FileVaultin hallinta macOS:ssä
Organisaatiot voivat hallita FileVaultia macOS:ssä käyttämällä SecureTokenia tai Bootstrap Tokenia.
Secure Tokenin käyttö
macOS 10.13:ssa tai uudemmissa oleva Apple File System (APFS) -järjestelmä muuttaa sen, kuinka FileVault-salausavaimia generoidaan. macOS:n aikaisemmissa versioissa CoreStorage-taltioilla FileVault-salausprosessissa käytettävät avaimet luotiin, kun käyttäjä tai organisaatio laittoi FileVaultin päälle Macissa. macOS:n APFS-taltioilla avaimet luodaan joko käyttäjän luomisen aikana, asetettaessa ensimmäisen käyttäjän salasana tai kun käyttäjä kirjautuu ensimmäisen kerran Maciin. Tämä salausavaimien toteutus, luomisaika ja tallennustapa ovat kaikki osa ominaisuutta nimeltä Secure Token. Secure Token ‑avain on salattu versio avaimensalausavaimesta (key encryption key, KEK), joka suojataan käyttäjän salasanalla.
Kun FileVault otetaan käyttöön APFS:llä, käyttäjä voi edelleen tehdä seuraavia:
käyttää olemassa olevia työkaluja ja prosesseja, kuten henkilökohtaista palautusavainta (personal recovery key, PRK), joka voidaan tallentaa vara-avaimeksi mobiililaitteiden hallintaratkaisua (MDM) käyttäen.
viivyttää FileVaultin käyttöönottoa, kunnes käyttäjä kirjautuu Maciin tai Macista pois.
luoda ja käyttää organisaation palautusavainta (institutional recovery key, IRK).
macOS 11:ssä ensimmäisen salasanan asettamisesta Macin kaikkein ensimmäiselle käyttäjälle seuraa, että tämä käyttäjä saa Secure Token ‑avaimen. Joissakin työnkuluissa tätä ei ehkä haluta, koska aikaisemmin ensimmäisen Secure Token ‑avaimen antaminen on edellyttänyt kyseisen käyttäjätilin sisäänkirjautumista. Tämä voidaan estää lisäämällä ;DisabledTags;SecureToken ohjelmallisesti luodun käyttäjän AuthenticationAuthority-attribuuttiin ennen käyttäjän salasanan asettamista, kuten alla on havainnollistettu:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrap Tokenin käyttö
macOS 10.15:ssä esiteltiin uusi ominaisuus nimeltä Bootstrap Token, joka auttaa antamaan Secure Token ‑avaimen liikkuville tileille ja valinnaiselle laiterekisteröinnillä luodulle ylläpitäjän tilille (”hallittu ylläpitäjä”). macOS 11:ssä Bootstrap Token voi antaa Secure Token ‑avaimen kenelle tahansa Mac-tietokoneeseen kirjautuvalle käyttäjälle, paikalliset käyttäjätilit mukaan lukien. macOS 10.15:n tai uudemman Bootstrap Token ‑ominaisuuden käyttäminen edellyttää seuraavia:
Macin rekisteröinti MDM:ään käyttäen Apple School Manageria tai Apple Business Manageria, jolloin Macista tulee valvottu
MDM-toimittajan tuki
macOS 10.15.4:ssä tai uudemmissa Bootstrap Token luodaan ja tallennetaan MDM-ratkaisuun, kun ensimmäinen Secure Tokenin saava käyttäjä kirjautuu tietokoneelle. Edellytyksenä on, että MDM-ratkaisu tukee tätä ominaisuutta. Bootstrap Token voidaan myös tarvittaessa luoda ja tallentaa MDM-ratkaisuun käyttäen profiles-komentorivityökalua.
macOS 11:ssä Bootstrap Tokenia voidaan käyttää muuhunkin kuin Secure Token ‑avaimen antamiseen käyttäjätileille. Jos Bootstrap Token on saatavilla Apple siliconilla varustetussa Macissa, sitä voidaan käyttää sekä kernelin laajennusten että ohjelmistopäivitysten asennusten valtuuttamiseen MDM-hallinnassa.
Organisaation palautusavaimet vai henkilökohtaiset palautusavaimet
FileVault tukee sekä CoreStorage- että APFS-taltioilla organisaation palautusavaimen (IRK, aikaisemmalta nimeltään FileVaultin pääidentiteetti) käyttämistä taltion lukituksen avaamiseen. Vaikka organisaation palautusavainta voidaan käyttää komentorivitoiminnoissa, joissa avataan taltion lukitus tai poistetaan FileVault kokonaan käytöstä, siitä on organisaatioille vain rajallisesti hyötyä varsinkin uudemmissa macOS-versioissa. Applen sirulla varustetussa Macissa organisaation palautusavaimilla ei ole käytännön arvoa lähinnä kahdesta syystä: Ensinnäkään organisaation palautusavaimilla ei voi käyttää recoverOS:ää, ja toisekseen koska kohdelevytilaa ei enää tueta, taltion lukitusta ei voida avata yhdistämällä se toiseen Maciin. Näiden ja muiden syiden vuoksi organisaatioille ei enää suositella organisaation palautusavainten käyttämistä FileVaultin hallintaan Mac-tietokoneissa. Sen sijaan tulisi käyttää henkilökohtaista palautusavainta (personal recovery key, PRK).