A FileVault kezelése eszközfelügyelettel
A szervezetek a FileVault teljes lemeztitkosítás funkcióját az eszközfelügyeleti szolgáltatás vagy egyes speciális üzembe helyezések és konfigurációk esetében az fdesetup parancssori eszköz segítségével felügyelhetik. A FileVault eszközfelügyeleti szolgáltatással történő kezelése késleltetett engedélyezésként is ismert, és kijelentkezési vagy bejelentkezési eseményt igényel a felhasználótól. Az eszközfelügyeleti szolgáltatás segítségével többek között az alábbiak is testreszabhatók:
Hány alkalommal halaszthatja el a felhasználó a FileVault engedélyezését
Értesítse-e a felhasználót kijelentkezéskor, a bejelentkezéskor történő értesítés mellett
Megjelenítse-e a helyreállítási kulcsot a felhasználónak
Melyik tanúsítvány legyen használva a helyreállítási kulcs aszimmetrikus titkosításához az eszközfelügyeleti szolgáltatásban történő tárolás céljából
Ahhoz, hogy engedélyezni tudja egy felhasználó számára az APFS-kötetek tárhelyét, szüksége lesz egy biztonsági tokenre, egy Apple-chippel rendelkező Macre és kötettulajdonosnak kell lennie. A biztonsági tokenekkel és a kötet tulajdonlásokkal kapcsolatos további információkért, lásd:Biztonsági tokenek, bootstrap tokenek és kötet tulajdonlások használata üzembe helyezett eszközökön. Az alábbiakban azzal kapcsolatos információkat olvashat, hogy a felhasználók hogyan és mikor kapnak biztonsági tokent adott munkafolyamatok során.
A FileVault kényszerítése a beállítási asszisztensben
A ForceEnableInSetupAssistant kulcs használatával a Mac számítógépektől megkövetelhető, hogy bekapcsolják a FileVaultot a Biztonság asszisztens futtatása során. Ez biztosítja, hogy a felügyelt Mac számítógépek esetében belső tárhely mindig titkosítva legyen a használat előtt. A szervezetek eldönthetik, hogy megjelenítik a FileVault helyreállítási kulcsát a felhasználónak, vagy eltárolják a személyes helyreállítási kulcsot. A funkció használatához ügyeljen arra, hogy az await_device_configured be legyen állítva.
Megjegyzés: A macOS 14.4 előtti rendszerek esetében a funkció működéséhez a beállítási asszisztensben interaktív módon létrehozott felhasználói fióknak Adminisztrátor szerepkörrel kell rendelkeznie.
Ha egy felhasználó saját maga végzi el egy Mac beállítását
Megjegyzés: Az eszközfelügyeleti szolgáltatásnak támogatnia kell bizonyos funkciókat ahhoz, hogy a biztonsági tokenek és a bootstrap tokenek működjenek a Macekkel.
Amikor a felhasználó saját maga állít be egy Macet, az informatikai osztály nem végez el előkészítési feladatokat az eszközön. Minden irányelvet és konfigurációt Önnek kell megadnia egy eszközfelügyeleti szolgáltatás vagy konfigurációkezelési eszközök használatával. A Beállítási asszisztens létrehozza a kezdeti helyi fiókot, és egy biztonsági tokent biztosít a felhasználó számára, valamint a Mac létrehoz egy bootstrap tokent, és eltárolja az eszközfelügyeleti szolgáltatásban.
Ha a Mac regisztrálva van egy eszközfelügyeleti szolgáltatásba, akkor a kezdeti fiókhoz nem szükséges helyi adminisztrátori fiókot létrehozni, hanem egy helyi általános felhasználói fiók is használható. Ha a felhasználót leminősíti normál felhasználóvá a szolgáltatás használatával, a szolgáltatás automatikusan biztosít egy biztonsági tokent a felhasználó számára. Ha macOS 10.15.4 vagy újabb rendszerrel működő Macek esetén leminősíti a felhasználót, a macOS automatikusan létrehoz egy bootstrap tokent, és eltárolja az eszközfelügyeleti szolgáltatásban.
Ha a Beállítási asszisztensben kihagyja a helyi felhasználói fiók létrehozását egy eszközfelügyeleti szolgáltatás használatával, és helyette egy címtárszolgáltatást használ mobilfiókokkal, akkor a szolgáltatás biztonságos tokent ad a mobilfiók felhasználójának a bejelentkezés során. A macOS 10.15.4 vagy újabb verzióját futtató Macen a mobilfiókkal rendelkező felhasználó engedélyezése után a macOS automatikusan létrehoz egy bootstrap tokent a felhasználó második bejelentkezésekor, és letétbe helyezi az eszközfelügyeleti szolgáltatásban.
Ha az eszközfelügyeleti szolgáltatás kihagyja a helyi felhasználói fiók létrehozását a Beállítási asszisztensben, és helyette mobilfiókokkal rendelkező címtárszolgáltatást használ, akkor az eszközfelügyeleti szolgáltatás biztosít egy biztonsági tokent a felhasználó számára a bejelentkezés során. Ha macOS 10.15.4 vagy újabb rendszerrel működő Macek esetén a mobilfiók felhasználója rendelkezik biztonsági tokennel, a macOS automatikusan létrehoz egy bootstrap tokent, és eltárolja az eszközfelügyeleti szolgáltatásban.
A fenti forgatókönyvek mindegyikére igaz, hogy mivel a macOS biztonsági tokent biztosít az első és elsődleges felhasználónak, a felhasználó engedélyezheti a FileVaultot a késleltetett engedélyezéssel, ami lehetővé teszi Önnek, hogy bekapcsolja a FileVaultot, azonban az engedélyezést késleltesse arra az időre, amíg egy felhasználó bejelentkezik a Macre, vagy kijelentkezik a Macről. Azt is kiválaszthatja, hogy a felhasználó kihagyhatja-e a FileVault bekapcsolását (igény szerint meghatározott számú alkalommal). Ez lehetővé teszi, hogy a Mac elsődleges felhasználója – akár helyi felhasználó, akár egy mobilfiók felhasználója – fel tudja oldani a FileVault-kötetet.
Ha a jövőben egy másik felhasználó bejelentkezik a Macre egy olyan gépen, amelyen a macOS létrehoz egy bootstrap tokent, és zálogba adja az eszközfelügyeleti szolgáltatásnak, akkor a macOS a bootstrap token segítségével automatikusan biztonsági tokent biztosít a felhasználó számára. Ez azt jelenti, hogy a fiókhoz engedélyezve lesz a FileVault, és feloldhatja a FileVault-kötetet. Az fdesetup remove -user parancs segítségével megtilthatja a felhasználók számára, hogy feloldhassák a tárhelyet.
Ha egy szervezet végzi el egy Mac előkészítését
Ha a Macet a szervezet előkészíti, mielőtt átadná a felhasználónak, az informatikai osztály végzi el az eszköz kezdeti beállítását. A Mac előkészítéséhez vagy beállításához a helyi adminisztrátori fiókot használja, amelyet a Beállítási asszisztensben hoz létre, vagy egy eszközfelügyeleti szolgáltatással előkészít egyet, és az operációs rendszer a bejelentkezés során megadja neki az első biztonságos tokent. Ha a szolgáltatás támogatja a bootstrap token funkciót, az operációs rendszer is létrehoz egy bootstrap tokent, és letétbe helyezi.
Ha a Mac címtárszolgáltatáshoz kapcsolódik, mobilfiókok létrehozására lett konfigurálva, és nincs bootstrap token, akkor a címtárszolgáltatás felhasználóinak az első bejelentkezéskor meg kell adniuk egy meglévő biztonsági tokennel rendelkező adminisztrátori felhasználónevet és jelszót, hogy az ő fiókjuk is megkapja a biztonsági tokent. Be kell írniuk egy biztonságos tokent használó helyi adminisztrátor hitelesítő adatait. Ha nincs szükség a biztonsági token használatára, akkor a felhasználó a Kihagyás gombra kattinthat. macOS 10.13.5 vagy újabb rendszert futtató Macek esetén a biztonsági token párbeszédpanelje teljes mértékben le is tiltható, ha nem fogja használni a FileVaultot a mobilfiókokkal. A biztonsági token párbeszédpanelének letiltásához használjon egy egyéni beállításokat tartalmazó konfigurációs profilt az eszközfelügyeleti szolgáltatásból az alábbi kulcsokkal és értékekkel:
Beállítás | Érték | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domén | com.apple.MCX | ||||||||||
Kulcs | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Érték | Igaz | ||||||||||
Ha az eszközfelügyeleti szolgáltatás támogatja a bootstrap token funkciót, és a Mac létrehoz egy bootstrap tokent, majd zálogba adja a szolgáltatásnak, akkor a mobilfiókok felhasználói számára nem jelenik meg ez az adatkérés. Ehelyett a macOS automatikusan egy biztonsági tokent biztosít ezeknek a felhasználóknak a bejelentkezéskor.
Ha egy címtárszolgáltatás felhasználói fiókjai helyett további helyi felhasználókra van szükség a Macen, a macOS automatikusan biztosít egy biztonsági tokent a helyi felhasználók számára, amikor egy biztonsági tokent használó adminisztrátor létrehozza őket a Felhasználók és csoportok panelen (a Rendszerbeállításokban macOS 13 vagy újabb rendszeren vagy a Rendszerbeállításokban macOS 12.0.1 vagy korábbi rendszeren). A helyi felhasználók parancssor segítségével történő létrehozásakor az adminisztrátor használhatja a sysadminctl parancssori eszközt, és igény szerint biztonsági tokent is engedélyezhet a számukra. Ha macOS 11 vagy újabb rendszerrel működő Mac esetén a macOS nem biztosít biztonsági tokent létrehozáskor, és elérhető egy bootstrap token az eszközfelügyeleti szolgáltatásból, akkor egy biztonsági token van biztosítva a helyi felhasználó számára a bejelentkezés során.
Ezekben az esetekben az alábbi felhasználók oldhatják fel a FileVault-titkosítással rendelkező kötetet:
Az eredeti helyi adminisztrátor, aki az előkészítést végezte
Minden olyan további címtárszolgáltatásbeli felhasználó aki megkapja a biztonsági tokent a bejelentkezés során, akár interaktívan a párbeszédpanel segítségével, akár automatikusan a bootstrap tokennel
Bármelyik új, helyi felhasználó
Az fdesetup remove -user parancs segítségével megtilthatja a felhasználók számára, hogy feloldhassák a tárhelyet.
A fent leírt munkafolyamatok használatakor a biztonsági tokent a macOS kezeli, és nem szükséges további konfiguráció, sem szkript – az implementáció részévé válik, és nem kell aktívan kezelni vagy manipulálni.
Az fdesetup parancssori eszköz
A FileVaultot az eszközfelügyeleti konfigurációkkal vagy az fdesetup parancssori eszközzel konfigurálhatja. macOS 10.15 vagy újabb verziót futtató Macek esetén elavulttá válik az fdesetup azon funkciója, hogy a felhasználónév és a jelszó megadásával bekapcsolható a FileVault, és nem lesz elérhető a jövőbeli kiadásokban. A parancs továbbra is működni fog, azonban a macOS 11 és macOS 12.0.1 rendszerben elavult marad. Ehelyett célszerű a késleltetett engedélyezést használni az eszközfelügyeleti szolgáltatás segítségével. Az fdesetup parancssori eszközzel kapcsolatos további információkért, indítsa el a Terminal appot, és írja be a man fdesetup vagy az fdesetup help parancsot.
Intézményes v személyes helyreállítási kulcsok
A FileVault a CoreStorage és az APFS-köteteken egyaránt támogatja az intézményi helyreállítási kulcs használatát (IRK, korábban FileVault Master identity) a kötet feloldása céljából. Bár az IRK hasznos a parancssori műveletek számára kötetek feloldásához vagy a FileVault letiltásához, szervezetek esetében ez a segédprogram korlátozott, legfőképpen a macOS rendszer legutóbbi verziói esetén. És az Apple-chippel rendelkező Maceken az IRKs két fő okból kifolyólag nem biztosít funkcionális értéket: Először, az IRKs nem használható a visszaállítási operációs rendszer megnyitására, másodszor pedig azért, mert a céllemez mód már nem támogatott, így a kötet nem oldható fel egy másik Machez történő csatlakoztatással. Ezen és egyéb okokból kifolyólag, az IRK használata a továbbiakban már nem ajánlott a FileVault Maceken történő szervezeti kezelése céljából. Ehelyett személyes helyreállítási kulcs (PRK) használata ajánlott. Egy PRK az alábbiakat biztosítja:
Egy rendkívül robusztus visszaállítási és operációs rendszerhozzáférési mechanizmus
Kötetenkénti egyedi titkosítás
Zálogba helyezés az eszközfelügyeleti szolgáltatásban
Egyszerű kulcsforgatást a használatot követően
Apple‑chippel rendelkező és macOS 12.0.1 vagy újabb rendszert futtató Maceken a PRK használható visszaállítási operációs rendszerben, illetve egy titkosított Mac közvetlenül macOS rendszerben történő elindításához. A visszaállítási operációs rendszer alatt a PRK használható, ha a Visszaállítási asszisztens felkéri rá, vagy a Forgot All Passwords (Elfelejtette az összes jelszavát?) beállítás segítségével, hogy hozzáférést nyerjen a visszaállítási környezethez, amely ezt követően feloldja a kötetet. A Forgot All Passwords (Elfelejtette az összes jelszavát?) beállítás használata esetén a felhasználó jelszavát nem szükséges alaphelyzetbe állítani. A kilépés gombra kattintva a gép közvetlenül elindítható a visszaállítási operációs rendszerben. A macOS Intel-alapú Maceken történő közvetlen indításához kattintson a jelszó mező melletti kérdőjelre, majd válassza a „reset it using your Recovery Key” (helyreállítás a helyreállítási kulcs használatával) lehetőséget. Adja meg a PRK-t, majd nyomja meg az Enter billentyűt vagy kattintson a nyílra. A macOS elindulását követően nyomja meg a Mégsem gombot a jelszó módosítási párbeszédablakban.
macOS 12.0.1 vagy újabb rendszerrel működő, Apple-chippel rendelkező Macen nyomja meg az Option-Shift-Return billentyűkombinációt a PRK beviteli mezőjének megjelenítéséhez, majd nyomja meg a Return billentyűt (vagy kattintson a nyílra).
Titkosított kötetenként kizárólag egy PRK létezik, és az eszközfelügyeleti szolgáltatás által történő FileVault-engedélyezés közben igény szerint elrejtheti azt a felhasználó elől. Amikor az eszközfelügyeleti szolgáltatásnak történő zálogba adásra lett konfigurálva, tanúsítvány formájában egy nyilvános kulcsot biztosít a Mac számára, amelynek segítségével a rendszer aszimmetrikusan titkosítja a PRK-t egy CMS borítékformátumban. A titkosított PRK-t a rendszer visszaküldi a szolgáltatásnak a biztonsági információk lekérdezésének keretén belül, amelynek a titkosítását ezt követően a szervezet feloldhatja megtekintés céljából. Mivel a titkosítás aszimmetrikus, előfordulhat, hogy a szolgáltatás egymaga nem képes a PRK titkosításának feloldására (így további adminisztrátori lépéseket igényelhet). Azonban az eszközfelügyeleti szolgáltatások számos fejlesztője lehetőséget biztosít ezen kulcsok kezelésére, ezzel lehetővé téve azok közvetlenül a termékeiken belül történő megtekintését. Az eszközfelügyeleti szolgáltatás továbbá képes opcionálisan forgatni a PRK-kat, amilyen gyakran csak szükséges, ezzel elősegítve az erős és biztonságos állapotot (pl. miután egy kötet PRK használatával lett feloldva).
A PRK segítségével céllemez módban feloldható egy kötet az Apple-chippel nem rendelkező Maceken:
1. Céllemez módban csatlakoztassa a Macet egy másik olyan Machez, amelyen ugyanaz a macOS rendszer vagy egy újabb macOS-verzió fut.
2. Nyissa meg a Terminal appot, majd futtassa le a következő parancsot, és keresse meg a kötet nevét (általában „Macintosh HD”). A következőt kell látnia: „Mount Point: Not Mounted” és „FileVault: Igen (Zárolt).” Jegyezze fel az APFS-kötet lemezazonosítóját a kötethez, amely hasonlít a „disk3s2” névre, azonban valószínűleg eltérő számokkal rendelkezik (pl. disk4s5).
diskutil apfs list3. Futtassa le a következő parancsot, majd keresse meg a személyes helyreállítási kulcs felhasználóját, és jegyezze fel a kilistázott UUID-t:
diskutil apfs listUsers /dev/<diskXsN>4. Futtassa le a következő parancsot:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. A jelmondat kérésnél másolja be vagy adja meg a PRK-t, majd nyomja meg az Enter billentyűt. A kötet a Finderben kerül felcsatolásra.