Gerenciar o FileVault com gerenciamento de dispositivos
As organizações podem gerenciar a criptografia total do disco do FireVault usando um serviço de gerenciamento de dispositivos ou, para algumas implementações e configurações avançadas, a ferramenta de linha de comando fdesetup. O gerenciamento do FileVault usando um serviço de gerenciamento de dispositivos é conhecido como ativação deferida e exige um evento de finalização de sessão ou de início de sessão do usuário. Um serviço de gerenciamento de dispositivo também pode personalizar opções como:
O número de vezes que um usuário pode adiar a ativação do FileVault
Se avisos aparecem para o usuário ao finalizar a sessão, além dos avisos ao iniciar a sessão
Se a chave reserva é mostrada ao usuário
Qual certificado usar para criptografar assimetricamente a chave reserva para guardar no serviço de gerenciamento de dispositivos
Para permitir que um usuário desbloqueie o armazenamento em volumes APFS, é necessário que ele tenha um token seguro e, em um Mac com Apple Silicon, seja proprietário do volume. Para obter mais informações sobre tokens seguros e propriedade do volume, consulte Usar secure token, bootstrap token e propriedade do volume em implementações. Informações sobre como e quando os usuários recebem um token seguro em fluxos de trabalho específicos são fornecidas a seguir.
Exigência do FileVault no Assistente de Configuração
Com a chave ForceEnableInSetupAssistant, é possível exigir que computadores Mac ativem o FileVault durante o Assistente de Configuração. Isso garante que o armazenamento interno em computadores Mac gerenciados esteja sempre criptografado antes do uso. Organizações podem decidir entre mostrar a chave reserva do FileVault para o usuário ou guardar com segurança a chave reserva pessoal. Para usar esse recurso, defina await_device_configured.
Nota: antes do macOS 14.4, esse recurso exigia que a conta de usuário criada interativamente durante o Assistente de Configuração tivesse a função de Administrador.
Quando um usuário configura um Mac por conta própria
Nota: O serviço de gerenciamento de dispositivos precisa ser compatível com recursos específicos para que os tokens seguros e bootstrap tokens funcionem com um Mac.
Quando um usuário configura um Mac por conta própria, os departamentos de TI não executam nenhuma tarefa de provisionamento no dispositivo. Você fornece todas as políticas e configurações usando um serviço de gerenciamento de dispositivos ou ferramentas de gerenciamento de configuração. O Assistente de Configuração cria a conta local inicial e concede um token seguro ao usuário. O Mac gera um bootstrap token e o guarda com segurança no serviço de gerenciamento de dispositivos.
Se o Mac for registrado em um serviço de gerenciamento de dispositivos, a conta inicial pode não ser uma conta de administrador local, e sim uma conta de usuário padrão local. Se você rebaixar o usuário a usuário padrão no serviço, ele receberá um token seguro automaticamente. Em um Mac com macOS 10.15.4 ou posterior, se você rebaixar o usuário, o macOS gerará um bootstrap token automaticamente e o guardará de forma segura no serviço de gerenciamento de dispositivos.
Se você ignorar a criação de uma conta de usuário local no Assistente de Configuração ao usar o serviço de gerenciamento de dispositivos e usar em vez disso um serviço de diretório com contas móveis, o serviço concederá um token seguro ao usuário da conta móvel durante o início de sessão. Em um Mac com macOS 10.15.4 ou posterior, depois de ativar o usuário com uma conta móvel, o macOS gera um bootstrap token automaticamente durante o segundo início de sessão do usuário e o guarda de forma segura no serviço de gerenciamento de dispositivos.
Se um serviço de gerenciamento de dispositivos ignorar a criação de uma conta de usuário local no Assistente de Configuração e, em vez disso, usar um serviço de diretório com contas móveis, o serviço de gerenciamento de dispositivos concederá um token seguro ao usuário quando ele iniciar a sessão. Em um Mac com macOS 10.15.4 ou posterior, se o usuário móvel tiver um token seguro, o macOS gerará um bootstrap token automaticamente e o guardará de forma segura no serviço de gerenciamento de dispositivos.
Em qualquer dos cenários acima, como o macOS concede um token seguro ao usuário primeiro e principal, o usuário pode ativar o FileVault usando a ativação adiada, que permite ligar o FileVault, mas adiar sua ativação até que um usuário inicie ou finalize uma sessão em um Mac. Você também pode escolher se o usuário pode ignorar a ativação do FileVault (e, opcionalmente, o certo número de vezes). Isso permite que o usuário principal do Mac (seja um usuário local de qualquer tipo ou uma conta móvel) desbloqueie o volume do FileVault.
Em um Mac onde o macOS gera um bootstrap token e o guarda com segurança em um serviço de gerenciamento de dispositivos, se outro usuário iniciar sessão no Mac no futuro, o macOS usará o bootstrap token para conceder automaticamente um token seguro a esse usuário. Consequentemente, a conta também estará ativada para o FileVault e poderá desbloquear o volume do FileVault. Para impedir que um usuário desbloqueie um dispositivo de armazenamento, use o comando fdesetup remove -user.
Quando uma organização provisiona um Mac
Quando uma organização provisiona um Mac antes de entregá-lo ao usuário, o departamento de TI configura o dispositivo. Você usa a conta administrativa local, que você cria no Assistente de Configuração ou por meio de um serviço de gerenciamento de dispositivos, para provisionar ou configurar o Mac, e o sistema operacional concede a ela o primeiro token seguro durante o início de sessão. Se o serviço for compatível com o recurso de bootstrap token, o sistema operacional também gera um bootstrap token e o guarda com segurança.
Se o Mac estiver vinculado a um serviço de diretório e configurado para criar contas móveis, e se não houver bootstrap token, os usuários do serviço de diretório serão solicitados a digitar o nome de usuário e a senha de um administrador do token seguro existente para conceder um token seguro às suas contas. É necessário inserir as credenciais de um administrador local com token seguro ativado. Se não for exigido um token seguro, o usuário pode clicar em Ignorar. Em um Mac com macOS 10.13.5 ou posterior, é possível suprimir completamente o diálogo do token seguro se você não for usar o FileVault com as contas móveis. Para suprimir o diálogo do token seguro, aplique um perfil de configuração com ajustes personalizados do serviço de gerenciamento de dispositivos com as seguintes chaves e valores:
Ajuste | Valor | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domínio | com.apple.MCX | ||||||||||
Chave | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valor | Verdadeiro | ||||||||||
Se o serviço de gerenciamento de dispositivos for compatível com o recurso bootstrap token e o Mac gerar um bootstrap token e guardá-lo com segurança no serviço, os usuários de contas móveis não verão esse diálogo. Em vez disso, o macOS concede automaticamente um token seguro durante o início de sessão.
Se usuários locais adicionais forem exigidos no Mac (em vez de contas de usuário de um serviço de diretório), o macOS concederá automaticamente um token seguro a esses usuários locais quando um administrador com token seguro ativado os criar em “Usuários e Grupos” (nos Ajustes do Sistema no macOS 13 ou posterior, ou nas Preferências do Sistema no macOS 12.0.1 ou anterior). Quando a linha de comando for usada para criar usuários locais, o administrador poderá usar a ferramenta de linha de comando sysadminctl e, opcionalmente, ativá‑los para um token seguro. Em um Mac com macOS 11 ou posterior, se o macOS não conceder um token seguro na criação e se houver um bootstrap token disponível no serviço de gerenciamento de dispositivos, ele concederá um token seguro ao usuário local quando ele iniciar a sessão.
Nesses cenários, os seguintes usuários podem desbloquear o volume criptografado com o FileVault:
O administrador local original, usado para o provisionamento
Qualquer usuário adicional do serviço de diretório que tenha recebido um token seguro durante o processo de início de sessão, seja interativamente com o diálogo ou automaticamente com o bootstrap token
Quaisquer novos usuários locais
Para impedir que um usuário desbloqueie um dispositivo de armazenamento, use o comando fdesetup remove -user.
Ao usar um dos fluxos de trabalho descritos acima, o token seguro é gerenciado pelo macOS sem a necessidade de qualquer configuração adicional ou script. Ele se torna um detalhe da implantação e não algo que requer ativamente gerenciamento nem manipulação.
Ferramenta de linha de comando fdesetup
Você pode usar as configurações de gerenciamento de dispositivos ou a ferramenta de linha de comando fdesetup para configurar o FileVault. Em um Mac com macOS 10.15 ou posterior, o uso de fdesetup para ativar o FileVault com nome do usuário e senha não é recomendável e não estará disponível em versões futuras. O comando continua funcionando, mas não é recomendado no macOS 11 e no macOS 12.0.1. Em vez disso, considere usar a ativação adiada de um serviço de gerenciamento de dispositivos. Para obter mais informações sobre a ferramenta de linha de comando fdesetup, abra o app Terminal e digite man fdesetup ou fdesetup help.
Chave reserva institucional versus chave reserva pessoal
O FileVault permite o uso de uma chave reserva institucional (IRK, anteriormente chamada de Identidade Mestre do FileVault) para desbloquear o volumes CoreStorage e APFS. Embora uma IRK seja útil para operações de linha de comando para desbloquear um volume ou desativar o FileVault completamente, sua utilidade para as organizações é limitada, especialmente nas versões recentes do macOS. E em um Mac com Apple silicon, as IRKs não fornecem valor funcional por dois motivos principais: elas não podem ser usadas para acessar o recoveryOS e, como o modo de disco de destino não é mais compatível, o volume não pode ser desbloqueado ao conectá‑lo a outro Mac. Por esses e outros motivos, o uso de IRKs não é mais recomendado para o gerenciamento institucional do FileVault em computadores Mac. Em vez disso, uma chave reserva pessoal (PRK) deve ser usada. Uma PRK oferece:
Um mecanismo de recuperação e acesso ao sistema operacional extremamente robusto
Criptografia única por volume
Guarda segura no serviço de gerenciamento de dispositivos
Alternância fácil da chave após o uso
Em um Mac com Apple Silicon e macOS 12.0.1 ou posterior, uma PRK pode ser usada no recoveryOS ou para iniciar diretamente um Mac criptografado no macOS. No recoveryOS, a PRK pode ser usada caso seja solicitada no Assistente de Recuperação ou com a opção “Esqueceu todas as senhas?” para obter acesso ao ambiente de recuperação, que também pode desbloquear o volume. Ao usar a opção “Esqueceu todas as senhas?”, não é necessário redefinir a senha de um usuário. Pode-se clicar no botão Sair para iniciar diretamente no recoveryOS. Para iniciar diretamente o macOS em computadores Mac com processador Intel, clique no ponto de interrogação ao lado do campo de senha e escolha a opção “redefini-la usando sua Chave Reserva”. Insira a PRK e pressione a tecla Retorno ou clique na seta. Depois que o macOS for inicializado, pressione Cancelar na caixa de diálogo de alteração de senha.
Além disso, em um Mac com Apple Silicon e macOS 12.0.1 ou posterior, pressione Option + Shift + Return para mostrar o campo de entrada para a PRK e pressione Return (ou clique na seta).
Há apenas uma única PRK por volume criptografado e, durante a ativação do FileVault por um serviço de gerenciamento de dispositivos, você pode opcionalmente ocultá-la do usuário. Ao configurar a guarda segura dela em um serviço de gerenciamento de dispositivos, o serviço fornece uma chave pública na forma de um certificado para um Mac, que é usado para criptografar assimetricamente a PRK em um formato de envelope CMS. A PRK criptografada retorna ao serviço na consulta de informação de segurança, que uma organização pode descriptografar para visualização. Como a criptografia é assimétrica, o próprio serviço pode não conseguir descriptografar a PRK (o que pode exigir etapas adicionais de um administrador). No entanto, muitos desenvolvedores de serviços de gerenciamento de dispositivos oferecem a opção de gerenciar essas chaves para permitir a exibição diretamente em seus produtos. O serviço de gerenciamento de dispositivos também pode, opcionalmente, alternar as PRKs com a frequência necessária para ajudar a manter uma postura de segurança forte, por exemplo, depois de usar uma PRK para desbloquear um volume.
Uma PRK pode ser usada no modo de disco de destino em computadores Mac sem Apple Silicon para desbloquear um volume:
1. Conecte o Mac no modo de disco de destino a outro Mac que use a mesma versão do macOS ou uma versão mais recente.
2. Abra o Terminal e execute o comando a seguir para buscar pelo nome do volume (geralmente “Macintosh HD”). Ele deve retornar “Mount Point: Not Mounted” e “FileVault: Yes (Locked)”. Anote o ID do Disco de Volume APFS para o volume, que se parece com disk3s2, mas com números diferentes, por exemplo, disk4s5.
diskutil apfs list3. Execute o comando a seguir, busque a chave reserva pessoal do usuário e anote o UUID relacionado:
diskutil apfs listUsers /dev/<diskXsN>4. Execute este comando:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Quando a frase-senha for pedida, cole ou digite a PRK e pressione Return. O volume é montado no Finder.