FileVault beheren met apparaatbeheer
Organisaties kunnen FileVault-encryptie van volledige schijven beheren met een voorziening voor apparaatbeheer of, voor bepaalde geavanceerde implementaties en configuraties, met de commandoregeltool fdesetup. Voor beheer van FileVault met een voorziening voor apparaatbeheer moet een gebruiker in- of uitloggen. Dit wordt uitgestelde inschakeling genoemd. Met een voorziening voor apparaatbeheer kun je onder meer de volgende opties aanpassen:
Hoe vaak een gebruiker de inschakeling van FileVault kan uitstellen
Of de gebruiker niet alleen een verzoek moet krijgen bij het inloggen, maar ook bij het uitloggen
Of de herstelsleutel aan de gebruiker moet worden getoond
Welk certificaat moet worden gebruikt om de herstelsleutel asymmetrisch te versleutelen voor bewaring in de voorziening voor apparaatbeheer
Om APFS-opslagvolumes te kunnen ontgrendelen, moet de gebruiker een Secure Token hebben. Daarnaast moet de gebruiker volume-eigenaar zijn als het om een Mac met Apple silicon gaat. Zie Secure Tokens, Bootstrap Tokens en volume-eigendom gebruiken in implementaties voor meer informatie over Secure Tokens en volume-eigendom. Hieronder kun je lezen hoe en wanneer gebruikers een Secure Token krijgen toegewezen in bepaalde workflows.
FileVault afdwingen in de configuratie-assistent
Met de sleutel ForceEnableInSetupAssistant kun je afdwingen dat FileVault wordt ingeschakeld op Mac-computers tijdens het gebruik van de configuratie-assistent. Zo zorg je ervoor dat de interne opslag van beheerde Mac-computers altijd is versleuteld voordat deze wordt gebruikt. Organisaties kunnen zelf beslissen of de FileVault-herstelsleutel zichtbaar is voor de gebruiker of dat de persoonlijke herstelsleutel in bewaring wordt gegeven. Om deze voorziening te gebruiken, moet await_device_configured zijn ingesteld.
Opmerking: In versies ouder dan macOS 14.4 werkt deze functie alleen als de gebruikersaccount die interactief is aangemaakt tijdens het gebruik van de configuratie-assistent een beheerdersaccount is.
Wanneer een gebruiker zelf een Mac configureert
Opmerking: Er kunnen alleen Secure Tokens en Bootstrap Tokens op een Mac worden gebruikt als de voorziening voor apparaatbeheer specifieke functies ondersteunt.
Wanneer een gebruiker zelf een Mac configureert, wordt het apparaat niet door de IT-afdeling ingericht. Alle beleidsregels en configuraties worden geleverd via een voorziening voor apparaatbeheer of via tools voor configuratiebeheer. Met de configuratie-assistent wordt de eerste lokale account aangemaakt en aan de gebruiker wordt een Secure Token verleend. Vervolgens wordt door de Mac een Bootstrap Token gegenereerd en aan de voorziening voor apparaatbeheer in bewaring gegeven.
Als de Mac wordt ingeschreven bij een voorziening voor apparaatbeheer, is de eerste account die wordt aangemaakt mogelijk geen lokale beheerdersaccount, maar een lokale standaardgebruikersacccount. Als je het niveau van de gebruiker via een voorziening verlaagt tot standaardgebruiker, wordt er automatisch een Secure Token verleend aan de gebruiker. Als je op een Mac met macOS 10.15.4 of nieuwer het niveau van de gebruiker verlaagt, wordt door macOS automatisch een Bootstrap Token gegenereerd en aan de voorziening voor apparaatbeheer in bewaring gegeven.
Als je de aanmaak van een lokale gebruikersaccount in de configuratie-assistent overslaat via een voorziening voor apparaatbeheer en in plaats daarvan een adreslijstvoorziening met mobiele accounts gebruikt, verleent de voorziening bij het inloggen een Secure Token aan de gebruiker van de mobiele account. Zodra de gebruiker van een mobiele account is voorzien, wordt op Macs met macOS 10.15.4 of nieuwer door macOS automatisch een Bootstrap Token aangemaakt als de gebruiker voor de tweede keer inlogt. Dit Bootstrap Token wordt aan de voorziening voor apparaatbeheer in bewaring gegeven.
Als de aanmaak van een lokale gebruikersaccount in de configuratie-assistent wordt overgeslagen via een voorziening voor apparaatbeheer en er in plaats daarvan een adreslijstvoorziening met mobiele accounts wordt gebruikt, verleent de voorziening bij het inloggen een Secure Token aan de gebruiker. Als de gebruiker met een mobiele account een Secure Token heeft, wordt op Macs met macOS 10.15.4 of nieuwer door macOS automatisch een Bootstrap Token aangemaakt en aan de voorziening voor apparaatbeheer in bewaring gegeven.
In al de bovenstaande scenario's kan de eerste en primaire gebruiker FileVault inschakelen via uitgestelde inschakeling omdat door macOS een Secure Token aan die gebruiker wordt verleend. Zo kun je FileVault inschakelen, maar deze inschakeling uitstellen totdat een gebruiker in- of uitlogt op een Mac. Je kunt ook aangeven of de gebruiker de inschakeling van FileVault onbeperkt of een bepaald aantal keren kan overslaan. Zo kan de primaire gebruiker van de Mac, of dit nu een lokale gebruiker van welk niveau dan ook of een mobiele account is, het FileVault-volume ontgrendelen.
Als een andere gebruiker op een later moment inlogt op een Mac waarop door macOS een Bootstrap Token is gegenereerd en aan een voorziening voor apparaatbeheer in bewaring is gegeven, wordt het Bootstrap Token gebruikt om automatisch een Secure Token aan die gebruiker te verlenen. Dat betekent dat de account ook geschikt is voor FileVault en het FileVault-volume kan ontgrendelen. Gebruik fdesetup remove -user als je wilt dat een gebruiker het opslagapparaat niet meer kan ontgrendelen.
Wanneer een Mac door een organisatie wordt ingericht
Wanneer een Mac door een organisatie wordt ingericht voordat deze aan een gebruiker beschikbaar wordt gesteld, wordt het apparaat geconfigureerd door de IT-afdeling. Voor het inrichten of configureren van de Mac gebruik je de lokale beheerdersaccount die je hebt aangemaakt in de configuratie-assistent of die is verstrekt via een voorziening voor apparaatbeheer. Bij het inloggen wordt het eerste Secure Token door het besturingssysteem aan deze account verleend. Als de voorziening de Bootstrap Token-functie ondersteunt, genereert het besturingssysteem ook een Bootstrap Token en geeft dit in bewaring.
Als de Mac aan een adreslijstvoorziening is gekoppeld en is geconfigureerd om mobiele accounts aan te maken en als er geen Bootstrap Token is, wordt gebruikers van de adreslijstvoorziening die voor het eerst inloggen gevraagd om de gebruikersnaam en het wachtwoord van een bestaande Secure Token-beheerder om een Secure Token aan hun account te verlenen. Ze moeten inloggegevens invoeren van een lokale beheerdersaccount waarvoor al een Secure Token is ingeschakeld. Als er geen Secure Token vereist is, kan de gebruiker op 'Negeer' klikken. Op Macs met macOS 10.13.5 of nieuwer is het mogelijk om het Secure Token-dialoogvenster volledig te verbergen als je FileVault niet voor de mobiele accounts gaat gebruiken. Om het Secure Token-dialoogvenster te verbergen, pas je via de voorziening voor apparaatbeheer een configuratieprofiel met aangepaste instellingen toe met de volgende sleutels en waarden:
Instelling | Waarde | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domein | com.apple.MCX | ||||||||||
Sleutel | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Waarde | Waar | ||||||||||
Als de voorziening voor apparaatbeheer de Bootstrap Token-functie ondersteunt en de Mac een token genereert en aan de voorziening in bewaring geeft, krijgen gebruikers van de mobiele accounts dit dialoogvenster niet te zien. In plaats daarvan wordt bij het inloggen automatisch een Secure Token aan die accounts verleend.
Als er extra lokale gebruikers op de Mac vereist zijn in plaats van gebruikersaccounts van een adreslijstvoorziening, krijgen die lokale gebruikers automatisch een Secure Token wanneer ze door een Secure Token-beheerder worden aangemaakt in 'Gebruikers en groepen' (in Systeeminstellingen in macOS 13 of nieuwer, of in Systeemvoorkeuren in macOS 12.0.1 of ouder). Als lokale gebruikers via de commandoregel worden aangemaakt, kan de beheerder de commandoregeltool sysadminctl gebruiken, waarmee desgewenst ook een Secure Token kan worden ingeschakeld. Als er door macOS bij het aanmaken van een lokale gebruiker geen Secure Token wordt verleend, gebeurt dit op een Mac met macOS 11 of nieuwer alsnog wanneer de lokale gebruiker inlogt en er via de voorziening voor apparaatbeheer een Bootstrap Token beschikbaar is.
In deze scenario's kan het volume met FileVault-encryptie worden ontgrendeld door de volgende gebruikers:
De oorspronkelijke lokale beheerder die voor de inrichting is gebruikt
Alle extra gebruikers van de adreslijstvoorziening aan wie tijdens het inloggen een Secure Token is verleend, hetzij interactief via het dialoogvenster, hetzij automatisch met het Bootstrap Token
Alle nieuwe lokale gebruikers
Gebruik fdesetup remove -user als je wilt dat een gebruiker het opslagapparaat niet meer kan ontgrendelen.
Als je een van de hierboven beschreven workflows gebruikt, worden Secure Tokens door macOS beheerd zonder dat daarvoor extra configuratie of scripts zijn vereist. Het wordt een detail in de implementatie en niet iets wat actief beheerd of gebruikt hoeft te worden.
Commandoregeltool fdesetup
Je kunt configuraties voor apparaatbeheer of de commandoregeltool fdesetup gebruiken om FileVault te configureren. Op Macs met macOS 10.15 of nieuwer is het gebruik van fdesetup om FileVault met de naam en het wachtwoord van de gebruiker in te schakelen, aangemerkt als verouderd. In toekomstige versies is dit commando hiervoor niet meer beschikbaar. Het commando werkt nu nog wel, maar wordt ook in macOS 11 en macOS 12.0.1 als verouderd beschouwd. Overweeg om in plaats daarvan uitgestelde inschakeling via een voorziening voor apparaatbeheer te gebruiken. Meer informatie over de commandoregeltool fdesetup vind je door de Terminal-app te starten en man fdesetup of fdesetup help te typen.
Herstelsleutels van de organisatie versus persoonlijke herstelsleutels
FileVault ondersteunt zowel op CoreStorage- als op APFS-volumes het gebruik van een herstelsleutel van de organisatie (Institutional Recovery Key of IRK) om het volume te ontgrendelen. (Herstelsleutels van de organisatie werden voorheen ook wel FileVault-hoofdidentiteiten genoemd.) Hoewel een herstelsleutel van de organisatie (IRK) handig is om een volume te ontgrendelen of FileVault uit te schakelen vanaf de commandoregel, is het nut ervan voor organisaties beperkt, met name in recente versies van macOS. Voor Macs met Apple silicon zijn er twee belangrijke redenen waarom herstelsleutels van de organisatie geen functie meer hebben: Ten eerste kunnen ze niet worden gebruikt om toegang te krijgen tot recoveryOS en ten tweede kan het volume niet meer worden ontgrendeld door het op een andere Mac aan te sluiten omdat de doelschijfmodus niet meer wordt ondersteund. Vanwege deze en andere redenen wordt het gebruik van herstelsleutels van de organisatie afgeraden voor het beheer van FileVault op Mac-computers in organisaties. Aangeraden wordt om in plaats daarvan persoonlijke herstelsleutels te gebruiken. Een persoonlijke herstelsleutel biedt:
Een zeer krachtig herstel- en toegangsmechanisme voor besturingssystemen
Unieke encryptie voor elk volume
Bewaring in een voorziening voor apparaatbeheer
Eenvoudige rotatie van sleutels na gebruik
Op een Mac met Apple silicon en macOS 12.0.1 of nieuwer kan een persoonlijke herstelsleutel worden gebruikt in recoveryOS, of om een versleutelde Mac rechtstreeks in macOS op te starten. In recoveryOS kan de persoonlijke herstelsleutel worden gebruikt als hierom wordt gevraagd door de herstelassistent of in combinatie met de optie 'Alle wachtwoorden vergeten?'. Met de persoonlijke herstelsleutel krijg je toegang tot de herstelomgeving en wordt ook het volume ontgrendeld. Wanneer je de optie 'Alle wachtwoorden vergeten?' gebruikt, hoeft het gebruikerswachtwoord niet opnieuw te worden ingesteld. Je kunt op de sluitknop klikken om rechtstreeks met recoveryOS op te starten. Om macOS rechtstreeks op te starten op Intel-Macs, klik je op het vraagteken naast het wachtwoordveld en kies je de optie 'opnieuw instellen met je herstelsleutel'. Voer de persoonlijke herstelsleutel in en druk op de Return-toets of klik op de pijl. Klik op 'Annuleer' in het dialoogvenster voor het wijzigen van het wachtwoord nadat macOS is opgestart.
Op een Mac met Apple silicon waarop macOS 12.0.1 of nieuwer is geïnstalleerd, kun je ook op Option + Shift + Return drukken om het invoerveld voor de persoonlijke herstelsleutel weer te geven. Vervolgens druk je op de Return-toets (of klik je op de pijl).
Er is maar één persoonlijke herstelsleutel per versleuteld volume en tijdens het inschakelen van FileVault via een voorziening voor apparaatbeheer kan de persoonlijke herstelsleutel voor de gebruiker worden verborgen. Wanneer de persoonlijke herstelsleutel in bewaring wordt gegeven bij een voorziening voor apparaatbeheer, verstrekt de voorziening een publieke sleutel aan een Mac in de vorm van een certificaat waarmee de persoonlijke herstelsleutel asymmetrisch wordt versleuteld in een CMS-envelop. De versleutelde persoonlijke herstelsleutel wordt aan de voorziening geretourneerd in het verzoek om beveiligingsinformatie dat een organisatie vervolgens kan ontsleutelen en bekijken. Omdat de encryptie asymmetrisch is, kan de voorziening zelf de persoonlijke herstelsleutel mogelijk niet ontsleutelen (hiervoor zijn mogelijk extra stappen van een beheerder vereist). Veel ontwikkelaars van een voorziening voor apparaatbeheer bieden echter de mogelijkheid om deze sleutels zo te beheren dat ze direct in hun producten kunnen worden bekeken. De voorziening voor apparaatbeheer kan persoonlijke herstelsleutels zo vaak roteren als nodig is voor een sterke beveiliging, bijvoorbeeld nadat een herstelsleutel is gebruikt om een volume te ontgrendelen.
Op Mac-computers zonder Apple silicon kan in de doelschijfmodus een persoonlijke herstelsleutel worden gebruikt om een volume te ontgrendelen:
1. Sluit de Mac in de doelschijfmodus aan op een andere Mac met dezelfde of een nieuwere versie van macOS.
2. Open Terminal en voer het volgende commando uit. Zoek naar de naam van het volume (meestal 'Macintosh HD'). Er moet 'Mount Point: Not Mounted' en 'FileVault: Yes (Locked)' staan. Noteer de schijf-ID van het APFS-volume. Deze ID heeft de notatie disk3s2, maar de cijfers zijn vermoedelijk anders, bijvoorbeeld disk4s5.
diskutil apfs list3. Voer het volgende commando uit. Zoek vervolgens naar 'personal recovery key user' en noteer de vermelde UUID:
diskutil apfs listUsers /dev/<diskXsN>4. Voer het volgende commando uit:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Plak of typ de persoonlijke herstelsleutel achter de prompt 'passphrase' en druk vervolgens op de Return-toets. Het volume wordt geactiveerd in de Finder.