Gestionarea FileVault folosind gestionarea dispozitivelor
Organizațiile pot gestiona criptarea completă a discului FileVault folosind un serviciu de gestionare a dispozitivelor sau, pentru unele implementări și configurații avansate, instrumentul în linie de comandă fdesetup. Gestionarea FileVault utilizând un serviciu de gestionare a dispozitivelor este denumită activare amânată și necesită un eveniment de logout sau login din partea utilizatorului. De asemenea, serviciul de gestionare a dispozitivelor poate personaliza opțiuni precum:
De câte ori poate întârzia un utilizator activarea FileVault
Dacă utilizatorul să primească o solicitare la logout, pe lângă solicitarea din timpul loginului
Dacă să se afișeze cheia de recuperare pentru utilizator
Ce certificat să utilizeze pentru a cripta asimetric cheia de recuperare pentru a fi plasată în custodia serviciului de gestionare a dispozitivelor
Pentru ca un utilizator să poată debloca stocarea pe volumele APFS, este necesar ca acesta să dețină un token securizat și, pe un Mac cu cip Apple, să fie proprietar al volumului. Pentru mai multe informații despre tokenuri securizate și proprietatea volumului, consultați Utilizarea tokenurilor securizate, tokenurilor de amorsare și proprietatea volumelor în implementări. Mai jos sunt furnizate informații despre cum și când li se acordă utilizatorilor un token securizat în anumite fluxuri de lucru.
Impunerea FileVault în Asistent de configurare
Folosind cheia ForceEnableInSetupAssistant, computerelor Mac li se poate impune să activeze FileVault în timpul Asistentului de configurare. Astfel se asigură că stocarea internă a computerelor Mac gestionate este criptată întotdeauna înainte de a fi utilizată. Organizațiile pot decide dacă să-i afișeze utilizatorului cheia de recuperare FileVault sau să plaseze în custodie cheia de recuperare personală. Pentru a utiliza această funcționalitate, asigurați-vă că ați configurat await_device_configured.
Notă: La versiunile anterioare macOS 14.4, pentru ca această funcționalitate să fie operabilă, contul de utilizator care a fost creat interactiv în timpul Asistentului de configurare trebuia să aibă rolul de administrator.
Atunci când un utilizator își configurează singur Mac-ul
Notă: Serviciul de gestionare a dispozitivelor trebuie să fie compatibil cu anumite funcționalități pentru ca tokenurile securizate și tokenurile de amorsare să funcționeze cu un Mac.
Când un utilizator configurează manual un Mac, departamentele IT nu realizează nicio sarcină de pregătire pe dispozitivul în sine. Dvs. furnizați toate politicile și configurațiile prin intermediul unui serviciu de gestionare a dispozitivelor sau al instrumentelor de gestionare a configurației. Aplicația Asistent de configurare creează contul local inițial și îi acordă utilizatorului un token securizat, iar Mac-ul generează un token de amorsare și îl plasează în custodia serviciului de gestionare a dispozitivelor.
Dacă Mac‑ul este înscris într-un serviciu de gestionare a dispozitivelor, contul inițial poate să nu fie un cont de administrator local, ci un cont de utilizator standard local. Dacă transformați utilizatorul într‑un utilizator standard prin intermediul unui serviciu, acesta îi acordă automat utilizatorului un token securizat. Pe un Mac cu macOS 10.15.4 sau ulterior, dacă retrogradați utilizatorul, macOS generează în mod automat un token de amorsare și îl plasează în custodia unui serviciu de gestionare a dispozitivelor.
Dacă omiteți crearea unui cont de utilizator local în Asistent de configurare folosind un serviciu de gestionare a dispozitivelor și utilizați un serviciu de directoare cu conturi mobile, serviciul îi acordă utilizatorului contului mobil un token securizat în timpul operațiunii de login. Pe un Mac cu macOS 10.15.4 sau o versiune ulterioară, după activarea utilizatorului cu un cont mobil, macOS generează automat un token de amorsare în timpul celui de-al doilea login al utilizatorului și îl plasează în custodia serviciului de gestionare a dispozitivelor.
Dacă un serviciu de gestionare a dispozitivelor omite crearea unui cont de utilizator local în Asistent de configurare și utilizează în schimb un serviciu de director cu conturi mobile, serviciul de gestionare a dispozitivelor îi acordă utilizatorului un token securizat atunci când efectuează login. Pe un Mac cu macOS 10.15.4 sau ulterior, dacă utilizatorul mobil are un token securizat, macOS generează în mod automat un token de amorsare și îl plasează în custodia unui serviciu de gestionare a dispozitivelor.
În oricare dintre scenariile de mai sus, dacă macOS îi acordă primului utilizator principal un token securizat, acesta poate activa FileVault folosind activarea amânată, ceea ce vă permite să activați FileVault, dar să amânați activarea până când un utilizator efectuează login sau logout de pe Mac. De asemenea, puteți alege dacă utilizatorul poate omite activarea FileVault (opțional de un număr definit de ori). Aceasta îi permite utilizatorului principal al Mac-ului (fie un utilizator local de orice tip, fie un cont mobil) să deblocheze volumul FileVault.
Pe un Mac pe care macOS generează un token de amorsare și îl plasează în custodia unui serviciu de gestionare a dispozitivelor, în cazul în care un alt utilizator efectuează login pe Mac la o dată ulterioară, macOS utilizează tokenul de amorsare pentru a-i acorda automat un token securizat. Aceasta înseamnă că respectivul cont este activat și pentru FileVault și poate debloca volumul FileVault. Pentru a elimina posibilitatea ca un utilizator să poată debloca dispozitivul de stocare, utilizați fdesetup remove -user.
Atunci când o organizație aprovizionează un Mac
Când o organizație aprovizionează un Mac înainte de a-l da unui utilizator, departamentul IT configurează dispozitivul. Utilizați contul de administrator local, pe care îl creați fie în Asistent de configurare, fie prin aprovizionarea unuia cu un serviciu de gestionare a dispozitivelor, pentru a aproviziona sau configura Mac‑ul, iar sistemul de operare îi acordă primul token securizat în timpul autentificării. Dacă serviciul este compatibil cu funcționalitatea token de amorsare, sistemul de operare generează și un token de amorsare și îl plasează în custodie.
Dacă Mac‑ul este înscris într‑un serviciu de director și este configurat să creeze conturi mobile și dacă nu există niciun token de amorsare, utilizatorilor serviciului de director li se solicită la primul login numele de utilizator și parola unui administrator de tokenuri securizate existent pentru ca un token securizat să fie acordat contului lor. Trebuie introduse acreditările unui administrator local cu token securizat activat. Dacă un token securizat nu este necesar, utilizatorul poate face clic pe Ocolire. Pentru un Mac cu macOS 10.13.5 sau ulterior, dialogul tokenului securizat poate fi eliminat complet dacă nu veți utiliza FileVault cu conturile mobile. Pentru a elimina dialogul tokenului securizat, aplicați un profil de configurare personalizat din serviciul de gestionare a dispozitivelor, cu următoarele chei și valori:
Configurare | Valoare | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domeniu | com.apple.MCX | ||||||||||
Cheie | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valoare | True | ||||||||||
Dacă serviciul de gestionare a dispozitivelor este compatibil cu funcționalitatea token de amorsare și Mac-ul generează unul și îl plasează în custodia serviciului, utilizatorii de conturi mobile nu vor vedea această solicitare. În schimb, macOS li acordă automat un token securizat în timpul loginului.
Dacă pe Mac sunt necesari utilizatori locali suplimentari în locul conturilor de utilizator dintr‑un serviciu de director, macOS le acordă automat un token securizat atunci când un administrator cu token securizat activat creează utilizatorii locali respectivi în „Utilizatori și grupuri” (în Configurări sistem pe macOS 13 sau versiunile ulterioare sau în Preferințe sistem pe macOS 12.0.1 sau versiunile anterioare). Când se creează utilizatori locali folosind linia de comandă, administratorul poate utiliza instrumentul în linie de comandă sysadminctl și opțional îi poate activa pentru un token securizat. Pe un Mac cu macOS 11 sau ulterior, dacă macOS nu acordă un token securizat la creare și dacă un token de amorsare este disponibil de la serviciul de gestionare a dispozitivelor, îi acordă un token securizat utilizatorului local atunci când efectuează login.
În aceste scenarii, utilizatorii următori pot debloca volumul criptat de FileVault:
Administratorul local inițial folosit pentru aprovizionare
Orice utilizatori suplimentari ai serviciului de director cărora li s-a acordat un token securizat în timpul procesului de login, fie interactiv folosind solicitarea din fereastra de dialog, fie automat cu tokenul de amorsare
Orice utilizatori locali noi
Pentru a elimina posibilitatea ca un utilizator să poată debloca dispozitivul de stocare, utilizați fdesetup remove -user.
Când se utilizează unul dintre fluxurile de lucru descrise mai sus, tokenul securizat este gestionat de macOS fără a fi necesară o configurație sau scriptare suplimentară; acesta devine un detaliu de implementare și nu ceva ce trebuie să fie gestionat și manipulat activ.
Instrumentul în linie de comandă fdesetup
Puteți utiliza configurații de gestionare a dispozitivelor sau instrumentul în linie de comandă fdesetup pentru a configura FileVault. Pentru un Mac cu macOS 10.15 sau ulterior, utilizarea fdesetup pentru a activa FileVault introducând numele de utilizator și parola este depreciată și nu va fi disponibilă într-o versiune ulterioară. Comanda continuă să funcționeze, dar rămâne perimată în macOS 11 și macOS 12.0.1. Se recomandă în schimb utilizarea activării amânate dintr-un serviciu de gestionare a dispozitivelor. Pentru a afla mai multe despre instrumentul în linie de comandă fdesetup, lansați aplicația Terminal și introduceți man fdesetup sau fdesetup help.
Chei de recuperare instituțională versus personală
Atât pe volumele CoreStorage, cât și pe APFS, FileVault este compatibil cu utilizarea unei chei de recuperare instituțională (IRK, cunoscută anterior drept identitate master FileVault) pentru a debloca volumul. Deși o cheie IRK este utilă pentru ca operațiunile în linie de comandă să deblocheze un volum sau să dezactiveze FileVault, utilitatea acesteia pentru organizații este limitată, mai ales în versiunile recente de macOS. În plus, pe un Mac cu cip Apple, cheile IRK nu oferă o valoare funcțională din două motive principale: În primul rând, cheile IRK nu pot fi folosite pentru a accesa recoveryOS; iar în al doilea rând, întrucât modul disc țintă nu mai este compatibil, volumul nu poate fi deblocat prin conectarea sa la alt Mac. Din aceste motive, dar și din alte considerente, utilizarea unei chei IRK nu mai este recomandată pentru gestionarea instituțională a FileVault pe computerele Mac. În schimb, se recomandă utilizarea unei chei de recuperare personale (PRK). O cheie PRK furnizează:
O recuperare extrem de robustă și mecanism de acces la sistemul de operare
Criptare unică pentru fiecare volum
Plasarea în custodia serviciului de gestionare a dispozitivelor
Rotirea facilă a cheii după utilizare
Pentru un Mac cu cip Apple și macOS 12.0.1 sau ulterior, o cheie PRK poate fi utilizată fie în recoveryOS, fie pentru a porni un Mac criptat direct în macOS. În recoveryOS, cheia PRK poate fi utilizată dacă este solicitată de Asistent de recuperare sau cu opțiunea “Ați uitat toate parolele”, pentru a obține acces la mediul de recuperare, care deblochează apoi și volumul. Când se utilizează opțiunea “Ați uitat toate parolele”, nu este necesară resetarea unei parole pentru un utilizator; se poate face clic pe butonul de ieșire pentru a inițializa direct în recoveryOS. Pentru a porni macOS direct pe computerele Mac cu cip Intel, faceți clic pe semnul întrebării de lângă câmpul parolă, apoi selectați opțiunea de a “reseta utilizând cheia dvs. de recuperare”. Introduceți cheia PRK, apoi apăsați tasta Retur sau faceți clic pe săgeată. După inițializarea macOS, faceți clic pe Renunță în dialogul de schimbare a parolei.
De asemenea, pentru un Mac cu cip Apple și macOS 12.0.1 sau ulterior, apăsați Opțiune-Shift-Retur pentru a afișa câmpul de introducere pentru cheia PRK, apoi apăsați Retur (sau faceți clic pe săgeată).
Există o singură cheie PRK pentru fiecare volum criptat și, în timpul activării FileVault dintr-un serviciu de gestionare a dispozitivelor, puteți să o ascundeți opțional față de utilizator. Când o configurați pentru plasarea în custodia unui serviciu de gestionare a dispozitivelor, acesta furnizează o cheie publică sub forma unui certificat pe un Mac, pe care o utilizează ulterior pentru criptarea asimetrică a cheii PRK într-un format plic CMS. Cheia PRK criptată este returnată serviciului în interogarea informațiilor de securitate, care pot fi apoi decriptate pentru vizualizarea de către organizație. Întrucât criptarea este asimetrică, este posibil ca serviciul să nu poată decripta cheia PRK (ceea ce ar putea necesita efectuarea unor pași suplimentari de către administrator). Cu toate acestea, numeroși dezvoltatori de servicii de gestionare a dispozitivelor oferă opțiunea de a gestiona aceste chei pentru a permite vizualizarea directă în produsele lor. De asemenea, opțional, serviciul de gestionare a dispozitivelor poate roti cheile PRK de câte ori este necesar pentru menținerea unui nivel ridicat al securității (de exemplu, folosind o cheie PRK pentru deblocarea unui volum).
O cheie PRK poate fi utilizată în modul disc țintă pe computerele Mac fără cip Apple pentru deblocarea unui volum:
1. Conectați Mac-ul în modul disc țintă la un alt Mac care utilizează aceeași versiune de macOS sau una mai recentă.
2. Deschideți Terminal, apoi executați următoarea comandă și căutați numele volumului (de obicei este “Macintosh HD”). Ar trebui să scrie “Punct de montare: Nemontat” și ”FileVault: Da (Blocat)”. Notați ID-ul discului volumului APFS pentru volumul respectiv, care are forma disk3s2, dar probabil cu cifre diferite (de exemplu, disk4s5).
diskutil apfs list3. Executați următoarea comandă, apoi căutați utilizatorul cheii de recuperare personală și notați identificatorul UUID listat:
diskutil apfs listUsers /dev/<diskXsN>4. Executați această comandă:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. La solicitarea frazei de acces, lipiți sau introduceți cheia PRK, apoi apăsați Retur. Volumul este montat în Finder.