Usar secure token, bootstrap token e propriedade do volume em implementações
Secure token
Em um Mac com macOS 10.13 ou posterior, o Apple File System (APFS) altera a maneira como as chaves de criptografia do FileVault são geradas. Em volumes CoreStorage de versões anteriores do macOS, as chaves usadas no processo de criptografia do FileVault eram criadas quando um usuário ou organização ativava o FileVault em um Mac. Em computadores Mac com volumes APFS, as chaves de criptografia são geradas durante o processo de criação de usuário, definindo a senha do primeiro usuário, ou durante o primeiro início de sessão de um usuário no Mac. Essa implantação das chaves de criptografia — quando elas são geradas, como elas são armazenadas — faz parte de um recurso conhecido como secure token. Especificamente, um token seguro é uma versão embalada de uma chave de criptografia de chave (KEK) protegida por uma senha de usuário.
Ao implementar o FileVault no APFS, o usuário pode continuar a:
Usar as ferramentas e processos existentes, como uma chave de recuperação pessoal (PRK) que você pode armazenar com um serviço de gerenciamento de dispositivos para guarda segura
Criar e usar uma chave reserva institucional (IRK)
Adiar a ativação do FileVault até que um usuário inicie ou finalize uma sessão no Mac
Em um Mac com macOS 11 ou posterior, definir a senha inicial para o primeiro usuário no Mac resulta na concessão de um token seguro a esse usuário. Em alguns fluxos de trabalho, esse pode não ser o comportamento desejado. Como anteriormente, conceder o primeiro token seguro exigiria que o usuário iniciasse sessão. Para evitar que isso aconteça, adicione ;DisabledTags;SecureToken ao atributo AuthenticationAuthority do usuário criado programaticamente antes de definir a senha do usuário, conforme mostrado abaixo:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrap token
Em um Mac com macOS 10.15 ou posterior, você pode usar o bootstrap token para mais do que apenas conceder tokens seguros para contas de usuário existentes. Em um computador Mac com Apple Silicon — se disponível e quando o gerenciamento for feito por um serviço de gerenciamento de dispositivos — você pode usar o bootstrap token para:
Supervisão
Suporte ao desenvolvedor do serviço de gerenciamento de dispositivos
Em um Mac com macOS 10.15.4 ou posterior, quando um usuário com o token seguro ativado inicia sessão pela primeira vez, o macOS gera um bootstrap token e o guarda em um serviço de gerenciamento de dispositivos. Você também pode gerar um bootstrap token e guardá-lo com segurança em um serviço usando a ferramenta de linha de comando profiles, se necessário.
Em um Mac com macOS 11 ou posterior, você pode usar o bootstrap token para mais do que apenas conceder tokens seguros para contas de usuário existentes. Em um computador Mac com Apple Silicon — se disponível e quando o gerenciamento for feito por um serviço de gerenciamento de dispositivos — você pode usar o bootstrap token para:
Autorizar a instalação de atualizações de software.
Autorizar silenciosamente o comando de gerenciamento de dispositivos “Apagar Conteúdo e Ajustes” (macOS 12.0.1 ou posterior).
Criar novos usuários quando iniciarem uma sessão pela primeira vez com o SSO de Plataforma (macOS 13 ou posterior).
Propriedade do volume
Os computadores Mac com Apple Silicon apresentaram o conceito de propriedade do volume. A propriedade do volume em um contexto organizacional não está ligada à verdadeira propriedade legal ou cadeia de custódia do Mac. Em vez disso, a propriedade do volume pode ser definida livremente como o usuário que primeiro reivindicou um Mac, configurando-o para seu próprio uso, junto com quaisquer usuários adicionais. Você precisa ser o proprietário de um volume para fazer alterações na política de segurança de inicialização em uma instalação específica do macOS, autorizar a instalação de atualizações de software principais e secundárias no macOS, iniciar um comando “Apagar Conteúdo e Ajustes” no Mac, etc. A política de segurança de inicialização define as restrições sobre quais versões do macOS podem ser inicializadas, e como e se extensões de kernel de terceiros podem ser carregas e gerenciadas.
O usuário que reivindicou um Mac pela primeira vez, configurando-o para seu uso, recebe um token seguro em um Mac com Apple silicon e se torna o primeiro proprietário do volume. Quando um bootstrap token está disponível e em uso, ele também se torna um proprietário do volume e concede o status de propriedade do volume a contas adicionais conforme concede a elas tokens seguros. Como tanto o primeiro usuário a receber um token seguro quanto o bootstrap token se tornam proprietários do volume (e dada a capacidade do bootstrap token em conceder tokens seguros a usuários adicionais e, consequentemente, o estado de propriedade do volume), a propriedade do volume não deve ser algo que precise ser ativamente gerenciado ou manipulado em uma organização. As considerações anteriores para gerenciamento e concessão de tokens seguros devem, na maioria dos casos, alinhar-se também ao estado de propriedade do volume.
É possível ser o proprietário de um volume e não ser um administrador, mas determinadas tarefas exigem a verificação de propriedade para ambos. Por exemplo, modificar configurações de segurança de inicialização exige tanto ser um administrador quanto um proprietário do volume, enquanto a autorização de atualizações de software é permitida por usuários padrão e requer apenas a propriedade.
Para visualizar a lista atual de proprietários de volume em um computador Mac com Apple Silicon, o seguinte comando pode ser executado:
sudo diskutil apfs listUsers /Os GUIDs listados na saída do comando diskutil do tipo “Local Open Directory User” são mapeados para os atributos GeneratedUID dos registros do usuário no Open Directory. Para encontrar um usuário pelo GeneratedUID, use o seguinte comando:
dscl . -search /Users GeneratedUID <GUID>Você também pode usar o seguinte comando para ver os nomes de usuário e os GUIDs juntos:
sudo fdesetup list -extendedA propriedade é garantida por criptografia protegida no Secure Enclave. Para obter mais informações, consulte:
Uso da ferramenta de linha de comando
Há ferramentas de linha de comando disponíveis para gerenciar bootstrap tokens e tokens seguros. Normalmente, o macOS gera o bootstrap token e o guarda com segurança no serviço de gerenciamento de dispositivos durante o processo de configuração do macOS, após o serviço informar ao Mac que é compatível com o recurso. No entanto, você também pode gerar um bootstrap token em um Mac já implantado. Em um Mac com macOS 10.15.4 ou posterior, o macOS gera e guarda um bootstrap token no serviço após o primeiro início de sessão de qualquer usuário com o token seguro ativado (se o serviço for compatível com o recurso). Isso reduz a necessidade de usar a ferramenta de linha de comando profiles após a configuração do dispositivo para gerar e guardar com segurança um bootstrap token no serviço.
A ferramenta de linha de comando profiles tem várias opções para interação com o bootstrap token:
sudo profiles install -type bootstraptoken: este comando gera um novo bootstrap token e o guarda com segurança no serviço de gerenciamento de dispositivos. Ele requer as informações de administrador do token seguro existente para gerar inicialmente o bootstrap token, e o serviço precisa ser compatível com o recurso.sudo profiles remove -type bootstraptoken: remove o bootstrap token existente no Mac e no serviço de gerenciamento de dispositivos.sudo profiles status -type bootstraptoken: informa se o serviço de gerenciamento de dispositivos é compatível com o recurso bootstrap token e o estado atual do bootstrap token no Mac.sudo profiles validate -type bootstraptoken: informa se o serviço de gerenciamento de dispositivos é compatível com o recurso bootstrap token e o estado atual do bootstrap token no Mac.
Ferramenta de linha de comando sysadminctl
A ferramenta de linha de comando sysadminctl pode ser usada especificamente para modificar o estado do token seguro em contas de usuário em um computador Mac. Isso deve ser feito com atenção e apenas quando necessário. A alteração do estado do token seguro de um usuário via sysadminctl sempre exige o nome de usuário e a senha de um administrador com um token seguro existente ativado, seja interativamente ou através das opções apropriadas do comando. Tanto sysadminctl quanto os Ajustes do Sistema (macOS 13 ou posterior) ou as Preferências do Sistema (macOS 12.0.1 ou anterior) impedem o apagamento do último usuário administrador ou com token seguro ativado em um Mac. Se a criação de usuários locais adicionais for realizada via sysadminctl, para que esses usuários possam receber um token seguro, são exigidas as credenciais do administrador do token seguro atual através da opção interativa ou diretamente com as opções -adminUser e -adminPassword com sysadminctl.
Em um Mac com macOS 11 ou posterior, se o macOS não conceder um token seguro na criação e se houver um bootstrap token disponível no serviço de gerenciamento de dispositivos, ele concederá um token seguro ao usuário local quando ele iniciar a sessão. Use sysadminctl -h para obter instruções de uso adicionais.