paikalliset käyttäjätilit. macOS 10.15:n tai uudemman Bootstrap Token ‑ominaisuuden käyttö edellyttää seuraavia:
Valvonta
MDM-toimittajan tuki
Oletetaan, että MDM-ratkaisu tukee Bootstrap Tokeneita. Kun Secure Token ‑käyttäjä kirjautuu ensimmäisen kerran macOS 10.15.4:ssä tai uudemmassa, Bootstrap Token luodaan ja tallennetaan MDM-ratkaisuun. Tarvittaessa Bootstrap Token voidaan myös luoda ja turvatallentaa MDM-ratkaisuun käyttämällä profiles-komentorivityökalua.
macOS 11:ssä tai uudemmassa Bootstrap Tokenia voidaan käyttää muuhunkin kuin Secure Tokenin antamiseen käyttäjätileille. Mac-tietokoneissa, joissa on Applen siru, Bootstrap Tokenia (jos saatavilla) voidaan käyttää sekä kernelin laajennusten että ohjelmistopäivitysten asentamisen valtuuttamiseen, kun Macia hallitaan MDM:llä. Bootstrap Tokenia käytetään myös valtuuttamaan hiljaisesti MDM:n käynnistämä Poista kaikki sisältö ja asetukset ‑komento macOS 12.0.1:ssä tai uudemmassa.
Taltion omistajuus
Mac-tietokoneissa, joissa on Applen siru, on uutena ominaisuutena taltion omistajuus. Organisaatioiden tapauksessa taltion omistajuus ei ole sidottu Macin juridiseen omistajuuteen tai alkuperäketjuun. Sen sijaan taltion omistajuus voidaan määritellä väljästi siten, että omistajana toimivat käyttäjä, joka ensimmäisenä määritti Macin omaa käyttöään varten, sekä mahdolliset muut käyttäjät. Sinun tulee olla taltion omistaja voidaksesi muun muassa tehdä muutoksia käynnistyksen suojauskäytäntöön tietylle macOS-asennukselle, valtuuttaa macOS-ohjemistopäivitysten asentamisen ja aloittaa kaiken sisällön ja kaikkien asetusten poistamisen Macissa. Käynnistyksen suojauskäytäntö määrittää rajoitukset sille, mihin macOS-versioihin voidaan käynnistää, sekä voidaanko muun valmistajan kernelin laajennuksia ladata tai hallita, ja jos niin kuinka.
Käyttäjä, joka ensimmäisenä määritti Macin omaa käyttöään varten, saa Applen sirulla varustetussa Macissa Secure Tokenin ja hänestä tulee ensimmäinen taltion omistaja. Kun Bootstrap Token on saatavilla ja käytössä, siitä tulee myös taltion omistaja, ja se antaa sitten taltion omistajuuden muille tileille samalla, kun se antaa niille Secure Tokenit. Koska sekä ensimmäisestä Secure Tokenin saavasta käyttäjästä että Bootstrap Tokenista tulee taltion omistajia ja Bootstrap Token voi antaa Secure Tokenit lisäkäyttäjille (joista tulee tällöin myös taltion omistajia), taltion omistajuuden ei pitäisi olla asia, jota organisaatiossa tarvitsee aktiivisesti hallita tai muokata. Edellä käsiteltyjen Secure Tokenien hallitsemista ja antamista koskevien näkökohtien pitäisi yleisesti ottaen olla linjassa myös taltion omistajuuden kanssa.
Käyttäjän on mahdollista olla taltion omistaja ilman että hän on ylläpitäjä, mutta tietyt tehtävät vaativat molempien oikeuksien tarkistamista. Esimerkiksi käynnistyksen suojausasetusten muokkaaminen edellyttää sekä ylläpitäjyyttä että taltion omistajuutta, kun taas pienempien ohjelmistopäivitysten valtuuttaminen sallitaan normaalikäyttäjille, ja ainoa vaatimus on omistajuus.
Jos haluat katsoa ajantasaisen luettelon Applen sirulla varustetun Macin taltion omistajista, voit käyttää seuraavaa komentoa:
sudo diskutil apfs listUsers /diskutil-komennon tuotoksessa luetellut tyypin ”Local Open Directory User” GUID:t yhdistyvät käyttäjätietueiden GeneratedUID-attribuutteihin Open Directoryssa. Löydät käyttäjän GeneratedUID:llä käyttämällä seuraavaa komentoa:
dscl . -search /Users GeneratedUID <GUID>Voit myös käyttää seuraavaa komentoa nähdäksesi käyttäjätunnukset ja GUID:t yhdessä:
sudo fdesetup list -extendedOmistajuutta suojaa Secure Enclaven kryptografinen suojaus. Jos haluat lisätietoja, katso:
Komentorivityökalun käyttö
Bootstrap Tokenin ja Secure Tokenin hallintaan on olemassa komentorivityökaluja. Yleensä Mac luo Bootstrap Tokenin ja se tallennetaan MDM-ratkaisuun macOS:n käyttöönottoprosessissa, kun MDM-ratkaisu on kertonut Macille, että se tukee kyseistä ominaisuutta. Bootstrap Token voidaan kuitenkin luoda myös Macissa, joka on jo otettu käyttöön. macOS 10.15.4:ssä tai uudemmassa Bootstrap Token luodaan ja turvatallennetaan MDM-ratkaisuun kenen tahansa Secure Token ‑käyttäjän ensimmäisen kirjautumisen yhteydessä, jos MDM-ratkaisu tukee ominaisuutta. Tämä vähentää profiles-komentorivityökalun käyttötarvetta laitteen käyttöönoton jälkeen Bootstrap Tokenin luomiseen ja tallentamiseen MDM-ratkaisuun.
profiles-komentorivityökalussa on useita mahdollisuuksia Bootstrap Tokenia varten:
sudo profiles install -type bootstraptoken: Tämä komento luo uuden Bootstrap Tokenin ja tallentaa sen MDM-ratkaisuun. Tämä komento vaatii olemassa olevat Secure Token ‑ylläpitäjätiedot Bootstrap Tokenin ensimmäiseen luomiseen, ja MDM-ratkaisun täytyy tukea ominaisuutta.sudo profiles remove -type bootstraptoken: Tämä poistaa olemassa olevan Bootstrap Tokenin Macista ja MDM-ratkaisusta.sudo profiles status -type bootstraptoken: Tämä ilmoittaa, tukeeko MDM-ratkaisu Bootstrap Token ‑ominaisuutta ja mikä on Bootstrap Tokenin senhetkinen tila Macissa.sudo profiles validate -type bootstraptoken: Tämä ilmoittaa, tukeeko MDM-ratkaisu Bootstrap Token ‑ominaisuutta ja mikä on Bootstrap Tokenin senhetkinen tila Macissa.
sysadminctl-komentorivityökalu
sysadminctl-komentorivityökalua voidaan käyttää erityisesti Mac-tietokoneen käyttäjätilien Secure Token ‑tilan muuttamiseen. Tämä tulisi tehdä varoen ja vain tarvittaessa. Käyttäjän Secure Token ‑tilan muuttaminen sysadminctl-komennolla vaatii aina olemassa olevan Secure Tokenia käyttävän ylläpitäjän käyttäjätunnuksen ja salasanan, joko interaktiivisesti annettuna tai komennon lippuja käyttäen. Sekä sysadminctl että Järjestelmäasetukset estävät viimeisen ylläpitäjän tai Secure Tokenia käyttävän käyttäjän poistamisen Macilta. Jos muiden paikallisten käyttäjien luominen skriptataan sysadminctl-komennolla, Secure Tokenin käyttöönotto kyseisille käyttäjille edellyttää nykyisen Secure Tokenia käyttävän ylläpitäjän kirjautumistietojen antamista joko interaktiivisesti tai suoraan -adminUser ja -adminPassword-lipuilla sysadminctl-komennossa. Jos Secure Tokenia ei anneta luomisen aikana, macOS 11:ssä tai uudemmissa Mac-tietokoneeseen kirjautuva paikallinen käyttäjä saa Secure Tokenin sisäänkirjautumisen yhteydessä, jos Bootstrap Token on saatavilla MDM-ratkaisusta. sysadminctl -h-komennolla saat lisää käyttöohjeita.