Zarządzanie FileVault przy użyciu rozwiązania MDM
Zarządzanie szyfrującą cały dysk funkcją FileVault możliwe jest w organizacjach przy użyciu rozwiązania MDM, jak również (w przypadku zaawansowanych wdrożeń i konfiguracji) przy użyciu narzędzia wiersza poleceń fdesetup. Zarządzanie funkcją FileVault przy użyciu rozwiązania MDM określane jest jako opóźnione włączanie i wymaga od użytkownika wylogowania się lub zalogowania. Rozwiązanie MDM może dostosowywać takie opcje, jak:
liczbę możliwych opóźnień przez użytkownika włączenia funkcji FileVault,
czy oprócz komunikatu przy logowaniu użytkownika pojawiać ma się również komunikat przy wylogowywaniu,
czy klucz odzyskiwania ma być wyświetlany użytkownikowi,
jaki certyfikat ma być używany do asymetrycznego szyfrowania klucza odzyskiwania deponowanego w rozwiązaniu MDM.
Umożliwienie użytkownikowi odblokowywania woluminów APFS wymaga posiadania przez użytkownika tokenu bezpieczeństwa, a na Macu z układem scalonym Apple również praw własności do woluminu. Aby uzyskać więcej informacji na temat tokenów bezpieczeństwa oraz własności woluminu, zobacz: Używanie tokenu bezpieczeństwa, tokenu inicjującego oraz własności woluminu we wdrożeniach. Poniżej znajdują się informacje, jak i kiedy użytkownicy otrzymują w określonych sytuacjach token bezpieczeństwa.
Wymuszanie funkcji FileVault na ekranie Asystenta ustawień
Przy użyciu klucza ForceEnableInSetupAssistant można włączyć na komputerach Mac wymuszenie włączenia funkcji FileVault na ekranie Asystenta ustawień. Dzięki temu uzyskuje się pewność, że wbudowana pamięć masowa na zarządzanych komputerach Mac jest zaszyfrowana przed jej użyciem. Decyzja o wyświetleniu użytkownikowi klucza odzyskiwania FileVault oraz zdeponowaniu osobistego klucza odzyskiwania należy do organizacji. Użycie tej funkcji wymaga ustawienia właściwości await_device_configured.
Uwaga: W systemach starszych od macOS 14.4 ta funkcja wymaga, aby konto użytkownika utworzone interaktywnie podczas używania Asystenta ustawień miało rolę Administrator.
Gdy użytkownik sam konfiguruje Maca
Gdy użytkownik sam konfiguruje Maca, dział IT nie przeprowadza żadnych czynności konfiguracyjnych fizycznie na samym urządzeniu. Wszystkie zasady i konfiguracje są udostępniane przy użyciu rozwiązania MDM lub narzędzi do zarządzania konfiguracją. Pierwsze lokalne konto administratora tworzone jest przy użyciu Asystenta ustawień, a użytkownikowi przydzielany jest token bezpieczeństwa. Jeśli rozwiązanie MDM obsługuje token inicjujący i wyśle informację o tym do Maca podczas rejestrowania urządzenia, Mac wygeneruje token inicjujący, który zostanie następnie zdeponowany w rozwiązaniu MDM.
Jeśli Mac zarejestrowany jest w rozwiązaniu MDM, to pierwsze konto może nie być lokalnym kontem administratora, ale lokalnym kontem użytkownika standardowego. Jeśli konto użytkownika zostanie zdegradowane do konta standardowego przy użyciu rozwiązania MDM, automatycznie otrzyma ono token bezpieczeństwa. Zdegradowanie konta użytkownika w systemie macOS 10.15.4 lub nowszym powoduje automatyczne wygenerowanie tokenu inicjującego oraz zdeponowanie go w rozwiązaniu MDM, jeśli to rozwiązanie obsługuje tę funkcję.
Jeśli tworzenie lokalnego konta użytkownika przy użyciu Asystenta ustawień zostanie pominięte przez rozwiązanie MDM, a zamiast tego konta używana będzie usługa katalogowa z kontami przenośnymi, token bezpieczeństwa nie zostanie przydzielony użytkownikowi mobilnemu podczas logowania. Gdy konto przenośne użytkownika w systemie macOS 10.15.4 lub nowszym otrzyma token bezpieczeństwa, podczas następnego logowania użytkownika automatyczne generowany jest token inicjujący, który następnie jest deponowany w rozwiązaniu MDM, jeśli to rozwiązanie obsługuje tę funkcję.
W obu opisanych powyżej sytuacjach pierwsze i podstawowe konto użytkownika posiada token bezpieczeństwa, więc konta te mogą korzystać z funkcji FileVault, gdy użyta zostanie metoda włączania z opóźnieniem. Włączenie z opóźnieniem pozwala organizacji na włączenie funkcji FileVault z jednoczesnym opóźnieniem jej uaktywnienia do czasu zalogowania się użytkownika na Macu lub wylogowania się z niego. Można także skonfigurować możliwość pominięcia włączenia funkcji FileVault przez użytkownika (opcjonalnie ograniczoną do zdefiniowanej liczby pominięć). W efekcie główny użytkownik danego Maca (niezależnie od tego, czy używa konta lokalnego dowolnego typu, czy konta przenośnego) będzie mógł odblokować urządzenie pamięci masowej zaszyfrowane przez FileVault.
Jeśli zarządzany administrator zaloguje się w przyszłości na komputerze Mac, na którym wygenerowany został token inicjujący, a następnie został on zdeponowany w rozwiązaniu MDM, wówczas przy użyciu tego tokenu do konta zarządzanego administratora przydzielony zostanie automatycznie token bezpieczeństwa. Dzięki temu konto to będzie również mogło używać funkcji FileVault i odblokowywać wolumin zaszyfrowany za jej pomocą. Zablokowanie użytkownikowi możliwości odblokowywania urządzenia pamięci masowej jest możliwe przy użyciu polecenia fdesetup remove -user.
Gdy Mac jest konfigurowany przez organizację
Gdy przed przekazaniem Maca użytkownikowi jest on konfigurowany przez organizację, konfiguracja przygotowywana jest przez dział IT. Lokalne konto z uprawnieniami administratora, utworzone przy użyciu Asystenta ustawień lub rozwiązania MDM, używane jest do skonfigurowania Maca oraz otrzymuje token bezpieczeństwa. Jeśli rozwiązanie MDM obsługuje token inicjujący, następuje także wygenerowanie tego tokenu oraz zdeponowanie go w rozwiązaniu MDM.
Jeśli Mac jest przyłączony do usługi katalogowej i skonfigurowany do tworzenia kont przenośnych, a token inicjujący nie jest obecny, podczas pierwszego logowania użytkowników usługi katalogowej wyświetlana jest prośba o wprowadzenie nazwy i hasła istniejącego administratora posiadającego token bezpieczeństwa, aby przydzielić token bezpieczeństwa do konta danego użytkownika. Należy wówczas wprowadzić dane uwierzytelniania administratora lokalnego, którego konto ma przydzielony token bezpieczeństwa. Jeśli token bezpieczeństwa nie jest wymagany, użytkownik może kliknąć w Zignoruj. W systemie macOS 10.13.5 lub nowszym możliwe jest całkowite pominięcie okna dialogowego tokenu bezpieczeństwa, jeśli funkcja FileVault nie ma być używana na kontach przenośnych. Aby pominąć okno dialogowe tokenu bezpieczeństwa, należy zastosować przy użyciu rozwiązania MDM profil konfiguracji z własnymi ustawieniami, zawierający następujące klucze i wartości:
Ustawienie | Wartość | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domena | com.apple.MCX | ||||||||||
Klucz | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Wartość | True | ||||||||||
Jeśli rozwiązanie MDM obsługuje token inicjujący i token ten został wygenerowany przez Maca oraz zdeponowany w rozwiązaniu MDM, użytkownicy kont przenośnych nie zobaczą tego okna dialogowego. Zamiast tego podczas logowania zostanie im automatycznie przydzielony token bezpieczeństwa.
Jeśli wymagane jest utworzenie na Macu dodatkowych kont użytkowników lokalnych (zamiast kont użytkownika w usłudze katalogowej), token bezpieczeństwa jest automatycznie przydzielany tym użytkownikom lokalnym, gdy bieżący administrator posiadający token bezpieczeństwa tworzy ich konta w panelu Użytkownicy i grupy (w Ustawieniach systemowych w systemie macOS 13 lub nowszym, albo w Preferencjach systemowych w systemie macOS 12.0.1 lub starszym). Jeśli tworzenie lokalnych użytkowników przebiega przy użyciu wiersza poleceń, można użyć narzędzia poleceń sysadminctl w celu opcjonalnego przydzielenia użytkownikom tokenu bezpieczeństwa. Nawet jeśli podczas tworzenia lokalnego konta użytkownika nie otrzyma ono tokenu bezpieczeństwa, w systemie macOS 11 lub nowszym użytkownik lokalny otrzymuje ten token podczas logowania się na Macu — pod warunkiem, że dostępny jest token inicjujący z rozwiązania MDM.
Oto użytkownicy, którzy mogą w tych sytuacjach odblokować wolumin zaszyfrowany przy użyciu funkcji FileVault:
Oryginalny użytkownik lokalny z uprawnieniami administratora, którego konto zostało użyte do skonfigurowania urządzenia
Dowolny użytkownik usług katalogowych któremu token bezpieczeństwa został przydzielony podczas logowania — interaktywnie przy użyciu okna dialogowego lub automatycznie przy użyciu tokenu inicjującego
Dowolni nowi użytkownicy lokalni
Zablokowanie użytkownikowi możliwości odblokowywania urządzenia pamięci masowej jest możliwe przy użyciu polecenia fdesetup remove -user.
Podczas korzystania z przedstawionych wyżej metod token bezpieczeństwa jest zarządzany przez macOS bez konieczności przeprowadzania dodatkowej konfiguracji lub używania skryptów. Jest on jedynie elementem implementacji i nie stanowi czegoś, co wymaga aktywnego zarządzania lub modyfikowania.
Narzędzie wiersza poleceń fdesetup
Funkcja FileVault może być konfigurowana przy użyciu rozwiązania MDM lub narzędzia wiersza poleceń fdesetup. W systemie macOS 10.15 lub nowszym możliwość włączania funkcji FileVault przy użyciu narzędzia fdesetup oraz podawania nazwy użytkownika i hasła jest wycofywana i nie będzie obsługiwana w przyszłych wersjach systemu. W systemach macOS 11 oraz macOS 12.0.1 polecenie to nadal działa i pozostaje w stanie wycofywania. Zamiast niego zalecamy użycie funkcji włączania FileVault z opóźnieniem przy użyciu rozwiązania MDM. Aby uzyskać więcej informacji na temat narzędzia wiersza poleceń fdesetup, otwórz Terminal i wprowadź man fdesetup lub fdesetup help.
Klucze odzyskiwania organizacji a osobiste klucze odzyskiwania
FileVault na woluminach CoreStorage oraz APFS obsługuje odblokowywanie woluminu przy użyciu klucza odzyskiwania organizacji (IRK, ang. Institutional Recovery Key, wcześniej określanego jako „główna tożsamość FileVault”). Klucz IRK przydaje się do odblokowywania woluminów oraz całkowitego wyłączania FileVault z poziomu wiersza poleceń, ale jego zastosowanie w organizacjach jest ograniczone, zwłaszcza w najnowszych wersjach systemu macOS. Na Macach z układem scalonym Apple klucz IRK nie pełni istotnej funkcji z dwóch głównych powodów: po pierwsze, nie można go stosować w celu uzyskiwania dostępu do trybu recoveryOS, a po drugie, z uwagi na brak obsługi trybu dysku twardego, nie ma możliwości odblokowania woluminu po podłączeniu go do innego Maca. Ze względu na te oraz inne przyczyny, nie zalecamy korzystania z klucza IRK do zarządzania funkcją FileVault na komputerach Mac. Zamiast niego należy używać osobistego klucza odzyskiwania (PRK). Klucz PRK zapewnia:
wydajny mechanizm odzyskiwania oraz dostępu do systemu operacyjnego,
niepowtarzalność szyfrowania w przypadku każdego woluminu,
możliwość deponowania w rozwiązaniu MDM,
możliwość łatwej rotacji kluczy.
Klucz PRK może być używany w trybie recoveryOS oraz do uruchamiania szyfrowanego Maca bezpośrednio w systemie macOS (w przypadku Maca z układem scalonym Apple wymagany jest system macOS 12.0.1 lub nowszy). W trybie recoveryOS klucz PRK pozwala na uzyskanie dostępu do środowiska odzyskiwania, co również odblokowuje wolumin, po wprowadzeniu go na żądanie Asystenta odzyskiwania lub po użyciu opcji „Nie pamiętasz żadnego hasła”. Opcja „Nie pamiętasz żadnego hasła” nie wymaga zerowania hasła użytkownika — można kliknąć w przycisk wyjścia, aby uruchomić komputer bezpośrednio w trybie recoveryOS. Aby uruchomić komputer Mac z procesorem Intel bezpośrednio w systemie macOS, kliknij w znak zapytania obok pola hasła, a następnie wybierz opcję „…używając klucza odzyskiwania”. Wprowadź klucz PRK, a następnie naciśnij klawisz Return lub kliknij w strzałkę. Po uruchomieniu systemu macOS kliknij w Anuluj w oknie dialogowym zmiany hasła. Na Macu z układem scalonym Apple i systemem macOS 12.0.1 lub nowszym naciśnij klawisze Option-Shift-Return, aby wyświetlić pole do wprowadzenia klucza PRK, wprowadź go i naciśnij Return lub kliknij w strzałkę. Uruchomiony zostanie system macOS.
Dla każdego szyfrowanego woluminu istnieje tylko jeden klucz PRK, a gdy funkcja FileVault jest włączana przez rozwiązanie MDM, może zostać on opcjonalnie ukryty przed użytkownikiem. Gdy skonfigurowane jest deponowanie w rozwiązaniu MDM, rozwiązanie MDM udostępnia Macowi klucz publiczny w postaci certyfikatu, który jest następnie używany do asymetrycznego szyfrowania klucza PRK w formacie CMS Enveloped. Zaszyfrowany klucz PRK jest zwracany rozwiązaniu MDM w zapytaniu dotyczącym informacji o zabezpieczeniach i może zostać odszyfrowany w celu wyświetlenia przez organizację. Ze względu na użycie szyfrowania asymetrycznego rozwiązanie MDM może nie mieć możliwości odszyfrowania klucza PRK (co wymagałoby dodatkowych kroków ze strony administratora). Wielu dostawców rozwiązań MDM oferuje jednak możliwość zarządzania kluczami i wyświetlania ich bezpośrednio w swoich produktach. Rozwiązanie MDM może także opcjonalnie dokonywać rotacji kluczy PRK — tak często, jak jest to niezbędne do uzyskania odpowiednio silnych zabezpieczeń, na przykład po użyciu klucza PRK do odblokowania woluminu.
Klucz PRK może być używany do odblokowywania woluminu w trybie dysku twardego na komputerach Mac bez układu scalonego Apple:
1. Podłącz Maca w trybie dysku twardego do innego Maca z tą samą lub nowszą wersją systemu macOS.
2. Otwórz Terminal, a następnie uruchom poniższe polecenie i sprawdź nazwę woluminu (zwykle jest to „Macintosh HD”). Powinien być widoczny komunikat „Mount Point: Not Mounted” oraz „FileVault: Yes (Locked)”. Zanotuj identyfikator woluminu APFS (może być to disk3s2, lecz liczby zwykle są inne, na przykład disk4s5).
diskutil apfs list3. Uruchom poniższe polecenie, a następnie poszukaj pozycji Personal Recovery Key User i zanotuj podany identyfikator UUID:
diskutil apfs listUsers /dev/<diskXsN>4. Uruchom to polecenie:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Gdy pojawi się pytanie o hasło (passphrase), wklej lub wpisz klucz PRK, a następnie naciśnij Return. Wolumin zostanie zamontowany w Finderze.