Gerenciamento do FileVault no macOS
No macOS, organizações podem usar um SecureToken ou Bootstrap Token para gerenciar o FileVault.
Uso do Secure Token
O Apple File System (APFS) no macOS 10.13 ou posterior altera a forma como as chaves de criptografia do FileVault são geradas. Nas versões anteriores do macOS em volumes CoreStorage, as chaves usadas no processo de criptografia do FileVault eram criadas quando um usuário ou organização ativava o FileVault em um Mac. No macOS em volumes APFS, as chaves são geradas durante a criação do usuário, definindo a primeira senha do usuário, ou durante o primeiro início de sessão realizado por um usuário do Mac. Essa implementação das chaves de criptografia, o momento em que são geradas e a forma como são armazenadas fazem parte de um recurso conhecido como Secure Token. Especificamente, um secure token é uma versão embalada de uma chave de criptografia de chaves (KEK) protegida pela senha do usuário.
Ao implantar o FileVault no APFS, o usuário pode continuar a:
Usar as ferramentas e processos existentes, como uma chave de recuperação pessoal (PRK) que pode ser armazenada em uma solução de gerenciamento de dispositivos móveis (MDM) para guarda
Criar e usar uma chave de recuperação institucional (IRK)
Adiar a ativação do FileVault até que um usuário inicie ou encerre uma sessão no Mac
No macOS 11, a definição da senha inicial do primeiro usuário do Mac resulta na concessão de um secure token a esse usuário. Em alguns fluxos de trabalho, esse pode não ser o comportamento desejado, já que, como visto, seria necessário o início de sessão na conta do usuário para que o primeiro secure token fosse concedido. Para impedir que isso aconteça, adicione ;DisabledTags;SecureToken
ao atributo AuthenticationAuthority
do usuário criado programaticamente antes de definir a senha do usuário, conforme mostrado abaixo:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
Uso do Bootstrap Token
O macOS 10.15 apresentou um novo recurso, o Bootstrap Token, para ajudar na concessão de um secure token tanto para contas móveis quanto para a conta opcional de administrador criada no registro do dispositivo (“administrador gerenciado”). No macOS 11, um bootstrap token pode conceder um secure token a qualquer usuário que inicie a sessão em um computador Mac, incluindo contas de usuário locais. O uso do recurso de Bootstrap Token do macOS 10.15 ou posterior requer:
Registro do Mac no MDM via Apple School Manager ou Apple Business Manager, o que torna o Mac supervisionado
Suporte do fornecedor do MDM
No macOS 10.15.4 ou posterior, um bootstrap token é gerado e guardado no MDM quando qualquer usuário que tenha um Secure Token ativado inicia a sessão pela primeira vez, caso a solução MDM seja compatível com o recurso. Um bootstrap token também pode ser gerado e guardado no MDM ao usar a ferramenta de linha de comando profiles
, se necessário.
No macOS 11, um bootstrap token também pode ser usado para coisas além da concessão do secure token a contas de usuário. Em um Mac com Apple Silicon, um bootstrap token, se disponível, pode ser usado para autorizar a instalação de extensões do kernel e de atualizações de software quando gerenciado por um MDM.