Gerir o FileVault com a gestão de dispositivos
As organizações podem gerir a cifragem completa do disco FileVault com um serviço de gestão de dispositivos ou, para algumas implementações e configurações avançadas, com a ferramenta da linha de comandos fdesetup. A gestão do FileVault com um serviço de gestão de dispositivos é referida como ativação diferida e requer um evento de terminar ou iniciar sessão do utilizador. Um serviço de gestão de dispositivos também pode personalizar opções, tais como:
o número de vezes que um utilizador um adiar a ativação do FileVault;
se é solicitado ao utilizador que termine sessão além de lhe solicitar que inicie sessão;
se a chave de recuperação é mostrada ao utilizador;
que certificado é usado para cifrar assimetricamente a chave de recuperação para depósito no serviço de gestão de dispositivos.
Fazer com que um utilizador possa desbloquear o armazenamento em volumes APFS requer que o utilizador tenha um token seguro e, num Mac com Apple Silicon, que seja proprietário do volume. Encontrará informação adicional sobre tokens seguros e propriedade de volume em Usar token seguro, token bootstrap e propriedade de volume em implementações. Encontrará informação sobre como e quando os utilizadores recebem um token segundo em processos específicos abaixo.
Aplicação do FileVault no Assistente de Configuração
Ao usar a chave ForceEnableInSetupAssistant, pode ser necessário ativar o FileVault em computadores Mac durante o Assistente de Configuração. Isso garante que o armazenamento interno em computadores Mac geridos é sempre cifrado antes de ser usado. As organizações podem decidir se pretendem mostrar a chave de recuperação do FileVault ao utilizador ou depositar a chave de recuperação pessoal. Para usar esta funcionalidade, certifique-se de que await_device_configured está definido.
Nota: Antes do macOS 14.4, esta funcionalidade requeria que a conta do utilizador que foi criada interativamente durante o Assistente de Configuração tenha a função de Administrador.
Quando um utilizador configura um Mac sozinho
Nota: o serviço de gestão de dispositivos tem de suportar funcionalidades específicas para que os tokens seguros e token bootstraps funcionem com um Mac.
Quando um utilizador configura um Mac sozinho, os departamentos de informática não realizam nenhuma tarefa de fornecimento no dispositivo. Todas as políticas e configurações são fornecidas através de um serviço de gestão de dispositivos ou de ferramentas de gestão da configuração. O Assistente de Configuração cria a conta local inicial e dá ao utilizador um token seguro, e o Mac gera um token bootstrap e deposita‑o no serviço de gestão de dispositivos.
Se o Mac for registado num serviço de gestão de dispositivos, a conta inicial pode não ser uma conta de administrador local mas sim uma conta de utilizador local padrão. Se o utilizador for alterado para um utilizador padrão através de um serviço, é automaticamente concedido ao utilizador um token seguro. num Mac com o macOS 10.15.4 ou posterior, se o utilizador for alvo de um downgrade, o macOS gera automaticamente um token bootstrap e deposita‑o no serviço de gestão de dispositivos.
Se ignorar a criação da conta de utilizador local no Assistente de Configuração através do serviço de gestão de dispositivos e, em vez disso, usar um serviço de diretório com contas móveis, o serviço atribui ao utilizador de conta móvel um token seguro ao iniciar sessão. Num Mac com macOS 10.15.4 ou posterior, após ativar o utilizador com uma conta móvel, o macOS gera automaticamente um token bootstrap durante o segundo início de sessão do utilizador e deposita-o no serviço de gestão de dispositivos.
Se a criação da conta de utilizador local for ignorada no Assistente de Configuração através de um serviço de gestão de dispositivos e, em vez disso, for usado um serviço de diretório com contas móveis, o serviço de gestão de dispositivos atribui ao utilizador um token seguro ao iniciar sessão. Num Mac com o macOS 10.15.4 ou posterior, se o utilizador móvel tiver um token seguro, o macOS gera automaticamente um token bootstrap e deposita‑o no serviço de gestão de dispositivos.
Em qualquer dos cenários anteriores, como o macOS atribui um token seguro ao primeiro e principal utilizador, o utilizador pode atacar o FileVault com a ativação diferida, que permite ativar o FileVault mas adia a sua ativação até um utilizador iniciar ou terminar sessão num Mac. Também pode escolher se o utilizador pode ignorar a ativação do FileVault (opcionalmente, um número definido de vezes). Isto permite que o utilizador principal do Mac — quer seja um utilizador local de qualquer tipo ou uma conta móvel — desbloqueie o volume de FileVault.
Num Mac onde o macOS gera um token bootstrap e o deposita num serviço de gestão de dispositivos, se outro utilizador iniciar sessão no Mac no futuro, o macOS usa o token bootstrap para lhes atribuir automaticamente um token seguro. Isso significa que a conta também está ativada para FileVault e pode desbloquear o volume de FileVault. Para remover a capacidade de um utilizador desbloquear o dispositivo de armazenamento, use fdesetup remove -user.
Quando uma organização fornece um Mac
Quando uma organização fornece um Mac antes de o atribuir ao utilizador, o departamento de informática configura o dispositivo. Use a conta de administrador local que cria no Assistente de Configuração ou através de um serviço de gestão de dispositivos, para fornecer ou configurar o Mac, e o sistema operativo atribui‑lhe o primeiro token seguro durante a sessão de início de sessão. Se o serviço suportar a funcionalidade de token bootstrap, o sistema operativo também gera um token bootstrap e deposita-o.
Se o Mac for associado a um serviço de diretório e configurado para criar contas móveis, e se não existir nenhum token bootstrap, será pedido aos utilizadores do serviço de diretório, no primeiro inicio de sessão, um nome de utilizador e palavra‑passe de administrador com token seguro para atribuir um token seguro às respetivas contas. É necessário introduzir as credenciais de um administrador local com um token seguro. Se não for necessário um token seguro, o utilizador pode clicar em “Ignorar”. Num Mac com o macOS 10.13.5 ou posterior, é possível suprimir por completo a caixa de diálogo de token seguro, se o FileVault não se destinar a ser utilizado com as contas móveis. Para suprimir a caixa de diálogo de token seguro, aplique um perfil de configuração de definições personalizado do serviço de gestão de dispositivos com as seguintes chaves e valores:
Definição | Valor | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain (Domínio) | com.apple.MCX | ||||||||||
Key (Chave) | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valor | Verdadeiro | ||||||||||
Se o serviço de gestão de dispositivos suportar a funcionalidade de token bootstrap e o Mac gerar um e o depositar no serviço, os utilizadores de contas móveis não veem este pedido. Em vez disso, o macOS atribui-lhes automaticamente um token seguro durante o processo de início de sessão.
Se forem necessários utilizadores locais adicionais no Mac em vez de contas de utilizador de um serviço de diretório, o macOS atribui-lhes automaticamente um token seguro quando um administrador ativado para token seguro cria esses utilizadores locais em Utilizadores e Grupos (em Definições do Sistema no macOS 13 ou posterior, ou em Preferências do Sistema no macOS 12.0.1 ou anterior). Durante a criação de utilizadores locais com a linha de comandos, o administrador pode usar a ferramenta de linha de comandos sysadminctl e pode opcionalmente ativá‑los para um token seguro. Num Mac com o macOS 11 ou posterior, se o macOS não fornecer um token seguro no momento da criação (e se um token bootstrap estiver disponível no serviço de gestão de dispositivos), é fornecido um token seguro ao utilizador local durante o início de sessão.
Nestes cenários, os utilizadores seguintes podem desbloquear o volume cifrado com FileVault:
O administrador local usado para o fornecimento.
Utilizadores do serviço de diretório adicionais aos quais tenha sido atribuído um token seguro durante o processo de início de sessão quer interativamente através da caixa de diálogo ou automaticamente através do token bootstrap.
Quaisquer novos utilizadores locais.
Para remover a capacidade de um utilizador desbloquear o dispositivo de armazenamento, use fdesetup remove -user.
Ao usar um dos processos atrás descritos, o tokens seguro é gerido pelo macOS sem necessidade de configuração ou scripts adicionais; passa a ser um detalhe de implementação e não algo que tenha de ser gerido ativamente ou manipulado.
Ferramenta da linha de comandos fdesetup
Pode usar as configurações de gestão de dispositivos ou a ferramenta de linha de comandos fdesetup para configurar o FileVault. Para um Mac com o macOS 10.15 ou posterior, a utilização de fdesetup para ativar o FileVault com o nome de utilizador e palavra‑passe está obsoleta e não estará disponível em versões futuras. O comando continua a funcionar, mas mantém-se obsoleto no macOS 11 e macOS 12.0.1. Pondere utilizar a ativação diferida através de um serviço de gestão de dispositivos. Para obter informação adicional sobre a ferramenta de linha de comandos fdesetup, inicie a aplicação Terminal e digite man fdesetup ou fdesetup help.
Comparação entre chaves de recuperação pessoais e institucionais
O FileVault nos volumes CoreStorage e APFS suporta a utilização de uma chave de recuperação institucional (IRK, conhecida anteriormente como “identidade-mestra do FileVault”) para desbloquear o volume. Embora uma IRK seja útil para operações da linha de comandos para desbloquear um volume ou desativar completamente o FileVault, a sua utilidade para organizações é limitada, especialmente em versões recentes do macOS. Num Mac com Apple Silicon, os IRK não fornecem qualquer valor funcional por dois motivos principais: Primeiro, os IRK não podem ser usados para aceder ao recoveryOS e, segundo, uma vez que o modo disco de destino já não é suportado, o volume já não pode ser desbloqueado mediante a ligação a outro Mac. Por estes e outros motivos, a utilização de uma IRK já não é recomendada para gestão institucional do FileVault em computadores Mac. Ao invés, deve ser usada uma chave de recuperação pessoal (PRK). Uma PRK:
oferece um mecanismo de acesso ao sistema operativo e recuperação extremamente robusto;
cifragem única por volume;
depósito num serviço de gestão de dispositivos;
rotação simples das chaves após a utilização.
Para um Mac com Apple silicon com o macOS 12.0.1 ou posterior, pode ser usada uma PRK no recoveryOS ou para iniciar um Mac cifrado no macOS diretamente. No recoveryOS, a PRK pode ser usada se for solicitado um Assistente de Recuperação, ou com a opção “Esquecer todas as palavras-passe”, para ter acesso ao ambiente de recuperação que depois desbloqueia o volume. Ao usar a opção “Esquecer todas as palavras-passe”, não é necessário repor a palavra-passe de um utilizador; é possível clicar no botão de sair para iniciar diretamente no recoveryOS. Para iniciar o macOS diretamente em computadores Mac baseados em Intel, clique no ponto de interrogação junto ao campo de palavra-passe e, depois, selecione a opção “repô‑la com a chave de recuperação”. Digite a PRK e, em seguida, prima Enter ou clique na seta. Após o macOS iniciar, prima “Cancelar” na caixa de diálogo de alteração de palavra-passe.
Adicionalmente, para um Mac com Apple Silicon com o macOS 12.0.1 ou posterior, prima Opção + Shift + Return para ver o campo de entrada da PRK e, depois, prima Return (ou clique na seta). O macOS é iniciado.
Só há uma PRK por volume cifrado e, durante a ativação do FileVault a partir de um serviço de gestão de dispositivos, pode escondê-lo opcionalmente do utilizador. Ao configurá-la para depósito num serviço de gestão de dispositivos, este fornece uma chave pública na forma de um certificado a um Mac, que é então usada para cifrar assimetricamente a PRK num formato de envelope CMS. A PRK cifrada é devolvida ao serviço na consulta de informação de segurança, que pode então ser decifrada para poder ser vista por uma organização. Uma vez que a cifragem é assimétrica, o próprio serviço pode não conseguir decifrar o PRK (o que pode exigir passos adicionais por um administrador). No entanto, muitos programadores de serviço de gestão de dispositivos fornecem a opção de gerir as chaves para permitir a visualização diretamente nos seus produtos. Opcionalmente, o serviço de gestão de dispositivos também pode rodar PRK com a frequência que for necessária para ajudar a manter uma postura de segurança forte (por exemplo, depois de usar uma PRK para desbloquear um volume).
Pode ser usada uma PRK no modo disco de destino em computadores Mac sem Apple Silicon para desbloquear um volume:
1. Ligue o Mac no modo disco de destino a outro Mac com uma versão igual ou posterior do macOS.
2. Abra o Terminal e, depois, execute o seguinte comando e procure o nome do volume (normalmente “Macintosh HD”). Deve dizer “Ponto de montagem”: “Não montado” e “FileVault: Sim (bloqueado).” Tome nota do ID do disco do volume APFS, que é semelhante a disk3s2, mas provavelmente com números diferentes, por exemplo, disk4s5.
diskutil apfs list3. Execute o seguinte comando e, depois, procure o utilizador da chave de recuperação pessoal e tome nota do UUID listado:
diskutil apfs listUsers /dev/<diskXsN>4. Execute este comando:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Quando lhe for solicitada a senha, cole ou introduza a PRK e prima Enter. O volume é montado no Finder.