FileVault beheren met mobielapparaatbeheer

FileVault afdwingen in de configuratie-assistent

Met de sleutel ForceEnableInSetupAssistant kun je afdwingen dat FileVault wordt ingeschakeld op Mac-computers tijdens het gebruik van de configuratie-assistent. Zo zorg je ervoor dat de interne opslag van beheerde Mac-computers altijd is versleuteld voordat deze wordt gebruikt. Organisaties kunnen zelf beslissen of de FileVault-herstelsleutel zichtbaar is voor de gebruiker of dat de persoonlijke herstelsleutel in bewaring wordt gegeven. Om deze voorziening te gebruiken, moet await_device_configured zijn ingesteld.

Wanneer een gebruiker zelf een Mac configureert

Wanneer een gebruiker zelf een Mac configureert, wordt het apparaat niet door de IT-afdeling ingericht. Alle beleidsregels en configuraties worden geleverd via een MDM-oplossing of via tools voor configuratiebeheer. Met de configuratie-assistent wordt de eerste lokale account aangemaakt en aan de gebruiker wordt een Secure Token verleend. Als de MDM-oplossing de Bootstrap Token-functie ondersteunt en dit tijdens de inschrijving bij de MDM-oplossing aan de Mac doorgeeft, wordt er een Bootstrap Token door de Mac gegenereerd en in bewaring gegeven aan de MDM-oplossing.

Als de Mac is ingeschreven bij een MDM-oplossing, is de eerste account die wordt aangemaakt mogelijk geen lokale beheerdersaccount, maar een lokale standaardgebruikersacccount. Als het niveau van de gebruiker via MDM wordt verlaagd tot standaardgebruiker, wordt er automatisch een Secure Token verleend aan de gebruiker. Als het niveau van de gebruiker is verlaagd, wordt er in macOS 10.15.4 of nieuwer automatisch een Bootstrap Token gegenereerd en aan de MDM-oplossing in bewaring gegeven (als de MDM-oplossing de functie ondersteunt).

Als de aanmaak van een lokale gebruikersaccount in de configuratie-assistent helemaal wordt overgeslagen via MDM en er in plaats daarvan een adreslijstvoorziening met mobiele accounts wordt gebruikt, wordt tijdens het inloggen een Secure Token aan de gebruiker van de mobiele account verleend. Zodra een Secure Token is ingeschakeld voor de gebruiker met een mobiele account, wordt in macOS 10.15.4 of nieuwer automatisch een Bootstrap Token aangemaakt als de gebruiker voor de tweede keer inlogt. Dit Bootstrap Token wordt aan de MDM-oplossing in bewaring gegeven (als de MDM-oplossing de functie ondersteunt).

In al de bovenstaande scenario's kan de eerste en primaire gebruiker geschikt worden gemaakt voor FileVault via uitgestelde inschakeling omdat er een Secure Token is verleend aan die gebruiker. Met uitgestelde inschakeling kan een organisatie FileVault inschakelen, maar deze inschakeling uitstellen totdat een gebruiker in- of uitlogt op de Mac. Het is ook mogelijk om op te geven dat de gebruiker de inschakeling van FileVault onbeperkt of een bepaald aantal keren kan overslaan. Zo kan de primaire gebruiker van de Mac, of dit nu een lokale gebruiker van welk niveau dan ook of een mobiele account is, het opslagapparaat ontgrendelen wanneer dit met FileVault is versleuteld.

Als een andere gebruiker op een later moment inlogt op een Mac waarop een Bootstrap Token is gegenereerd en in bewaring is gegeven aan een MDM-oplossing, wordt het Bootstrap Token gebruikt om automatisch een Secure Token te verlenen. Dat betekent dat de account ook geschikt is voor FileVault en het FileVault-volume kan ontgrendelen. Gebruik fdesetup remove -user als je wilt dat een gebruiker het opslagapparaat niet meer kan ontgrendelen.

Wanneer een Mac door een organisatie wordt ingericht

Wanneer een Mac door een organisatie wordt ingericht voordat deze aan een gebruiker beschikbaar wordt gesteld, wordt het apparaat geconfigureerd door de IT-afdeling. Voor het inrichten of configureren van de Mac wordt de lokale beheerdersaccount gebruikt die is aangemaakt in de configuratie-assistent of verstrekt via MDM. Bij het inloggen wordt aan deze account het eerste Secure Token verleend. Als de MDM-oplossing de Bootstrap Token-functie ondersteunt, wordt ook een Bootstrap Token gegenereerd en aan de MDM-oplossing in bewaring gegeven.

Als de Mac aan een adreslijstvoorziening is gekoppeld en is geconfigureerd om mobiele accounts aan te maken en als er geen Bootstrap Token is, wordt gebruikers van de adreslijstvoorziening die voor het eerst inloggen gevraagd om de gebruikersnaam en het wachtwoord van een bestaande Secure Token-beheerder om een Secure Token aan hun account te verlenen. Er moeten inloggegevens worden ingevoerd van een lokale beheerdersaccount waarvoor al een Secure Token is ingeschakeld. Als er geen Secure Token vereist is, kan de gebruiker op 'Negeer' klikken. In macOS 10.13.5 of nieuwer is het mogelijk om het Secure Token-dialoogvenster volledig te verbergen als FileVault niet voor de mobiele accounts gebruikt gaat worden. Om het Secure Token-dialoogvenster te verbergen, pas je een MDM-configuratieprofiel met aangepaste instellingen toe met de volgende sleutels en waarden:

Als de MDM-oplossing de Bootstrap Token-functie ondersteunt en de Mac een token heeft gegenereerd dat in bewaring is gegeven aan de MDM-oplossing, krijgen gebruikers van de mobiele accounts dit dialoogvenster niet te zien. In plaats daarvan wordt bij het inloggen automatisch een Secure Token aan die accounts verleend.

Als er extra lokale gebruikers op de Mac vereist zijn in plaats van gebruikersaccounts van een adreslijstvoorziening, krijgen die lokale gebruikers automatisch een Secure Token wanneer ze door een Secure Token-beheerder worden aangemaakt in 'Gebruikers en groepen' (in Systeeminstellingen in macOS 13 of nieuwer, of in Systeemvoorkeuren in macOS 12.0.1 of ouder). Als lokale gebruikers via de commandoregel worden aangemaakt, kan de commandoregeltool sysadminctl worden gebruikt, waarmee desgewenst ook een Secure Token kan worden ingeschakeld. Als er bij het aanmaken geen Secure Token wordt verleend, gebeurt dit in macOS 11 of nieuwer alsnog als een lokale gebruiker inlogt op een Mac en er via de MDM-oplossing een Bootstrap Token beschikbaar is.

In deze scenario's kan het volume met FileVault-encryptie worden ontgrendeld door de volgende gebruikers:

• De oorspronkelijke lokale beheerder die voor de inrichting is gebruikt

• Alle extra gebruikers van de adreslijstvoorziening aan wie tijdens het inloggen een Secure Token is verleend, hetzij interactief via het dialoogvenster, hetzij automatisch met het Bootstrap Token

• Alle nieuwe lokale gebruikers

Gebruik fdesetup remove -user als je wilt dat een gebruiker het opslagapparaat niet meer kan ontgrendelen.

Als je een van de hierboven beschreven workflows gebruikt, worden Secure Tokens door macOS beheerd zonder dat daarvoor extra configuratie of scripts zijn vereist. Het wordt een detail in de implementatie en niet iets wat actief beheerd of gebruikt hoeft te worden.

Commandoregeltool fdesetup

FileVault kan worden geconfigureerd met behulp van MDM-configuraties of de commandoregeltool fdesetup. In macOS 10.15 of nieuwer is het gebruik van fdesetup om FileVault met de naam en het wachtwoord van de gebruiker in te schakelen, aangemerkt als verouderd. In toekomstige versies wordt dit gebruik niet meer ondersteund. Het commando werkt nu nog wel, maar wordt ook in macOS 11 en macOS 12.0.1 als verouderd beschouwd. Overweeg om in plaats daarvan uitgestelde inschakeling via MDM te gebruiken. Meer informatie over de commandoregeltool fdesetup vind je door de Terminal-app te starten en man fdesetup of fdesetup help te typen.

Herstelsleutels van de organisatie versus persoonlijke herstelsleutels

FileVault ondersteunt zowel op CoreStorage- als op APFS-volumes het gebruik van een herstelsleutel van de organisatie (Institutional Recovery Key of IRK) om het volume te ontgrendelen. (Herstelsleutels van de organisatie werden voorheen ook wel FileVault-hoofdidentiteiten genoemd.) Hoewel een herstelsleutel van de organisatie (IRK) handig is om een volume te ontgrendelen of FileVault uit te schakelen vanaf de commandoregel, is het nut ervan voor organisaties beperkt, met name in recente versies van macOS. Voor Macs met Apple silicon zijn er twee belangrijke redenen waarom herstelsleutels van de organisatie geen functie meer hebben: Ten eerste kunnen ze niet worden gebruikt om toegang te krijgen tot recoveryOS en ten tweede kan het volume niet meer worden ontgrendeld door het op een andere Mac aan te sluiten omdat de doelschijfmodus niet meer wordt ondersteund. Vanwege deze en andere redenen wordt het gebruik van herstelsleutels van de organisatie afgeraden voor het beheer van FileVault op Mac-computers in organisaties. Aangeraden wordt om in plaats daarvan persoonlijke herstelsleutels te gebruiken. Een persoonlijke herstelsleutel biedt:

• Een zeer krachtig herstel- en toegangsmechanisme voor besturingssystemen

• Unieke encryptie voor elk volume

• Bewaring in MDM

• Eenvoudige rotatie van sleutels na gebruik

Een persoonlijke herstelsleutel kan worden gebruikt in recoveryOS, of om een versleutelde Mac rechtstreeks in macOS op te starten (hiervoor is macOS 12.0.1 of nieuwer op een Mac met Apple silicon vereist). In recoveryOS kan de persoonlijke herstelsleutel worden gebruikt als hierom wordt gevraagd door de herstelassistent of in combinatie met de optie 'Alle wachtwoorden vergeten?'. Met de persoonlijke herstelsleutel krijg je toegang tot de herstelomgeving en wordt ook het volume ontgrendeld. Wanneer je de optie 'Alle wachtwoorden vergeten?' gebruikt, hoeft het gebruikerswachtwoord niet opnieuw te worden ingesteld. Je kunt op de sluitknop klikken om rechtstreeks met recoveryOS op te starten. Om macOS rechtstreeks op te starten op Intel-Macs, klik je op het vraagteken naast het wachtwoordveld en kies je de optie 'opnieuw instellen met je herstelsleutel'. Voer de persoonlijke herstelsleutel in en druk op de Return-toets of klik op de pijl. Klik op 'Annuleer' in het dialoogvenster voor het wijzigen van het wachtwoord nadat macOS is opgestart. Op een Mac met Apple silicon waarop macOS 12.0.1 of nieuwer is geïnstalleerd, druk je op Option + Shift + Return om het invoerveld voor de persoonlijke herstelsleutel weer te geven. Vervolgens druk je op de Return-toets (of klik je op de pijl).

Er is maar één persoonlijke herstelsleutel per versleuteld volume en tijdens het inschakelen van FileVault via MDM kan de persoonlijke herstelsleutel voor de gebruiker worden verborgen. Wanneer de persoonlijke herstelsleutel in bewaring wordt gegeven bij MDM, verstrekt MDM een publieke sleutel aan de Mac in de vorm van een certificaat waarmee de persoonlijke herstelsleutel asymmetrisch wordt versleuteld in een CMS-envelop. De versleutelde persoonlijke herstelsleutel wordt aan MDM geretourneerd in het verzoek om beveiligingsinformatie dat vervolgens kan worden ontsleuteld om door een organisatie te worden bekeken. Omdat de encryptie asymmetrisch is, kan MDM zelf de persoonlijke herstelsleutel mogelijk niet ontsleutelen (hiervoor zijn extra stappen van een beheerder vereist). Veel MDM-leveranciers bieden echter de mogelijkheid om deze sleutels zo te beheren dat ze direct in hun producten kunnen worden bekeken. MDM kan persoonlijke herstelsleutels zo vaak roteren als nodig is voor een sterke beveiliging, bijvoorbeeld nadat een herstelsleutel is gebruikt om een volume te ontgrendelen.

Op Mac-computers zonder Apple silicon kan in de doelschijfmodus een persoonlijke herstelsleutel worden gebruikt om een volume te ontgrendelen:

1. Sluit de Mac in de doelschijfmodus aan op een andere Mac met dezelfde of een nieuwere versie van macOS.

2. Open Terminal en voer het volgende commando uit. Zoek naar de naam van het volume (meestal 'Macintosh HD'). Er moet 'Mount Point: Not Mounted' en 'FileVault: Yes (Locked)' staan. Noteer de schijf-ID van het APFS-volume. Deze ID heeft de notatie disk3s2, maar de cijfers zijn vermoedelijk anders, bijvoorbeeld disk4s5.

3. Voer het volgende commando uit. Zoek vervolgens naar 'personal recovery key user' en noteer de vermelde UUID:

4. Voer het volgende commando uit:

5. Plak of typ de persoonlijke herstelsleutel achter de prompt 'passphrase' en druk vervolgens op de Return-toets. Het volume wordt geactiveerd in de Finder.