Gestire FileVault con la gestione dei dispositivi
Le organizzazioni possono gestire la crittografia completa del disco di FireVault utilizzando un servizio di gestione dei dispositivi o, in caso di alcune distribuzioni e configurazioni avanzate, lo strumento a riga di comando fdesetup. La gestione di FileVault tramite un servizio di gestione dei dispositivi è definita “abilitazione posticipata” e richiede un evento di logout o login da parte dell’utente. Un servizio di gestione dei dispositivi può anche personalizzare opzioni come:
I numero di volte in cui un utente può rinviare l’abilitazione di FileVault.
Se richiedere all’utente di effettuare il logout, oltre a richiederlo al login.
Se mostrare la chiave di recupero all’utente.
Quale certificato utilizzare per crittografare asimmetricamente la chiave di recupero per l’escrow al servizio di gestione dei dispositivi
Perché sia possibile sbloccare l’archiviazione su volumi APFS, è necessario che l’utente disponga di un token Secure e, su Mac con chip Apple, abbia lo stato di proprietario di volume. Per maggiori informazioni sui token sicuri e sulla proprietà di volumi, consulta Utilizzare token Secure, token Bootstrap e la proprietà di volume nelle distribuzioni. Di seguito puoi trovare informazioni sulla modalità e sulle tempistiche di fornitura di token Secure durante specifici flussi di lavoro.
Richiedere l’attivazione obbligatoria di FileVault in Impostazione Assistita
Utilizzando la chiave ForceEnableInSetupAssistant i Mac possono essere impostati per richiedere l’attivazione di FileVault durante Impostazione Assistita. Ciò garantisce che il dispositivo di archiviazione interno nei Mac gestiti sia sempre crittografato prima di essere usato. Le organizzazioni possono decidere di mostrare la chiave di recupero di FileVault all’utente oppure di depositare la chiave di recupero personale. Per utilizzare questa funzionalità, assicurati che await_device_configured sia impostato.
Nota: Prima di macOS 14.4, questa funzionalità richiedeva che l’account utente creato in modo interattivo durante Impostazione Assistita avesse il ruolo di amministratore.
Quando un utente configura un Mac autonomamente
Nota: Il servizio di gestione dei dispositivi deve supportare funzionalità specifiche per consentire ai token Secure e ai token Bootstrap di funzionare con un Mac.
Quando un utente configura un Mac autonomamente, non è il dipartimento IT a effettuare attività di provisioning sul dispositivo attuale. Ma è l’utente stesso a fornire tutte le politiche e le configurazioni utilizzando un servizio di gestione dei dispositivi o agli strumenti per la gestione delle configurazioni. Impostazione Assistita crea l’account locale iniziale e fornisce all’utente un token Secure, mentre il Mac genera un token Bootstrap e lo archivia nel servizio di gestione dei dispositivi.
Se il Mac effettua la registrazione a un servizio di gestione dei dispositivi, l’account iniziale potrebbe non essere di un amministratore locale, ma un account utente standard locale. Se abbassi il livello dell’utente a standard utilizzando un servizio, l’utente riceverà automaticamente un token Secure. Sui Mac con macOS 10.15.4 o versioni successive, se esegui il downgrade dell’utente, macOS genera automaticamente un token Bootstrap e lo archivia nel servizio di gestione dei dispositivi.
Se salti la creazione di un account utente locale in Impostazione Assistita tramite un servizio di gestione dei dispositivi e utilizzi un servizio di directory con account mobili, il servizio fornisce all’utente dell’account mobile un token Secure durante il login. Sui Mac con macOS 10.15.4 o versioni successive, dopo aver abilitato l’utente con un account mobile, macOS genera automaticamente un token Bootstrap durante il secondo accesso dell’utente e lo archivia nel servizio di gestione dei dispositivi.
Se la creazione di un account utente locale in Impostazione Assistita viene saltata dal servizio di gestione dei dispositivi e viene utilizzato al suo posto un servizio di directory con account mobili, il servizio di gestione dei dispositivi assegna all’utente un token Secure durante il login. Sui Mac con macOS 10.15.4 o versioni successive, se l’utente mobile ha un token Secure, macOS genera automaticamente un token Bootstrap e lo archivia nel servizio di gestione dei dispositivi.
In tutti gli scenari descritti sopra, dal momento che macOS fornisce al primo utente, quello principale, un token Secure, è possibile attivare FileVault tramite l’abilitazione posticipata, che consente di attivare FileVault, ma di ritardare l’abilitazione finché l’utente non effettua il login o il logout su un Mac. È anche possibile scegliere se l’utente può saltare l’attivazione di FileVault (in via facoltativa, è possibile specificare un numero di volte). Ciò consente all’utente principale del Mac, sia che si tratti di un utente locale o di un account mobile di qualsiasi tipo, di sbloccare il volume FileVault.
Su un Mac in cui il token Bootstrap è stato generato e archiviato in un servizio di gestione dei dispositivi, se in futuro un altro utente accede al Mac, macOS utilizza il token Bootstrap per assegnargli automaticamente un token sicuro. Ciò significa che FileVault sarà attivo sull’account e quest’ultimo sarà in grado di sbloccare il volume FileVault. Per impedire a un utente di sbloccare il dispositivo di archiviazione, utilizza fdesetup remove -user.
Quando il Mac viene fornito dall’organizzazione
Quando un’organizzazione fornisce un Mac prima di consegnarlo all’utente, il dipartimento IT configura il dispositivo. In questo caso, per il provisioning o la configurazione del Mac, utilizzi l’account amministrativo locale creato in Impostazione Assistita o tramite un servizio di gestione dei dispositivi, e il sistema operativo gli assegna il primo token di sicurezza durante il login. Se il servizio supporta la funzionalità token Bootstrap, il sistema operativo genera anche un token Bootstrap e lo archivia.
Se il Mac viene inserito in un servizio di directory e configurato per la creazione di account mobili e non è presente nessun token Bootstrap, agli utenti del servizio di directory verranno chiesti, al primo login, un nome utente e una password da amministratore per fornire un token Secure al proprio account. Inoltre, sarà necessario inserire le credenziali da amministratore locale attualmente abilitato da token Secure. Se un token Secure non è richiesto, l’utente può saltarne l’attivazione. Sui Mac con macOS 10.13.5 o versione successiva, è possibile disabilitare del tutto la finestra di dialogo del token Secure se non prevedi di utilizzare FileVault con gli account mobili. Per disabilitare completamente la finestra di dialogo del token Secure, applica un profilo di configurazione con impostazioni personalizzate dal servizio di gestione dei dispositivi con le seguenti chiavi e valori.
Impostazione | Valore | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Dominio | com.apple.MCX | ||||||||||
Chiave | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valore | Vero | ||||||||||
Se il servizio di gestione dei dispositivi supporta la funzionalità token Bootstrap e il Mac ne genera uno e lo archivia sul servizio, la finestra di dialogo non verrà mostrata agli utenti degli account mobili. Invece, macOS fornisce automaticamente un token Secure al momento del login.
Se sul Mac sono necessari utenti locali aggiuntivi invece di account utente di un servizio di directory, macOS gli fornisce automaticamente un token Secure quando un amministratore con token Secure abilitato li crea in “Utenti e gruppi” (in Impostazioni di Sistema su macOS 13 o versioni successive, oppure in Preferenze di Sistema su macOS 12.0.1 o versioni precedenti). Quando crei utenti locali tramite la riga di comando, l’amministratore può utilizzare lo strumento a riga di comando sysadminctl e abilitare facoltativamente gli utenti per il token Secure. Sui Mac con macOS 11 o versioni successive, se macOS non fornisce un token Secure al momento della creazione e se un token Bootstrap è disponibile dal servizio di gestione dei dispositivi, viene fornito un token Secure all’utente locale al momento del login.
In questi scenari, i seguenti utenti possono sbloccare il volume quando è crittografato con FileVault:
L’utente amministrativo locale originario utilizzato per fornire il dispositivo.
Qualsiasi utente aggiuntivo da un servizio di directory a cui è stato fornito un token Secure durante il login sia in modo interattivo attraverso la finestra di dialogo sia automaticamente con il token Bootstrap.
Tutti i nuovi utenti locali.
Per impedire a un utente di sbloccare il dispositivo di archiviazione, utilizza fdesetup remove -user.
Quando si utilizza uno dei flussi di lavoro descritti sopra, il token Secure è gestito da macOS senza configurazioni o script aggiuntivi; la funzionalità diviene parte dell’implementazione e non un aspetto che deve essere gestito o manipolato attivamente.
Strumento a riga di comando fdesetup
Per configurare FileVault, è possibile utilizzare le configurazioni di gestione del dispositivo o lo strumento a riga di comando fdesetup. In un Mac con macOS 10.15 o versioni successive, l’utilizzo di fdesetup per attivare FileVault fornendo il nome utente e la password è sconsigliato e non sarà disponibile nelle versioni future. Il comando continua a funzionare ma non è più supportato su macOS 11 e macOS 12.0.1. Prendi in considerazione l’utilizzo dell’abilitazione posticipata offerta da un servizio di gestione dei dispositivi. Per maggiori informazioni sullo strumento a riga di comando fdesetup, avvia l’app Terminale e scrivi man fdesetup o fdesetup help.
Chiavi di recupero istituzionale e personali a confronto
FileVault sui volumi CoreStorage e APFS supporta l’utilizzo di una chiave IRK (chiave di recupero istituzionale, precedentemente nota come “identità master FileVault”) per sbloccare il volume. Nonostante l’IRK sia utile per operazioni da riga di comando per sbloccare un volume o disabilitare FileVault, la sua utilità per le organizzazioni è limitata, specialmente nelle versioni recenti di macOS. Inoltre su un Mac con Apple Silicon, le IRK non forniscono alcun valore funzionale per due ragioni principali: In primo luogo, le IRK non possono essere utilizzate per accedere a recoveryOS, e in secondo luogo, siccome la modalità disco di destinazione non è più supportata, il volume non può essere sbloccato collegandolo a un altro Mac. Per queste e altre ragioni, per la gestione istituzionale di FileVault sui Mac non è più consigliato l’utilizzo della IRK. Al suo posto, deve essere usata una chiave di recupero personale (PRK). La PRK:
Fornisce un meccanismo di accesso al sistema operativo e di recupero estremamente efficace
Crittografia unica per il volume
Esegue l’archiviazione nel servizio di gestione dei dispositivi
Rotazione semplice delle chiavi dopo l’utilizzo
In un Mac con chip Apple con macOS 12.0.1 o versione successiva, Una PRK può essere usata sia su recoveryOS che per avviare un Mac crittografato su macOS direttamente. In recoveryOS, la PRK può essere usata se richiesta da Assistente Recupero o con l’opzione “Hai dimenticato tutte le password?” per ottenere accesso all’ambiente di recupero che è quindi in grado di sbloccare il volume. Utilizzando l’opzione “Hai dimenticato tutte le password?”, l’inizializzazione della password da parte dell’utente non è richiesta ed è possibile selezionare direttamente il pulsante per uscire da recoveryOS. Per avviare macOS direttamente sui Mac con chip Intel, seleziona il punto di domanda vicino al campo della password, quindi scegli l’opzione che consente l’inizializzazione tramite la chiave di recupero. Inserisci la PRK, poi premi Invio o fai clic sulla freccia. Dopo l’avvio di macOS, premi Annulla sulla finestra di dialogo per modificare la password.
Inoltre, in un Mac con chip Apple con macOS 12.0.1 o versioni successive, premi Opzione-Maiuscole-Invio per visualizzare il campo di immissione PRK, premi Invio o fai clic sulla freccia.
Vi è solo una PRK per volume crittografato. Durante l’abilitazione di FileVault da un servizio di gestione dei dispositivi, l’opzione può essere nascosta all’utente. Quando la configuri per l’archiviazione sicura su un servizio di gestione dei dispositivi, fornisce una chiave pubblica sotto forma di certificato a un Mac, che la utilizza per crittografare asimmetricamente la PRK in un formato busta CMS. La PRK crittografata viene restituita al servizio nella richiesta di informazioni di sicurezza, che un’organizzazione può quindi decrittografare per la visualizzazione. Poiché la crittografia è asimmetrica, il servizio stesso potrebbe non essere in grado di decrittografare la PRK (il che potrebbe richiedere ulteriori passaggi da parte di un amministratore). Tuttavia, molti sviluppatori di servizi di gestione dei dispositivi offrono l’opzione di gestire tali chiavi per consentirne la visualizzazione direttamente nei propri prodotti. Il servizio di gestione dei dispositivi può inoltre ruotare le PRK in via facoltativa con la frequenza richiesta per mantenere un livello di sicurezza elevato, ad esempio dopo che una PRK viene utilizzata per sbloccare un volume.
Una PRK può essere usata in modalità disco di destinazione su Mac con chip Apple per sbloccare un volume:
1. Connetti il Mac in modalità disco di destinazione a un altro Mac con la stessa versione di macOS o con una versione più aggiornata.
2. Apri Terminale, quindi esegui il seguente comando e cerca il nome del volume (di solito è “Macintosh HD”). Dovresti trovare: “Punto di attivazione: Non attivato” e “FileVault: Sì (bloccato)”. Prendi nota dell’ID disco del volume APFS, ossia un valore simile a disk3s2 ma con numeri probabilmente diversi, per esempio disk4s5.
diskutil apfs list3. Esegui il comando di seguito, quindi cerca l’utente di chiave di recupero personale e annota l’UUID indicato.
diskutil apfs listUsers /dev/<diskXsN>4. Esegui questo comando:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Quando viene richiesta la frase chiave, incolla o inserisci la PRK, quindi premi Invio. Il volume viene attivato nel Finder.