Zarządzanie FileVault przy użyciu usługi zarządzania urządzeniami
Organizacje mogą zarządzać funkcją FileVault szyfrującą całą zawartość dysku, używając usługi zarządzania urządzeniami, jak również (w przypadku niektórych zaawansowanych wdrożeń i konfiguracji) przy użyciu narzędzia wiersza poleceń fdesetup. Zarządzanie funkcją FileVault przy użyciu usługi zarządzania urządzeniami określane jest jako opóźnione włączanie i wymaga od użytkownika wylogowania się lub zalogowania. Usługa zarządzania urządzeniami może również dostosowywać takie opcje, jak:
liczbę możliwych opóźnień przez użytkownika włączenia funkcji FileVault,
czy oprócz komunikatu przy logowaniu użytkownika pojawiać ma się również komunikat przy wylogowywaniu,
czy klucz odzyskiwania ma być wyświetlany użytkownikowi,
jaki certyfikat ma być używany do asymetrycznego szyfrowania klucza odzyskiwania deponowanego w usłudze zarządzania urządzeniami.
Umożliwienie użytkownikowi odblokowywania woluminów APFS wymaga posiadania przez użytkownika tokenu bezpieczeństwa, a na Macu z układem scalonym Apple również praw własności do woluminu. Aby uzyskać więcej informacji na temat tokenów bezpieczeństwa oraz własności woluminu, zobacz: Używanie tokenu bezpieczeństwa, tokenu inicjującego oraz własności woluminu we wdrożeniach. Poniżej znajdują się informacje, jak i kiedy użytkownicy otrzymują w określonych sytuacjach token bezpieczeństwa.
Wymuszanie funkcji FileVault na ekranie Asystenta ustawień
Przy użyciu klucza ForceEnableInSetupAssistant można włączyć na komputerach Mac wymuszenie włączenia funkcji FileVault na ekranie Asystenta ustawień. Dzięki temu uzyskuje się pewność, że wbudowana pamięć masowa na zarządzanych komputerach Mac jest zaszyfrowana przed jej użyciem. Decyzja o wyświetleniu użytkownikowi klucza odzyskiwania FileVault oraz zdeponowaniu osobistego klucza odzyskiwania należy do organizacji. Użycie tej funkcji wymaga ustawienia właściwości await_device_configured.
Uwaga: W systemach starszych od macOS 14.4 ta funkcja wymagała, aby konto użytkownika utworzone interaktywnie podczas używania Asystenta ustawień miało rolę Administrator.
Gdy użytkownik sam konfiguruje Maca
Uwaga: Usługa zarządzania urządzeniami musi obsługiwać określone funkcje dotyczące tokenów bezpieczeństwa i tokenów inicjujących, aby działała z komputerami Mac.
Gdy użytkownik sam konfiguruje Maca, dział IT nie przeprowadza żadnych czynności konfiguracyjnych fizycznie na samym urządzeniu. Wszystkie zasady i konfiguracje są udostępniane przy użyciu usługi zarządzania urządzeniami lub narzędzi do zarządzania konfiguracją. Asystent ustawień tworzy początkowe konto lokalne i przydziela jego użytkownikowi token bezpieczeństwa. Mac generuje token inicjujący i deponuje go w usłudze zarządzania urządzeniami.
Jeśli Mac zarejestrowany jest w usłudze zarządzania urządzeniami, to pierwsze konto może nie być lokalnym kontem administratora, ale lokalnym kontem użytkownika standardowego. Jeśli konto użytkownika zostanie zdegradowane do konta standardowego przy użyciu usługi zarządzania urządzeniami, automatycznie otrzyma ono token bezpieczeństwa. Zdegradowanie konta użytkownika Maca z systemem macOS 10.15.4 lub nowszym powoduje automatyczne wygenerowanie przez system macOS tokenu inicjującego oraz zdeponowanie go w usłudze zarządzania urządzeniami.
Jeśli tworzenie lokalnego konta użytkownika przy użyciu Asystenta ustawień zostanie pominięte przez usługę zarządzania urządzeniami, a zamiast tego konta używana będzie usługa katalogowa z kontami przenośnymi, token bezpieczeństwa zostanie przydzielony użytkownikowi przenośnemu przez usługę zarządzania urządzeniami podczas logowania. Po włączeniu użytkownika z kontem przenośnym na Macu z systemem macOS 10.15.4 lub nowszym podczas następnego logowania użytkownika system macOS automatycznie generuje token inicjujący oraz deponuje go w usłudze zarządzania urządzeniami.
Jeśli tworzenie lokalnego konta użytkownika przy użyciu Asystenta ustawień zostanie pominięte przez usługę zarządzania urządzeniami, a zamiast tego konta używana będzie usługa katalogowa z kontami przenośnymi, token bezpieczeństwa zostanie przydzielony użytkownikowi przez usługę zarządzania urządzeniami podczas logowania. Jeśli konto przenośne na Macu z systemem macOS 10.15.4 lub nowszym ma token bezpieczeństwa, system macOS automatycznie generuje token inicjujący oraz deponuje go w usłudze zarządzania urządzeniami.
W każdym z powyższych przypadków system macOS przydziela pierwszemu i głównemu użytkownikowi token bezpieczeństwa, więc użytkownik ten może włączyć funkcję FileVault, używając metody włączania z opóźnieniem, która pozwala włączyć tę funkcję, ale opóźnić jej aktywację do czasu zalogowania się użytkownika na Macu lub wylogowania się z niego. Możesz także skonfigurować możliwość pominięcia przez użytkownika włączenia funkcji FileVault (opcjonalnie ograniczoną do zdefiniowanej liczby pominięć). W efekcie główny użytkownik danego Maca (niezależnie od tego, czy używa konta lokalnego dowolnego typu, czy konta przenośnego) będzie mógł odblokować wolumin FileVault.
Jeśli na Macu, na którym system macOS wygenerował token inicjujący i zdeponował go w usłudze zarządzania urządzeniami, zaloguje się inny użytkownik, system macOS użyje tokenu inicjującego, aby automatycznie przydzielić temu użytkownikowi token bezpieczeństwa. Dzięki temu konto to będzie również mogło używać funkcji FileVault i odblokowywać wolumin zaszyfrowany za jej pomocą. Zablokowanie użytkownikowi możliwości odblokowywania urządzenia pamięci masowej jest możliwe przy użyciu polecenia fdesetup remove -user.
Gdy Mac jest konfigurowany przez organizację
Gdy przed przekazaniem Maca użytkownikowi jest on konfigurowany przez organizację, konfiguracja przygotowywana jest przez dział IT. Konto lokalne z uprawnieniami administratora, utworzone przy użyciu Asystenta ustawień lub instalowane przez usługę zarządzania urządzeniami, używane jest do skonfigurowania Maca oraz otrzymuje od systemu operacyjnego pierwszy token bezpieczeństwa podczas logowania. Jeśli usługa ta obsługuje token inicjujący, system operacyjny generuje i deponuje również ten token.
Jeśli Mac jest przyłączony do usługi katalogowej i skonfigurowany do tworzenia kont przenośnych, a token inicjujący nie jest obecny, podczas pierwszego logowania użytkowników usługi katalogowej wyświetlana jest prośba o wprowadzenie nazwy i hasła istniejącego administratora posiadającego token bezpieczeństwa, aby przydzielić token bezpieczeństwa do konta danego użytkownika. Należy wówczas wprowadzić dane uwierzytelniania administratora lokalnego, którego konto ma przydzielony token bezpieczeństwa. Jeśli token bezpieczeństwa nie jest wymagany, użytkownik może kliknąć w Zignoruj. W przypadku Maca z systemem macOS 10.13.5 lub nowszym możliwe jest całkowite pominięcie okna dialogowego tokenu bezpieczeństwa, jeśli funkcja FileVault nie ma być używana na kontach przenośnych. Aby pominąć okno dialogowe tokenu bezpieczeństwa, należy zastosować przy użyciu usługi zarządzania urządzeniami profil konfiguracji z własnymi ustawieniami, zawierający następujące klucze i wartości:
Ustawienie | Wartość | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domena | com.apple.MCX | ||||||||||
Klucz | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Wartość | True | ||||||||||
Jeśli usługa zarządzania urządzeniami obsługuje token inicjujący i token ten został wygenerowany przez Maca oraz zdeponowany w tej usłudze, użytkownicy kont przenośnych nie zobaczą tego okna dialogowego. Zamiast tego system macOS automatycznie przydzieli im token bezpieczeństwa podczas logowania.
Jeśli wymagane jest utworzenie na Macu dodatkowych kont użytkowników lokalnych (zamiast kont użytkownika w usłudze katalogowej), system macOS automatycznie przydziela im token bezpieczeństwa, gdy bieżący administrator używający tokenu bezpieczeństwa tworzy ich konta lokalne w panelu Użytkownicy i grupy (w Ustawieniach systemowych w systemie macOS 13 lub nowszym albo w Preferencjach systemowych w systemie macOS 12.0.1 lub starszym). Jeśli tworzenie użytkowników lokalnych przebiega przy użyciu wiersza poleceń, administrator może użyć narzędzia wiersza poleceń sysadminctl w celu opcjonalnego przydzielenia tym użytkownikom tokenu bezpieczeństwa. W przypadku Maca z systemem macOS 11 lub nowszym, jeśli system macOS nie przydzieli tokenu bezpieczeństwa podczas tworzenia, a dostępny jest token inicjujący z usługi zarządzania urządzeniami, token bezpieczeństwa zostanie przydzielony użytkownikowi lokalnemu podczas jego logowania.
Oto użytkownicy, którzy mogą w tych sytuacjach odblokować wolumin zaszyfrowany przy użyciu funkcji FileVault:
Oryginalny użytkownik lokalny z uprawnieniami administratora, którego konto zostało użyte do skonfigurowania urządzenia
Dowolny użytkownik usług katalogowych któremu token bezpieczeństwa został przydzielony podczas logowania — interaktywnie przy użyciu okna dialogowego lub automatycznie przy użyciu tokenu inicjującego
Dowolni nowi użytkownicy lokalni
Zablokowanie użytkownikowi możliwości odblokowywania urządzenia pamięci masowej jest możliwe przy użyciu polecenia fdesetup remove -user.
Podczas korzystania z przedstawionych wyżej metod token bezpieczeństwa jest zarządzany przez macOS bez konieczności przeprowadzania dodatkowej konfiguracji lub używania skryptów. Jest on jedynie elementem implementacji i nie stanowi czegoś, co wymaga aktywnego zarządzania lub modyfikowania.
Narzędzie wiersza poleceń fdesetup
Do skonfigurowania funkcji FileVault możesz użyć konfiguracji usługi zarządzania urządzeniami lub narzędzia wiersza poleceń fdesetup. W przypadku Maców z systemem macOS 10.15 lub nowszym możliwość włączania funkcji FileVault przy użyciu narzędzia fdesetup oraz podawania nazwy użytkownika i hasła jest wycofywana i nie będzie dostępna w przyszłych wersjach systemu. W systemach macOS 11 oraz macOS 12.0.1 polecenie to nadal działa i pozostaje w stanie wycofywania. Zamiast niego zalecamy użycie funkcji włączania FileVault z opóźnieniem przy użyciu usługi zarządzania urządzeniami. Aby uzyskać więcej informacji na temat narzędzia wiersza poleceń fdesetup, otwórz Terminal i wprowadź man fdesetup lub fdesetup help.
Klucze odzyskiwania organizacji a osobiste klucze odzyskiwania
FileVault na woluminach CoreStorage oraz APFS obsługuje odblokowywanie woluminu przy użyciu klucza odzyskiwania organizacji (IRK, ang. Institutional Recovery Key, wcześniej określanego jako „główna tożsamość FileVault”). Klucz IRK przydaje się do odblokowywania woluminów oraz całkowitego wyłączania FileVault z poziomu wiersza poleceń, ale jego zastosowanie w organizacjach jest ograniczone, zwłaszcza w najnowszych wersjach systemu macOS. Na Macach z układem scalonym Apple klucz IRK nie pełni istotnej funkcji z dwóch głównych powodów: po pierwsze, nie można go stosować w celu uzyskiwania dostępu do trybu recoveryOS, a po drugie, z uwagi na brak obsługi trybu dysku twardego, nie ma możliwości odblokowania woluminu po podłączeniu go do innego Maca. Ze względu na te oraz inne przyczyny, nie zalecamy korzystania z klucza IRK do zarządzania funkcją FileVault na komputerach Mac. Zamiast niego należy używać osobistego klucza odzyskiwania (PRK). Klucz PRK zapewnia:
wydajny mechanizm odzyskiwania oraz dostępu do systemu operacyjnego,
niepowtarzalność szyfrowania w przypadku każdego woluminu,
deponowanie w usłudze zarządzania urządzeniami,
możliwość łatwej rotacji kluczy.
W przypadku Maca z układem scalonym Apple oraz systemem macOS 12.0.1 lub nowszym klucz PRK może być używany zarówno w trybie recoveryOS, jak i do bezpośredniego uruchamiania zaszyfrowanego Maca w systemie macOS. W trybie recoveryOS klucz PRK pozwala na uzyskanie dostępu do środowiska odzyskiwania, co również odblokowuje wolumin, po wprowadzeniu go na żądanie Asystenta odzyskiwania lub po użyciu opcji „Nie pamiętasz żadnego hasła”. Opcja „Nie pamiętasz żadnego hasła” nie wymaga zerowania hasła użytkownika — można kliknąć w przycisk wyjścia, aby uruchomić komputer bezpośrednio w trybie recoveryOS. Aby uruchomić komputer Mac z procesorem Intel bezpośrednio w systemie macOS, kliknij w znak zapytania obok pola hasła, a następnie wybierz opcję „…używając klucza odzyskiwania”. Wprowadź klucz PRK, a następnie naciśnij klawisz Return lub kliknij w strzałkę. Po uruchomieniu systemu macOS kliknij w Anuluj w oknie dialogowym zmiany hasła.
Dodatkowo na Macu z układem scalonym Apple i systemem macOS 12.0.1 lub nowszym należy nacisnąć klawisze Option‑Shift‑Return, aby wyświetlić pole do wprowadzenia klucza PRK, wprowadzić go, a następne nacisnąć Return lub kliknąć w strzałkę.
Dla każdego szyfrowanego woluminu istnieje tylko jeden klucz PRK, a gdy funkcja FileVault jest włączana przez usługę zarządzania urządzeniami, może zostać on opcjonalnie ukryty przed użytkownikiem. Gdy skonfigurowane jest deponowanie tego klucza w usłudze zarządzania urządzeniami, klucz publiczny udostępniany jest Macowi w postaci certyfikatu. Mac następnie używa go do asymetrycznego zaszyfrowania klucza PRK w formacie CMS Envelope. Zaszyfrowany klucz PRK jest zwracany usłudze zarządzania urządzeniami w zapytaniu dotyczącym informacji o zabezpieczeniach i może zostać odszyfrowany przez organizację w celu jego wyświetlenia. Ze względu na użycie szyfrowania asymetrycznego sama usługa nie ma możliwości odszyfrowania klucza PRK (co może wymagać dodatkowych kroków ze strony administratora). Wielu deweloperów usług zarządzania urządzeniami oferuje jednak możliwość zarządzania kluczami i wyświetlania ich bezpośrednio w swoich produktach. Usługa zarządzania urządzeniami może także opcjonalnie rotować klucze PRK tak często, jak jest to niezbędne do uzyskania odpowiednio silnych zabezpieczeń — na przykład po użyciu klucza PRK do odblokowania woluminu.
Klucz PRK może być używany do odblokowywania woluminu w trybie dysku twardego na komputerach Mac bez układu scalonego Apple:
1. Podłącz Maca w trybie dysku twardego do innego Maca z tą samą lub nowszą wersją systemu macOS.
2. Otwórz Terminal, a następnie uruchom poniższe polecenie i sprawdź nazwę woluminu (zwykle jest to „Macintosh HD”). Powinien być widoczny komunikat „Mount Point: Not Mounted” oraz „FileVault: Yes (Locked)”. Zanotuj identyfikator woluminu APFS (może być to disk3s2, lecz liczby zwykle są inne, na przykład disk4s5).
diskutil apfs list3. Uruchom poniższe polecenie, a następnie poszukaj pozycji Personal Recovery Key User i zanotuj podany identyfikator UUID:
diskutil apfs listUsers /dev/<diskXsN>4. Uruchom to polecenie:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Gdy pojawi się pytanie o hasło (passphrase), wklej lub wpisz klucz PRK, a następnie naciśnij Return. Wolumin zostanie zamontowany w Finderze.