
Usar token seguro, token bootstrap e propriedade de volume em implementações
Token seguro
O APFS (Apple File System) num Mac com o macOS 10.13 ou posterior altera a forma como as chaves de cifragem do FileVault são geradas. Em versões anteriores do macOS em volumes CoreStorage, as chaves usadas no processo de cifragem do FileVault eram criadas quando um utilizador ou organização ativava o FileVault num Mac. Para computadores Mac com volumes APFS, as chaves de cifragem são geradas durante a criação do utilizador, a definição da primeira palavra‑passe do utilizador ou o primeiro início de sessão por um utilizador do Mac. Esta implementação das chaves de cifragem, quando são geradas e como são armazenadas fazem parte de uma funcionalidade conhecida como token seguro. Mais especificamente, um token seguro é uma versão ajustada de uma chave de cifragem de chaves (KEK) protegida pela palavra-passe do utilizador.
Se ativar o FileVault no APFS, o utilizador pode continuar a:
usar as ferramentas e processos existentes, como o depósito de chaves de recuperação pessoal (PRK) que pode pode armazenar com um serviço de gestão de dispositivos;
criar e usar uma chave de recuperação institucional (IRK);
diferir a ativação do FileVault até um utilizador iniciar ou terminar a sessão no Mac.
Para um Mac com o macOS 11 ou posterior, a definição da palavra-passe inicial para o primeiro utilizador no Mac resulta na atribuição de um token seguro ao utilizador. Em alguns fluxos de trabalho, esse pode não ser o comportamento desejado, como antigamente, em que a concessão do primeiro token seguro exigiria o início de sessão na conta de utilizador. Para impedir que isto aconteça, adicione ;DisabledTags;SecureToken
ao atributo AuthenticationAuthority
do utilizador criado programaticamente antes de definir a palavra-passe do utilizador, conforme mostrados abaixo:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
Token bootstrap
Para um Mac com o macOS 10.15 ou posterior, pode usar o token bootstrap para mais do que apenas conceder tokens seguros a contas de utilizador existentes. Num computador Mac com Apple Silicon — se disponível e quando gerido com um serviço de gestão de dispositivos —, pode usar o token bootstrap para:
supervisão;
Suporte para programadores do serviço de gestão de dispositivos
Para um Mac com o macOS 10.15.4 ou posterior, quando um utilizador que esteja ativado para token seguro iniciar sessão pela primeira vez, o macOS gera um token bootstrap e deposita-o num serviço de gestão de dispositivos. Também pode gerar um token bootstrap e depositá‑lo num serviço usando a ferramenta de linha de comandos profiles
.
Para um Mac com o macOS 11 ou posterior, pode usar o token bootstrap para mais do que apenas conceder tokens seguros a contas de utilizador existentes. Num computador Mac com Apple Silicon — se disponível e quando gerido com um serviço de gestão de dispositivos —, pode usar o token bootstrap para:
autorizar a instalação de atualizações de software;
autorizar silenciosamente um comando de gestão de dispositivos “Erase All Content and Settings” (Apagar todo o conteúdo e definições) (macOS 12.0.1 ou posterior);
criar novos utilizadores quando iniciam sessão pela primeira vez com o início de sessão único na plataforma (macOS 13 ou posterior).
Propriedade de volume
Os computadores Mac com Apple Silicon introduzem o conceito de propriedade de volume. A propriedade do volume num contexto organizacional não está vinculada à verdadeira propriedade legal ou cadeia de custódia do Mac. Ao invés, a propriedade do volume pode ser vagamente definida como o utilizador que primeiro reivindicou um Mac configurando-o para a sua própria utilização, juntamente com quaisquer utilizadores adicionais. É necessário ser proprietário de volume para efetuar alterações à política de segurança de arranque para uma instalação específica do macOS, autorizar a instalação de atualizações de software do macOS, iniciar um comando “Erase All Content and Settings” (Apagar todo o conteúdo e definições) no Mac, etc. A política de segurança de arranque define as restrições à volta das quais as versões do macOS podem ser reiniciadas, assim como a forma e se as extensões kernel de terceiros podem ser carregadas ou geridas.
Ao utilizador que primeiro reivindicar um Mac mediante a sua configuração para utilização pessoal é concedido um token seguro num Mac com Apple Silicon e torna-se o primeiro proprietário do volume. Quando um token bootstrap está disponível e em utilização, também se torna proprietário de volume e concede o estatuto de propriedade de volume a contas adicionais à medida que lhes concede tokens seguros. Visto que tanto o primeiro utilizador a receber um token seguro como o token bootstrap se tornam proprietários do volume, assim como a capacidade do token bootstrap para conceder tokens seguros a utilizadores adicionais (e, assim, o estatuto de propriedade do volume), a propriedade do volume não deve ser algo que necessita de ser gerida ou manipulada ativamente numa organização. As considerações anteriores para gerir e conceder os tokens seguros devem estar geralmente alinhadas também com o estado de propriedade do volume.
É possível que um proprietário de volume seja um administrador, mas determinadas tarefas requerem a verificação de propriedade de ambos. Por exemplo, para alterar as definições de segurança de arranque é necessário ser administrador e proprietário de volume, enquanto que, para autorizar atualizações de software, basta ser um utilizador normal e ter propriedade.
Para ver a lista atual de proprietários de volume num computador com Apple Silicon, pode executar o seguinte comando:
sudo diskutil apfs listUsers /
Os GUID listados na saída de comando diskutil
de tipo “Local Open Directory User” mapeiam de volta para atributos GeneratedUID
de registos de utilizador noOpen Directory. Para encontrar um utilizador por GeneratedUID
, use o seguinte comando:
dscl . -search /Users GeneratedUID <GUID>
Também pode usar o seguinte comando para ver os nomes de utilizador e GUID em conjunto:
sudo fdesetup list -extended
A propriedade é suportada por criptografia protegida no Secure Enclave. Encontrará mais informações em:
Utilização da ferramentas da linha de comandos
Estão disponíveis ferramentas da linha de comandos para a gestão de tokens bootstrap e tokens seguros. Normalmente, o macOS gera o token boostrap e deposita-o no serviço de gestão de dispositivos durante o processo de configuração do macOS, após a solução MDM informar o Mac de que suporta a funcionalidade. No entanto, também é possível gerar um token bootstrap num Mac implementado. Para um Mac com o macOS 10.15.4 ou posterior, o macOS gera e deposita um token bootstrap no serviço no primeiro início de sessão por qualquer utilizador que esteja ativado para token seguro (se o serviço suportar a funcionalidade). Isso reduz a necessidade de usar ferramenta de linha de comandos profiles
após a configuração do dispositivo para gerar e depositar um token bootstrap no serviço.
A ferramenta da linha de comandos profiles
tem diversas opções para interagir com o bootstrap token:
sudo profiles install -type bootstraptoken
: este comando gera um novo token bootstrap e deposita‑o no serviço de gestão de dispositivos. Este comando requer informação do administrador com secure token existente para gerar o token bootstrap e o serviço tem de suportar a funcionalidade.sudo profiles remove -type bootstraptoken
: remove o bootstrap token existente no Mac e no serviço de gestão de dispositivos.sudo profiles status -type bootstraptoken
: comunica se o serviço de gestão de dispositivos suporta a funcionalidade de token bootstrap e o estado atual do token bootstrap no Mac.sudo profiles validate -type bootstraptoken
: comunica se o serviço de gestão de dispositivos suportar a funcionalidade de token bootstrap e o estado atual do token bootstrap no Mac.
Ferramenta da linha de comandos sysadminctl
A ferramenta da linha de comandos sysadminctl
pode ser usada especificamente para modificar o estado de token seguro para contas de utilizador num computador Mac. Esta operação deve ser efetuada com cuidado e apenas quando for necessária. Para alterar o estado de token seguro de um utilizador através de sysadminctl
é sempre necessário o nome de utilizador e a palavra‑passe de um administrador ativado para token seguro, quer interativamente ou através dos marcadores adequados no comando. Tanto sysadminctl
e as Definições do Sistema (macOS 13 ou posterior) ou Preferências do Sistema (macOS 12.0.1 ou anterior) impedem o apagamento do último administrador e/ou utilizador ativado para token seguro num Mac. Se a criação de utilizadores locais for efetuada através de um script com sysadminctl
, para esses utilizadores serem ativados para token seguro, é necessário fornecer as credenciais do administrador atualmente ativado para token seguro, quer através da opção interativa ou diretamente com os marcadores -adminUser
e -adminPassword
com sysadminctl
.
Num Mac com o macOS 11 ou posterior, se o macOS não fornecer um token seguro no momento da criação (e se um token bootstrap estiver disponível no serviço de gestão de dispositivos), é fornecido um token seguro ao utilizador local durante o início de sessão. Use sysadminctl -h
para obter instruções de utilização adicionais.