Bruk sikkert kjennetegn, Bootstrap-kjennetegn og volumeierskap i utrullinger
Sikkert kjennetegn
Apple File System (APFS) på Macer med macOS 10.13 eller nyere endrer hvordan FileVault-krypteringsnøkler genereres. I tidligere versjoner av macOS på CoreStorage-volumer ble nøklene som brukes i FileVault-krypteringsprosessen, opprettet når FileVault ble slått på av en bruker eller en organisasjon på en Mac. For Macer med APFS-volumer genereres krypteringsnøklene enten under brukeroppretting, registrering av den første brukerens passord eller første pålogging av en bruker på Macen. Denne implementeringen av krypteringsnøklene, når de genereres, og hvordan de lagres, er en del av funksjonen som er kjent som sikkert kjennetegn. Et sikkert kjennetegn er en pakket versjon av en Key Encryption Key (KEK) beskyttet av en brukers passord.
Ved utrulling av FileVault på APFS kan brukeren fortsette å:
bruke eksisterende verktøy og prosesser, for eksempel Personal Recovery Key (PRK) som du kan oppbevare for deponering med en tjeneste for enhetsadministrering
opprette og bruke en gjenopprettingsnøkkel for institusjonen (IRK)
utsette aktivering av FileVault til en bruker logger på eller av Macen
For Macer med macOS 11 eller nyere vil registreringen av det første passordet for den aller første brukeren på Macen resultere i at brukeren får et sikkert kjennetegn. I enkelte arbeidsflyter er dette kanskje ikke ønskelig, siden tildeling av det første sikre kjennetegnet tidligere ville ha krevd pålogging av brukerkontoen. For å unngå at dette skjer, må ;DisabledTags;SecureToken legges til den programmatisk opprettede brukerens AuthenticationAuthority-attributt før brukerens passord angis, som vist nedenfor:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrap-kjennetegn
For Macer med macOS 10.15 eller nyere kan du bruke Bootstrap-kjennetegnet til mer enn bare å gi sikre kjennetegn til eksisterende brukerkontoer. På Macer med Apple-chip kan du bruke Bootstrap-kjennetegnet – hvis det er tilgjengelig og når det administreres ved hjelp av en tjeneste for enhetsadministrering – til:
tilsyn
utviklerstøtte for tjenester for enhetsadministrering
Når en bruker som er aktivert for et sikkert kjennetegn, logger på en Mac med macOS 10.15.4 eller nyere for første gang, genererer macOS et Bootstrap-kjennetegn som deponeres i en tjeneste for enhetsadministrering. Du kan også generere et Bootstrap-kjennetegn og deponere det i en tjeneste ved hjelp av profiles-kommandolinjeverktøyet, hvis det er nødvendig.
For Macer med macOS 11 eller nyere kan du bruke Bootstrap-kjennetegnet til mer enn bare å gi sikre kjennetegn til eksisterende brukerkontoer. På Macer med Apple-chip kan du bruke Bootstrap-kjennetegnet – hvis det er tilgjengelig og når det administreres ved hjelp av en tjeneste for enhetsadministrering – til:
autorisering av installering av programvareoppdateringer
stille autorisering av en Erase All Content and Settings-kommando for enhetsadministrering (macOS 12.0.1 eller nyere)
oppretting av nye brukere når de logger på med engangspålogging for plattform for første gang (macOS 13 eller nyere)
Volumeierskap
Macer med Apple-chip introduserer konseptet volumeierskap. Volumeierskap i en organisatorisk kontekst er ikke knyttet til det juridiske eierskapet eller forvaringskjeden for Macen. I stedet kan volumeierskap løst defineres som brukeren som først tok eierskap over Macen ved å konfigurere den for sitt eget bruk, sammen med eventuelle andre brukere. Du må være volumeier for å endre sikkerhetskriteriene for oppstart for en installasjon av macOS, autorisere installering av oppdateringer og oppgraderinger av macOS, starte Slett alt innhold og alle innstillinger på Macen med mer. Sikkerhetskriteriene for oppstart definerer restriksjonene for hvilke versjoner av macOS som kan startes, samt om og hvordan tredjeparts kjerneutvidelser kan lastes inn eller administreres.
Brukeren som først tok eierskap over Macen ved å konfigurere den for eget bruk, får et sikkert kjennetegn på Macen med Apple-chip og blir den første volumeieren. Når et Bootstrap-kjennetegn er tilgjengelig og brukes, blir det også volumeier og gir status som volumeier til andre kontoer når de får Bootstrap-kjennetegn. Siden både den første brukeren som får et sikkert kjennetegn og Bootstrap-kjennetegnet blir volumeiere, samt at Bootstrap-kjennetegnet kan gi sikre kjennetegn til andre brukere (og dermed volumeierskap), skal det ikke være behov for å aktivt administrere volumeierskap i organisasjonen. Tidligere vurderinger for å administrere og gi sikre kjennetegn, skal generelt være i tråd med status for volumeierskap også.
Man kan være volumeier uten å være administrator, men enkelte oppgaver krever begge deler. For eksempel må man være både administrator og volumeier for å kunne endre sikkerhetsinnstillingene for oppstart, mens vanlige brukere kan godkjenne programvareoppdateringer, slik at de bare trenger eierskap.
Du kan kjøre denne kommandoen for å vise en liste over volumeierne på en Mac med Apple-chip:
sudo diskutil apfs listUsers /GUID-ene av typen «Local Open Directory User» som vises i utdataene for diskutil-kommandoen, er knyttet til GeneratedUID-attributter for brukeroppføringer i Open Directory. Bruk følgende kommando for å finne en bruker basert på GeneratedUID:
dscl . -search /Users GeneratedUID <GUID>Du kan også bruke følgende kommando for å se brukernavn og GUID-er sammen:
sudo fdesetup list -extendedEierskapet er kryptografisk beskyttet i Secure Enclave. Her finner du mer informasjon:
Bruk av kommandolinjeverktøy
Kommandolinjeverktøy er tilgjengelige for å administrere Bootstrap-kjennetegn og sikre kjennetegn. macOS vil vanligvis generere Bootstrap-kjennetegnet og deponere det i tjenesten for enhetsadministrering under macOS-konfigurasjonsprosessen etter at tjenesten har fortalt Macen at den støtter funksjonen. Du kan imidlertid også generere et Bootstrap-kjennetegn på Macer som er rullet ut. For Macer med macOS 10.15.4 eller nyere genererer macOS et Boostrap-kjennetegn og deponerer det i tjenesten ved første pålogging av en bruker som har aktivert sikkert kjennetegn (hvis tjenesten støtter funksjonen). Dette reduserer behovet for å bruke profiles-kommandolinjeverktøyet etter enhetskonfigurering for å generere og deponere et Bootstrap-kjennetegn i tjenesten.
profiles-kommandolinjeverktøyet har en rekke nye valg for å samhandle med Bootstrap-kjennetegnet:
sudo profiles install -type bootstraptoken: Denne kommandoen genererer et nytt Bootstrap-kjennetegn og deponerer det i tjenesten for enhetsadministrering. Denne kommandoen krever at eksisterende administratorinformasjon for sikkert kjennetegn først genererer Bootstrap-kjennetegnet, og at tjenesten støtter denne funksjonen.sudo profiles remove -type bootstraptoken: Fjerner eksisterende Bootstrap-kjennetegn på Macen og fra tjenesten for enhetsadministrering.sudo profiles status -type bootstraptoken: Rapporterer tilbake om tjenesten for enhetsadministrering støtter Bootstrap-kjennetegn-funksjonen, og hva gjeldende status for Bootstrap-kjennetegn er på Macen.sudo profiles validate -type bootstraptoken: Rapporterer tilbake om tjenesten for enhetsadministrering støtter Bootstrap-kjennetegn-funksjonen, og hva gjeldende status for Bootstrap-kjennetegn er på Macen.
sysadminctl-kommandolinjeverktøyet
sysadminctl-kommandolinjeverktøyet kan brukes til å spesifikt modifisere sikkert kjennetegn-status for brukerkontoer på Macer. Dette bør gjøres med forsiktighet og kun når det er nødvendig. Endring av sikkert kjennetegn-status for en bruker ved hjelp av sysadminctl krever alltid brukernavnet og passordet til en eksisterende administrator som har sikkert kjennetegn aktivert, enten interaktivt eller med de relevante flaggene på kommandoen. Både sysadminctl og Systeminnstillinger (macOS 13 eller nyere) eller Systemvalg (macOS 12.0.1 eller eldre) forhindrer sletting av den siste administrator- eller sikkert kjennetegn-aktiverte brukeren på en Mac. Hvis oppretting av ytterligere lokale brukere utføres via prosedyre med sysadminctl og de brukerne skal aktiveres for sikre kjennetegn, kreves det at akkreditiver for den nåværende administratoren som har aktivert sikkert kjennetegn, oppgis enten interaktivt eller direkte med -adminUser- og -adminPassword-flaggene med sysadminctl.
Hvis macOS ikke tildeler et sikkert kjennetegn ved opprettelse for Macer med macOS 11 eller nyere, og hvis et Bootstrap-kjennetegn er tilgjengelig fra tjenesten for enhetsadministrering, tildeler den et sikkert kjennetegn til lokale brukere når de logger på. Bruk sysadminctl -h for ytterligere instruksjoner om bruk.