Gestire FileVault con la gestione dei dispositivi mobili
La crittografia completa del disco di FileVault può essere gestita nelle organizzazioni che utilizzano un soluzione MDM, o, per alcune distribuzioni e configurazioni avanzate, tramite lo strumento a riga di comando fdesetup. La gestione di FileVault tramite l’utilizzo di MDM viene definita come “abilitazione rimandata” e richiede il login o il logout da parte dell’utente. MDM può personalizzare opzioni come:
Quante volte un utente può rinviare l’abilitazione di FileVault.
Se richiedere all’utente di effettuare il logout, oltre a richiederlo al login.
Se mostrare la chiave di recupero all’utente.
Quale certificato viene utilizzato per crittografare asimmetricamente la chiave di recupero per l’escrow alla soluzione MDM.
Perché sia possibile sbloccare l’archiviazione su volumi APFS, è necessario che l’utente disponga di un token Secure e, su Mac con chip Apple, abbia lo stato di proprietario di volume. Per maggiori informazioni sui token sicuri e sulla proprietà di volumi, consulta Utilizzare token Secure, token Bootstrap e la proprietà di volume nelle distribuzioni. Di seguito puoi trovare informazioni sulla modalità e sulle tempistiche di fornitura di token Secure durante specifici flussi di lavoro.
Richiedere l’attivazione obbligatoria di FileVault in Impostazione Assistita
Utilizzando la chiave ForceEnableInSetupAssistant i Mac possono essere impostati per richiedere l’attivazione di FileVault durante Impostazione Assistita. Ciò garantisce che il dispositivo di archiviazione interno nei Mac gestiti sia sempre crittografato prima di essere usato. Le organizzazioni possono decidere di mostrare la chiave di recupero di FileVault all’utente oppure di depositare la chiave di recupero personale. Per utilizzare questa funzionalità, assicurati che await_device_configured sia impostato.
Nota: Prima di macOS 14.4, questa funzionalità richiedeva che l’account utente creato in modo interattivo durante Impostazione Assistita avesse il ruolo di amministratore.
Quando un utente configura un Mac autonomamente
Quando un utente configura un Mac autonomamente, non è il dipartimento IT a effettuare attività di provisioning sul dispositivo attuale. Tutti i criteri e le configurazioni vengono forniti tramite una soluzione MDM o tramite strumenti di gestione delle configurazioni. L’account locale iniziale viene creato tramite Impostazione Assistita e all’utente viene fornito un token Secure. Se la soluzione MDM supporta la funzionalità token Bootstrap e informa il Mac durante la registrazione, il Mac genera un token Bootstrap, che verrà archiviato dalla soluzione MDM.
Se il Mac è registrato a una soluzione MDM, l’account iniziale può non essere un account da amministratore locale, ma un account utente standard locale. Se l’utente viene abbassato a utente standard tramite la soluzione MDM, all’utente viene fornito automaticamente un token Secure. Se l’utente ha effettuato il downgrade, su macOS 10.15.4 o versioni successive, un token Bootstrap viene generato e archiviato automaticamente nella soluzione MDM, nel caso in cui tale funzionalità sia supportata.
Se la creazione di un account utente locale in Impostazione Assistita di macOS viene saltata completamente utilizzando una soluzione MDM e al suo posto viene utilizzato un servizio di directory con account mobili, all’utente dell’account mobile verrà assegnato un token Secure durante il login. Con un account mobile, dopo che l’utente è stato abilitato tramite token Secure, su macOS 10.15.4 o versini successive, un token Bootstrap viene generato e archiviato automaticamente al momento del secondo login dell’utente alla soluzione MDM, nel caso in cui tale funzionalità sia supportata.
In entrambi gli scenari, dal momento che al primo utente, quello principale, viene fornito un token Secure, è possibile attivare FileVault tramite l’abilitazione rimandata. L’abilitazione rimandata consente all’organizzazione di attivare FileVault, ma di rimandarne l’abilitazione finché un utente non effettua il login o il logout sul Mac. È anche possibile scegliere se l’utente può saltare l’attivazione di FileVault (facoltativamente è possibile specificare un numero di volte). Il risultato finale sarà che l’utente principale del Mac, sia che si tratti di un utente locale o di un account mobile di qualsiasi tipo, potrà sbloccare il dispositivo di archiviazione quando è crittografato con FileVault.
Sui Mac in cui un token Bootstrap è stato generato e archiviato su una soluzione MDM, se un altro utente effettua il login al Mac in una data e in un orario futuri, il token Bootstrap viene usato per fornire automaticamente un token Secure. Ciò significa che FileVault sarà attivo sull’account e quest’ultimo sarà in grado di sbloccare il volume FileVault. Per impedire a un utente di sbloccare il dispositivo di archiviazione, utilizza fdesetup remove -user.
Quando un Mac viene fornito da un’organizzazione
Quando un Mac viene assegnato da un’organizzazione e dato a un’utente, è il dipartimento IT a configurare il dispositivo. L’account amministrativo locale creato Impostazione Assistita o fornito con la soluzione MDM viene usato per assegnare o configurare il Mac e al login viene fornito il primo token Secure. Se la soluzione MDM supporta la funzionalità token Bootstrap, viene generato anche un token Bootstrap che verrà archiviato nella soluzione MDM.
Se il Mac viene inserito in un servizio di directory e configurato per la creazione di account mobili e non è presente nessun token Bootstrap, agli utenti del servizio di directory verranno chiesti, al primo login, un nome utente e una password da amministratore per fornire un token Secure al proprio account. È necessario inserire le credenziali di un amministratore locale attualmente abilitato da token Secure. Se il token Secure non è richiesto, l’utente può saltarne l’attivazione. In macOS 10.13.5 o versione successiva, è possibile disabilitare del tutto la finestra di dialogo del token Secure se FileVault non verrà utilizzato con gli account mobili. Per disabilitare completamente la finestra di dialogo del token Secure, applica un profilo di configurazione con impostazioni personalizzate dalla tua soluzione MDM con le seguenti chiavi e valori.
Impostazione | Valore | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Dominio | com.apple.MCX | ||||||||||
Chiave | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valore | Vero | ||||||||||
Se la soluzione MDM supporta la funzionalità token Bootstrap e il Mac ne ha generato uno e lo ha archiviato nella soluzione MDM, la finestra di dialogo non verrà mostrata agli utenti degli account mobili. A questi verrà invece automaticamente fornito un token Secure in fase di login.
Se sul Mac sono necessari utenti locali aggiuntivi (invece di account utente di un servizio di directory), a tali utenti locali viene fornito automaticamente un token Secure quando vengono creati in “Utenti e gruppi” (in Impostazioni di Sistema su macOS 13 o versioni successive, oppure in Preferenze di Sistema su macOS 12.0.1 o versioni precedenti) da un amministratore con token Secure abilitato. Se stai creando utenti locali tramite la riga di comando, puoi utilizzare lo strumento a riga di comando sysadminctl e abilitare facoltativamente gli utenti per il token Secure. Anche se non viene fornito un token Secure al momento della creazione, in macOS 11 o versione successiva, a un utente locale che accede a un Mac viene fornito un token Secure al momento del login se un token Bootstrap è disponibile dalla soluzione MDM.
In questi scenari, i seguenti utenti possono sbloccare il volume quando è crittografato con FileVault:
L’utente amministrativo locale originario utilizzato per fornire il dispositivo.
Qualsiasi utente aggiuntivo da un servizio di directory a cui è stato fornito un token Secure durante il login sia in modo interattivo attraverso la finestra di dialogo sia automaticamente con il token Bootstrap.
Tutti i nuovi utenti locali.
Per impedire a un utente di sbloccare il dispositivo di archiviazione, utilizza fdesetup remove -user.
Quando si utilizza uno dei flussi di lavoro descritti sopra, il token Secure è gestito da macOS senza configurazioni o script aggiuntivi; la funzionalità diviene parte dell’implementazione e non un aspetto che deve essere gestito o manipolato attivamente.
Strumento a riga di comando fdesetup
Per configurare FileVault è possibile utilizzare delle configurazioni MDM o lo strumento a riga di comando fdesetup. In macOS 10.15 o versioni successive, l’utilizzo di fdesetup per attivare FileVault fornendo il nome utente e la password è sconsigliato e non verrà riconosciuto nelle future versioni. Il comando continua a funzionare ma è sconsigliato per macOS 11 e macOS 12.0.1. Si consiglia di utilizzare l’abilitazione rimandata tramite soluzione MDM. Per maggiori informazioni sullo strumento a riga di comando fdesetup, avvia l’app Terminale e scrivi man fdesetup o fdesetup help.
Chiavi di recupero istituzionale e personali a confronto
FileVault sui volumi CoreStorage e APFS supporta l’utilizzo di una chiave IRK (chiave di recupero istituzionale, precedentemente nota come “identità master FileVault”) per sbloccare il volume. Nonostante l’IRK sia utile per operazioni da riga di comando per sbloccare un volume o disabilitare FileVault, la sua utilità per le organizzazioni è limitata, specialmente nelle versioni recenti di macOS. Inoltre su un Mac con Apple Silicon, le IRK non forniscono alcun valore funzionale per due ragioni principali: In primo luogo, le IRK non possono essere utilizzate per accedere a recoveryOS, e in secondo luogo, siccome la modalità disco di destinazione non è più supportata, il volume non può essere sbloccato collegandolo a un altro Mac. Per queste e altre ragioni, per la gestione istituzionale di FileVault sui Mac non è più consigliato l’utilizzo della IRK. Al suo posto, deve essere usata una chiave di recupero personale (PRK). La PRK:
Fornisce un meccanismo di accesso al sistema operativo e di recupero estremamente efficace
Crittografia unica per il volume
Da escrow a MDM
Rotazione semplice delle chiavi dopo l’utilizzo
Una PRK può essere usata sia su recoveryOS che per avviare un Mac crittografato su macOS direttamente (richiede macOS 12.0.1 o versione successiva per i Mac con chip Apple). In recoveryOS, la PRK può essere usata se richiesta da Assistente Recupero o con l’opzione “Hai dimenticato tutte le password?” per ottenere accesso all’ambiente di recupero che è quindi in grado di sbloccare il volume. Utilizzando l’opzione “Hai dimenticato tutte le password?”, l’inizializzazione della password da parte dell’utente non è richiesta ed è possibile selezionare direttamente il pulsante per uscire da recoveryOS. Per avviare macOS direttamente sui Mac con chip Intel, seleziona il punto di domanda vicino al campo della password, quindi scegli l’opzione che consente l’inizializzazione tramite la chiave di recupero. Inserisci la PRK, poi premi Invio o fai clic sulla freccia. Dopo l’avvio di macOS, premi Annulla sulla finestra di dialogo per modificare la password. Per avviare macOS, su un Mac con chip Apple con macOS 12.0.1 o versione successiva, premi Opzione-Maiuscole-Invio per visualizzare il campo di immissione PRK, premi Invio o fai clic sulla freccia.
Vi è solo una PRK per volume crittografato. Durante l’abilitazione di FileVault da MDM, l’opzione può essere nascosta all’utente. Quando è prevista l’archiviazione su MDM, la soluzione fornisce al Mac una chiave pubblica tramite certificato che viene quindi utilizzato per crittografare asimmetricamente la PRK in un formato Envelope CMS. La PRK crittografata viene restituita a MDM nella query relativa alle informazioni di sicurezza che può quindi essere decrittografata per la visualizzazione da parte di un’organizzazione. Poiché la crittografia è asimmetrica, la stessa soluzione MDM potrebbe non essere in grado di decrittografare la PRK (e quindi richiederebbe ulteriori passaggi da parte di un amministratore). Tuttavia, molti fornitori di MDM forniscono l’opzione di gestire queste chiavi per consentire la visualizzazione direttamente nei loro prodotti. MDM può anche ruotare opzionalmente le PRK, in funzione di quanto spesso vengono richieste per mantenere una sicurezza elevata, per esempio, dopo che una PRK viene utilizzata per sbloccare un volume.
Una PRK può essere usata in modalità disco di destinazione su Mac con chip Apple per sbloccare un volume:
1. Connetti il Mac in modalità disco di destinazione a un altro Mac con la stessa versione di macOS o con una versione più aggiornata.
2. Apri Terminale, quindi esegui il seguente comando e cerca il nome del volume (di solito è “Macintosh HD”). Dovresti trovare: “Punto di attivazione: Non attivato” e “FileVault: Sì (bloccato)”. Prendi nota dell’ID disco del volume APFS, ossia un valore simile a disk3s2 ma con numeri probabilmente diversi, per esempio disk4s5.
diskutil apfs list3. Esegui il comando di seguito, quindi cerca l’utente di chiave di recupero personale e annota l’UUID indicato.
diskutil apfs listUsers /dev/<diskXsN>4. Esegui questo comando:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Quando viene richiesta la frase chiave, incolla o inserisci la PRK, quindi premi Invio. Il volume viene attivato nel Finder.