Utilizzare token Secure, token Bootstrap e la proprietà di volume nelle distribuzioni
Token Secure
Apple File System (APFS) su un Mac con macOS 10.13 o versione successiva modifica il modo in cui vengono generate le chiavi di crittografia di FileVault. In versioni precedenti di macOS su volumi CoreStorage, le chiavi da utilizzare nel processo di crittografia di FileVault venivano create quando un utente o un’organizzazione attivavano FileVault su un Mac. Per i Mac con volumi APFS, le chiavi di crittografia vengono generate durante la creazione dell’utente, l’impostazione della prima password utente o durante il primo login da parte di un utente sul Mac. Questa implementazione delle chiavi di crittografia, il momento in cui vengono generate e il modo in cui vengono archiviate fanno tutte parte della funzionalità nota come token secure. Nello specifico, un token Secure è la versione incapsulata di una chiave KEK (Key Encryption Key) protetta dalla password di un utente.
Con la distribuzione di FileVault su APFS, l’utente può continuare a:
Utilizzare strumenti e processi esistenti, come una chiave di recupero personale (PRK) che può archiviare con un servizio di gestione dei dispositivi per l’escrow.
Creare e utilizzare una chiave di recupero istituzionale.
Rimandare l’abilitazione di FileVault fino a quando un utente non effettua il login o il logout sul Mac.
In un Mac con macOS 11 o versioni successive, quando l’utente imposta la password iniziale per il primo utente sul Mac gli viene fornito un token Secure. In alcuni flussi di lavoro, questo potrebbe non essere il comportamento desiderato, poiché in precedenza, la concessione del primo token Secure avrebbe richiesto l’accesso all’account utente. Per evitare che ciò accada, aggiungi ;DisabledTags;SecureToken all’attributo dell’utente creato programmaticamente AuthenticationAuthority prima di impostare la password utente, come mostrato di seguito:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Token Bootstrap
Su un Mac con macOS 10.15 o versioni successive, puoi usare il token Bootstrap per altre attività oltre a garantire i token Secure agli account utente esistenti. Su un Mac con chip Apple (se disponibile e gestito tramite un servizio di gestione dei dispositivi), puoi utilizzare il token di avvio per:
Supervisione
Supporto sviluppatore del servizio di gestione dei dispositivi
Su un Mac con macOS 10.15.4 o versioni successive, quando un utente con token Secure abilitato accede per la prima volta, macOS genera un token Bootstrap e lo archivia in un servizio di gestione dei dispositivi. È inoltre possibile generare e archiviare un token Bootstrap su un servizio tramite lo strumento a riga di comando profiles, se necessario.
In un Mac con macOS 11 o versioni successive, puoi utilizzare il token Bootstrap per altre attività oltre a garantire il token Secure agli account utente esistenti. Su un Mac con chip Apple, il token Bootstrap, se disponibile e quando gestito tramite un servizio di gestione dei dispositivi, può essere utilizzato per:
Autorizzare l’installazione degli aggiornamenti software.
Autorizzare tacitamente il comando di gestione dei dispositivi per inizializzare tutti i contenuti e le impostazioni (macOS 12.0.1 o versioni successive).
Creare nuovi utenti quando accedono per la prima volta con la piattaforma Single Sign-On (macOS 13 o versioni successive).
Proprietà di un volume
I Mac con chip Apple introducono il concetto di proprietà del volume. La proprietà del volume in un contesto organizzativo non è legata alla vera proprietà legale o alla catena di custodia del Mac. Invece, la proprietà del volume può essere vagamente definita come l’utente che per primo ha rivendicato un Mac configurandolo per il proprio uso, insieme a qualsiasi altro utente aggiuntivo. Per eseguire modifiche nella politica di sicurezza di avvio per un’installazione specifica di macOS, autorizzare l’installazione di aggiornamenti e upgrade del software di macOS, iniziare una procedura di inizializzazione di tutti i contenuti e di tutte le impostazioni sul Mac e altro ancora, è necessario essere proprietari del volume. La politica di sicurezza di avvio definisce le restrizioni relative a quali versioni di macOS possono essere avviate e stabilisce la modalità e la possibilità di caricare e gestire o meno le estensioni del kernel di terze parti.
L’utente che per primo ha rivendicato un Mac configurandolo per il suo uso, riceve un token Secure su un Mac con Apple Silicon e diventa il primo proprietario del volume. Quando un token Bootstrap è disponibile e in uso, esso diventa proprietario del volume e concede lo stato di proprietà di volume ad account aggiuntivi, man mano che vengono loro concessi token sicuri. La proprietà di un volume non dovrebbe essere attivamente gestita o manipolata da un’organizzazione, dal momento che i primi utenti a cui viene assegnato un token Secure e un token Bootstrap diventano proprietari di volume, lo stesso vale per la capacità del token Bootstrap di concedere token Secure e, pertanto, lo stato di proprietari di volume, a utenti aggiuntivi. Le considerazioni precedenti relative alla gestione e alla concessione di token Secure devono generalmente allinearsi anche con lo stato di proprietà del volume.
È possibile possedere un determinato volume senza esserne l’amministratore, tuttavia, alcune attività richiedono il controllo della proprietà di entrambi gli stati. Per esempio, la modifica delle impostazioni di sicurezza di avvio richiede entrambe le proprietà di amministratore e proprietario, mentre l’autorizzazione di aggiornamenti software è consentita tramite utenti standard e richiede unicamente lo stato di proprietario.
Per consultare l’elenco attuale di proprietari di volume su Mac con chip Apple, puoi eseguire il seguente comando:
sudo diskutil apfs listUsers /I GUID elencati nel comando diskutil del tipo “Local Open Directory User” sono mappati agli attributi GeneratedUID dei record utente in Open Directory. Per trovare un utente tramite GeneratedUID, utilizza il seguente comando:
dscl . -search /Users GeneratedUID <GUID>Puoi anche utilizzare il seguente comando per visualizzare contemporaneamente nomi utente e GUID:
sudo fdesetup list -extendedLa proprietà viene supportata mediante la crittografia protetta in Secure Enclave. Per ulteriori informazioni, consulta:
Utilizzo degli strumenti da riga di comando
Per la gestione di token Bootstrap e token Secure sono disponibili degli strumenti a riga di comando. Di solito, macOS genera il token Bootstrap e lo archivia nel servizio di gestione dei dispositivi durante la procedura di configurazione di macOS, dopo che il servizio ha comunicato al Mac che tale funzionalità è supportata. Tuttavia, è anche possibile generare un token Bootstrap su un Mac che è già stato distribuito. Su un Mac con macOS 10.15.4 o versioni successive, macOS genera un token Bootstrap e lo archivia nel servizio quando l’utente abilitato per il token Secure (se il servizio supporta tale funzionalità) esegue l’accesso per la prima volta. Questo riduce la necessità di utilizzare lo strumento a riga di comando profiles dopo la configurazione del dispositivo per generare e archiviare un token Bootstrap nel servizio di gestione dei dispositivi.
Lo strumento a riga di comando profiles dispone di una serie di opzioni per interagire con il token Bootstrap:
sudo profiles install -type bootstraptoken: questo comando genera un nuovo token Bootstrap e lo archivia nel servizio di gestione dei dispositivi. Questo comando richiede delle informazioni da amministratore con token Secure esistenti per generare inizialmente il token Bootstrap e il servizio di gestione dei dispositivi deve supportare la funzionalità.sudo profiles remove -type bootstraptoken: Rimuove il token Bootstrap esistente su Mac e servizio di gestione dei dispositivi.sudo profiles status -type bootstraptoken: rileva se il servizio di gestione dei dispositivi supporta la funzionalità token Bootstrap e lo stato attuale del token Bootstrap sul Mac.sudo profiles validate -type bootstraptoken: rileva se il servizio di gestione dei dispositivi supporta la funzionalità token Bootstrap e lo stato attuale del token Bootstrap sul Mac.
Strumento a riga di comando sysadminctl
È possibile utilizzare lo strumento a riga di comando sysadminctl specificatamente per modificare lo stato del token Secure per gli account utente su un Mac. Tale operazione deve essere effettuata con cautela e solo se necessario. La modifica dello stato di token Secure di un utente tramite sysadminctl richiede sempre il nome utente e la password di un amministratore esistente con token Secure abilitato, in maniera interattiva o tramite gli appositi flag nel comando. Sia sysadminctl e Impostazioni di Sistema (macOS 13 o versioni successive) o Preferenze di Sistema (macOS 12.0.1 o versioni precedenti) impediscono l’eliminazione dell’ultimo utente amministratore o con il token Secure abilitato dal Mac. Se si esegue uno script per la creazione di utenti locali aggiuntivi tramite sysadminctl, per poter abilitare token Secure per tali utenti, sono richieste le credenziali di un amministratore attuale con token Secure abilitato; tali credenziali devono essere fornite tramite l’opzione interattiva o direttamente con i flag -adminUser e -adminPassword in sysadminctl.
Sui Mac con macOS 11 o versioni successive, se macOS non garantisce un token Secure durante la creazione e se un token Bootstrap è disponibile dal servizio di gestione dei dispositivi, viene garantito un token Secure all’utente locale quando accede. Utilizza sysadminctl -h per istruzioni di utilizzo aggiuntive.