Správa FileVaultu prostredníctvom riešenia správy mobilných zariadení
Plné šifrovanie disku FileVaultom je možné spravovať v rámci organizácie pomocou riešenia správy mobilných zariadení (MDM) a v prípade niektorých pokročilých nasadení a konfigurácií aj pomocou nástroja príkazového riadka fdesetup. Správa FileVaultu pomocou riešenia MDM sa označuje ako „odložené povolenie“ a od užívateľa vyžaduje udalosť prihlásenia alebo odhlásenia. Pomocou riešenia MDM možno prispôsobiť napríklad nasledujúce možnosti:
koľkokrát môže užívateľ zapnutie FileVaultu odložiť,
či sa má užívateľovi zobraziť výzva nielen pri prihlásení, ale aj pri odhlásení,
či sa má v užívateľskom rozhraní zobraziť kľúč obnovy,
aký certifikát sa má použiť na asymetrické zašifrovanie kľúča obnovy pred odovzdaním do úschovy riešeniu MDM.
Povolenie užívateľovi odomykať úložisko na oddieloch APFS od užívateľa vyžaduje, aby mal secure token, a na Macoch s čipom Apple musí byť vlastníkom oddielu. Ďalšie informácie o secure tokenoch a vlastníctve oddielov nájdete v téme Používanie secure tokenov, bootstrap tokenov a vlastníctva oddielov pri nasadzovaní. Informácie o tom, ako a kedy sa užívateľom udeľujú secure tokeny v rôznych pracovných procesoch sú uvedené nižšie.
Vynútenie FileVaultu v Sprievodcovi nastavením
Pomocou kľúča ForceEnableInSetupAssistant možno od počítačov Mac vyžadovať, aby pri nastavovaní počítača v Sprievodcovi nastavením zapli FileVault. Zaistí sa tým, že interné úložisko v spravovaných počítačoch Mac je pred použitím vždy zašifrované. Organizácie sa môžu rozhodnúť, či užívateľovi zobrazia kľúč na obnovenie FileVaultu alebo či uložia do úschovy osobný kľúč obnovy. Ak chcete túto funkciu použiť, uistite sa, že je nastavený kľúč await_device_configured.
Poznámka: V systémoch starších ako macOS 14.4 táto funkcia vyžaduje, aby mal užívateľský účet vytvorený interaktívne počas nastavovania v Sprievodcovi nastavením priradenú rolu správcu.
Keď si užívateľ nastavuje Mac sám
Keď užívateľ nastavuje Mac sám, IT oddelenie mu na samotnom zariadení nevykonáva žiadne obstarávacie úlohy. Všetky pravidlá a konfigurácie sa poskytujú pomocou riešenia MDM alebo nástrojov na správu konfigurácie. Pomocou Sprievodcu nastavením sa vytvorí úvodný lokálny účet a danému užívateľovi sa priradí secure token. Ak riešenie MDM podporuje funkciu bootstrap token a informuje o tom Mac počas registrácie v riešení MDM, Mac vygeneruje kľúč bootstrap Token a uschová ho v riešení MDM.
Ak je Mac zaregistrovaný v riešení MDM, prvotným účtom nesmie byť lokálny správcovský účet, ale lokálny štandardný užívateľský účet. Po degradovaní užívateľa na štandardného užívateľa pomocou riešenia MDM sa danému užívateľovi automaticky udelí kľúč secure token. Ak bude užívateľ degradovaný, v systéme macOS 10.15.4 alebo novšom sa bootstrap token automaticky vygeneruje a uschová v riešení MDM (ak riešenie túto funkciu podporuje).
Ak sa pomocou riešenia MDM preskočí vytváranie lokálneho užívateľského účtu v Sprievodcovi nastavením a namiesto toho sa použije adresárová služba s mobilnými účtami, užívateľovi s mobilným účtom sa udelí secure token počas prihlásenia. Keď bude užívateľovi s mobilným účtom poskytnutý secure token, v systéme macOS 10.15.4 alebo novšom sa pri druhom prihlásení užívateľa automaticky vygeneruje bootstrap token a následne sa odovzdá do úschovy riešeniu MDM (ak túto funkciu podporuje).
Keďže v oboch vyššie uvedených prípadoch bol prvému a primárnemu užívateľovi udelený secure token, pomocou odloženej aktivácie mu možno zapnúť FileVault. Odložená aktivácia umožňuje organizácii zapnúť FileVault a zároveň odložiť jeho zapnutie až do prihlásenia užívateľa do Macu alebo jeho odhlásenia z Macu. Rovnako je možné prispôsobiť, či užívateľ môže preskočiť zapnutie FileVaultu (prípadne určiť koľkokrát). Výsledkom je, že primárny užívateľ Macu, či už je to lokálny užívateľ ľubovoľného typu alebo mobilný účet, môže odomknúť úložné zariadenie šifrované FileVaultom.
Na počítačoch Mac, na ktorých bol vygenerovaný bootstrap token a odovzdaný do úschovy riešeniu MDM, sa tento bootstrap token pri budúcom prihlásení iného užívateľa do Macu použije na automatické pridelenie secure tokenu. Znamená to, že účet je tiež aktivovaný pre FileVault a môže odomknúť oddiel zašifrovaný vo FileVaulte. Ak chcete odstrániť užívateľovi možnosť odomykať úložné zariadenie, použite príkaz fdesetup remove -user.
Keď Mac obstaráva organizácia
Keď Mac obstaráva organizácia a až následne ho odovzdá užívateľovi, zariadenie nastavuje ID oddelenie. Lokálny účet správcu, ktorý bol vytvorený Sprievodcom nastavením alebo poskytnutý prostredníctvom riešenia MDM, sa používa na obstarávanie alebo nastavenie Macu a prvý secure token sa mu udelí počas prihlásenia. Ak riešenie MDM podporuje funkciu bootstrap token, bootstrap token sa tiež generuje a uschová v riešení MDM.
Ak je Mac pripojený k adresárovej službe a nakonfigurovaný na vytváranie mobilných účtov, pričom nie je k dispozícii žiadny kľúč bootstrap token, užívatelia adresárovej služby budú pri prvom prihlásení vyzvaní na zadanie užívateľského mena a hesla existujúceho správcu secure token, aby bolo možné udeliť ich účtu secure token. Je potrebné zadať prihlasovacie údaje lokálneho správcu s povoleným secure tokenom. Ak sa secure token nevyžaduje, užívateľ môžu kliknúť na Obísť. V systéme macOS 10.13.5 a novších verziách je možné úplne zrušiť dialógové okno secure token, ak sa s mobilnými účtami nebude používať FileVault. Ak chcete zrušiť dialógové okno secure token, použite konfiguračný profil riešenia MDM s vlastnými nastaveniami, v ktorom použijete tieto kľúče a hodnoty:
Nastavenie | Hodnota | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Doména | com.apple.MCX | ||||||||||
Kľúč | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Hodnota | True | ||||||||||
Ak riešenie MDM podporuje funkciu Bootstrap Token a ak Mac vygeneroval bootstrap token a uschoval ho v riešení MDM, užívateľom mobilných účtov sa táto výzva nezobrazí. Namiesto toho sa im počas prihlásenia automaticky udelí secure token.
Ak sa namiesto užívateľských účtov z adresárovej služby vyžadujú ďalší lokálni užívatelia Macu, týmto lokálnym užívateľom sa automaticky udelí secure token, keď ich aktuálny správca s aktivovaným kľúčom secure token vytvorí v položke Užívatelia a skupiny (v Systémových nastaveniach v systéme macOS 13 alebo novšom aj v systéme macOS 12.0.1 alebo staršom). Ak sa vytvárajú lokálni užívatelia pomocou príkazového riadka, je možné použiť nástroj príkazového riadka sysadminctl a voliteľne ich aj povoliť pre secure token. Ak lokálnemu užívateľovi nie je udelený secure token v čase vytvorenia účtu, v systéme macOS 11 alebo novšom sa lokálnemu užívateľovi prihlasujúcemu do Macu udelí secure token počas prihlásenia v prípade, že bootstrap token je dostupný z riešenia MDM.
V týchto prípadoch môžu oddiel šifrovaný FileVaultom odomknúť nasledujúci užívatelia:
pôvodný lokálny správca použitý na obstaranie,
všetci ďalší užívatelia adresárovej služby, ktorým bol udelený secure token počas procesu prihlásenia, či už interaktívne pomocou výzvy v dialógovom okne, alebo automaticky pomocou bootstrap tokenu,
akýkoľvek noví lokálni užívatelia.
Ak chcete odstrániť užívateľovi možnosť odomykať úložné zariadenie, použite príkaz fdesetup remove -user.
Pri použití niektorého z postupov uvedených vyššie je secure token spravovaný systémom macOS bez akejkoľvek ďalšej konfigurácie alebo skriptovania. Stane sa z neho súčasť implementácie a nie niečo, čo je potrebné aktívne spravovať alebo meniť.
Nástroj príkazového riadka fdesetup
FileVault možno nakonfigurovať pomocou konfigurácií riešenia MDM alebo nástroja príkazového riadka fdesetup. Zapnutie FileVaultu v systéme macOS 10.15 alebo novšom pomocou nástroja fdesetup zadaním užívateľského mena a hesla je zastarané a v budúcom vydaní nebude rozpoznané. V systémoch macOS 11 a macOS 12.0.1 tento príkaz stále funguje, ale naďalej sa považuje za zastaraný. Namiesto toho zvážte použitie odloženej aktivácie pomocou riešenia MDM. Ak sa chcete dozvedieť viac o nástroji príkazového riadka fdesetup, spustite apku Terminál a zadajte príkaz man fdesetup alebo fdesetup help.
Inštitucionálny a osobný kľúč obnovy
FileVault podporuje odomykanie oddielov typu CoreStorage aj APFS pomocou inštitucionálneho kľúča obnovy (IRK – Institutional Recovery Key, predtým hlavná identita FileVaultu). Hoci IRK je užitočný pri operáciách nástroja príkazového riadka na odomknutie oddielu alebo úplné zakázanie FileVaultu, jeho užitočnosť pre organizácie je obmedzená, a to najmä v najnovších verziách macOS. Na Macoch s čipmi Apple kľúče IRK nemajú žiadne funkčné uplatnenie, a to predovšetkým z dvoch dôvodov: Nemožno ich použiť v režime recoveryOS a vzhľadom na ukončenie podpory režimu cieľového disku odpadá možnosť odomknutia oddielu po pripojení k inému Macu. Z týchto a ďalších dôvodov už sa inštitúciám použitie kľúčov IRK na správu FileVaultu na Macoch neodporúča. Namiesto nich by ste mali používať osobné kľúče obnovy (PRK – personal recovery key). PRK poskytuje:
Výnimočne robustný mechanizmus prístupu pri obnove a pre operačný systém
Oddelené šifrovanie jednotlivých oddielov
Možnosť úschovy v riešení MDM
Jednoduchá rotácia kľúčov po použití
Kľúč PRK je možné použiť buď v režime recoveryOS, alebo na priame spustenie šifrovaného Macu do systému macOS (v prípade Macov s Apple čipom sa vyžaduje systém macOS 12.0.1 alebo novší). V režime recoveryOS sa môže kľúč PRK použiť v prípade, ža to vyžaduje Sprievodca obnovou alebo pomocou možnosti „Zabudli ste všetky heslá“ a slúži na získanie prístupu k prostrediu obnovy, ktoré následne odomkne oddiel. Pri používaní možnosti „Zabudli ste všetky heslá“ sa od užívateľa nevyžaduje resetovanie hesla. Pomocou tlačidla Ukončiť je možné spustiť systém priamo do režimu recoveryOS. Ak chcete spustiť macOS priamo na počítačoch Mac s procesormi Intel, kliknite na symbol otáznika vedľa poľa s heslom a vyberte možnosť „resetovať pomocou kľúča obnovy“. Zadajte kľúč PRK a potom stlačte kláves Return alebo kliknite na šípku. V dialógovom okne zmeny hesla, ktoré sa zobrazí po spustení systému macOS, stlačte tlačidlo Zrušiť. Na Macoch s Apple čipom a systémom macOS 12.0.1 alebo novším zobrazte stlačením klávesov Option+Shift+Return pole zadávania pre PRK, stlačte Return alebo kliknite na šípku a macOS sa následne spustí.
Existuje len jeden kľúč PRK na každý šifrovaný oddiel a počas povoľovania FileVaultu z riešenia MDM je možné ho voliteľne skryť pred užívateľom. Keď je nakonfigurovaný na úschovu v riešení MDM, riešenie MDM poskytne Macu verejný kľúč vo forme certifikátu, ktorý sa následne použije na asymetrické zašifrovanie kľúča PRK vo formáte obálky CMS. Zašifrovaný kľúč PRK sa vráti do riešenia MDM v požiadavke informácií zabezpečenia, ktorú je možné následne pre potreby zobrazenia v organizácii dešifrovať. Vzhľadom na použitie asymetrického šifrovania sa môže stať, že samotné riešenie MDM nedokáže kľúč PRK dešifrovať (a budú teda nutné ďalšie kroky zo strany správcu). Mnohí dodávatelia riešení MDM ale vo svojich produktoch ponúkajú nástroje na správu kľúčov s možnosťou priameho zobrazenia. Riešenie MDM môže tiež voliteľne vykonávať rotáciu kľúčov PRK, a to tak často, ako je potrebné na zabezpečenie silného zabezpečenia – napríklad po každom použití kľúča PRK na odomknutie oddielu.
Kľúče PRK je možné použiť v režime cieľového disku na počítačoch Mac bez Apple čipu na odomknutie oddielu:
1. Pripojte Mac v režime cieľového disku k inému Macu s rovnakou alebo novšou verziou systému macOS.
2. Otvorte Terminál, spustite nasledujúci príkaz a vyhľadajte názov oddielu (väčšinou je to „Macintosh HD“). Mala by sa zobraziť správa: Miesto pripojenia: nepripojené“ a „FileVault: áno (Zamknuté)“. Poznačte si identifikátor disku APFS oddielu. Bude mať tvar disk3s2, len čísla sa pravdepodobne budú líšiť, napríklad disk4s5.
diskutil apfs list3. Spustite nasledujúci príkaz, vyhľadajte položku „personal recovery key user“ a zaznamenajte si uvedené UUID:
diskutil apfs listUsers /dev/<diskXsN>4. Spustite tento príkaz:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Vo výzve na zadanie hesla vložte alebo zadajte kľúč PRK a stlačte kláves Return. Oddiel sa pripojí vo Finderi.