Správa FileVaultu prostredníctvom správy zariadení
Organizáciu môžu spravovať plné šifrovanie FileVaultu pomocou služby správy zariadení alebo pri určitých pokročilých nasadeniach a konfiguráciách sa môže použiť nástroj príkazového riadka fdesetup. Správa FileVaultu pomocou služby správy zariadení sa označuje ako odložené povolenie a od užívateľa vyžaduje udalosť odhlásenia alebo prihlásenia. Služba správy zariadení to môže tiež prispôsobiť možnosti, ako napríklad:
koľkokrát môže užívateľ zapnutie FileVaultu odložiť,
či sa má užívateľovi zobraziť výzva nielen pri prihlásení, ale aj pri odhlásení,
či sa má v užívateľskom rozhraní zobraziť kľúč obnovy,
aký certifikát sa má použiť na asymetrické zašifrovanie kľúča obnovy pred odovzdaním do úschovy službe správy zariadení
Povolenie užívateľovi odomykať úložisko na oddieloch APFS od užívateľa vyžaduje, aby mal secure token, a na Macoch s čipom Apple musí byť vlastníkom oddielu. Ďalšie informácie o secure tokenoch a vlastníctve oddielov nájdete v téme Používanie secure tokenov, bootstrap tokenov a vlastníctva oddielov pri nasadzovaní. Informácie o tom, ako a kedy sa užívateľom udeľujú secure tokeny v rôznych pracovných procesoch sú uvedené nižšie.
Vynútenie FileVaultu v Sprievodcovi nastavením
Pomocou kľúča ForceEnableInSetupAssistant možno od počítačov Mac vyžadovať, aby pri nastavovaní počítača v Sprievodcovi nastavením zapli FileVault. Zaistí sa tým, že interné úložisko v spravovaných počítačoch Mac je pred použitím vždy zašifrované. Organizácie sa môžu rozhodnúť, či užívateľovi zobrazia kľúč na obnovenie FileVaultu alebo či uložia do úschovy osobný kľúč obnovy. Ak chcete túto funkciu použiť, uistite sa, že je nastavený kľúč await_device_configured.
Poznámka: V systémoch starších ako macOS 14.4 táto funkcia vyžadovala, aby bol užívateľský účet vytvorený interaktívne počas nastavovania v Sprievodcovi nastavením priradenú rolu správcu.
Keď si užívateľ nastavuje Mac sám
Poznámka: Služba správy zariadení musí podporovať konkrétne funkcie pre secure tokeny a bootstrap tokeny, aby mohli pracovať s Macom.
Keď užívateľ nastavuje Mac sám, IT oddelenie mu na samotnom zariadení nevykonáva žiadne obstarávacie úlohy. Zadáte všetky pravidlá a konfigurácie pomocou služby správy zariadení alebo nástrojov na správu konfigurácie. Sprievodca nastavením vytvorí prvotný lokálny účet a udelí užívateľovi secure token a Mac vygeneruje bootstrap token a uschová ho do služby správy zariadení.
Ak sa Mac zaregistruje do služby správy zariadení, prvotným účtom nemusí byť lokálny správcovský účet, ale lokálny štandardný užívateľský účet. Ak degradujete užívateľa na štandardného užívateľa pomocou služby, danému užívateľovi sa automaticky udelí secure token. Ak na Macu so systémom macOS 10.15.4 alebo novším degradujete užívateľa, systém macOS automaticky vygeneruje bootstrap token a uschová ho do služby správy zariadení.
V prípade, že pri použití služby správy zariadení v Sprievodcovi nastavením vynecháte vytvorenie lokálneho užívateľského účtu a namiesto neho použijete adresárovú službu s mobilnými účtami, služba pridelí užívateľovi mobilného účtu secure token pri prihlásení. Na Macu so systémom macOS 10.15.4 alebo novším systém macOS po aktivácii užívateľa s mobilným účtom pri jeho druhom prihlásení automaticky vygeneruje bootstrap token a odovzdá ho do úschovy službe správy zariadení.
Ak služba správy zariadení preskočí vytvorenie lokálneho užívateľského účtu v Sprievodcovi nastavením a namiesto toho sa použije adresárová služba s mobilnými účtami, služba správy zariadení udelí užívateľovi secure token pri prihlásení. Ak má na Macu so systémom macOS 10.15.4 mobilný užívateľ secure token, systém macOS automaticky vygeneruje bootstrap token a uschová ho do služby správy zariadení.
V ktoromkoľvek z vyššie uvedených scenárov, keďže systém macOS udeľuje prvému a primárnemu užívateľovi secure token, užívateľ môže zapnúť FileVault pomocou odloženej aktivácie, ktorá vám umožňuje zapnúť FileVault, ale odložiť jeho povolenie, kým sa užívateľ neprihlási alebo neodhlási z Macu. Môžete tiež vybrať, či užívateľ môže preskočiť zapnutie FileVaultu (voliteľne definovaný počet krát). To umožňuje primárnemu užívateľovi Macu, či už je to lokálny užívateľ ľubovoľného typu alebo mobilný účet, odomknúť oddiel FileVaultu.
Ak sa k Macu, na ktorom systém macOS vygeneroval bootstrap token a uschoval ho do služby správy zariadení, neskôr prihlási ďalší užívateľ, systém macOS mu s použitím bootstrapov tokenu automaticky pridelí secure token. Znamená to, že účet je tiež aktivovaný pre FileVault a môže odomknúť oddiel zašifrovaný vo FileVaulte. Ak chcete odstrániť užívateľovi možnosť odomykať úložné zariadenie, použite príkaz fdesetup remove -user.
Keď organizácia poskytuje Mac
Keď Mac poskytuje organizácia a až následne ho odovzdá užívateľovi, zariadenie nastavuje IT oddelenie. Na zriadenie alebo nastavenie Macu použijete lokálny správcovský účet, ktorý vytvoríte v Sprievodcovi nastavením alebo prostredníctvom služby správy zariadení. Operačný systém mu pri prihlásení pridelí prvý secure token. Ak služba podporuje funkciu bootstrap tokenu, operačný systém vygeneruje a uschová aj bootstrap token.
Ak je Mac pripojený k adresárovej službe a nakonfigurovaný na vytváranie mobilných účtov, pričom nie je k dispozícii žiadny bootstrap token, užívatelia adresárovej služby budú pri prvom prihlásení vyzvaní na zadanie užívateľského mena a hesla existujúceho správcu, aby bolo možné udeliť ich účtu secure token. Užívatelia musia zadať prihlasovacie údaje lokálneho správcu s prideleným secure tokenom. Ak sa secure token nevyžaduje, užívateľ môže kliknúť na Obísť. Na Macu so systémom macOS 10.13.5 a novším je možné úplne zrušiť dialógové okno secure tokenu, ak sa s mobilnými účtami nebude používať FileVault. Ak chcete zrušiť dialógové okno secure token, použite konfiguračný profil služby správy zariadení s vlastnými nastaveniami, v ktorom použijete tieto kľúče a hodnoty:
Nastavenie | Hodnota | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Doména | com.apple.MCX | ||||||||||
Kľúč | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Hodnota | True | ||||||||||
Ak služba správy zariadení podporuje bootstrap token, a ak Mac vygeneroval bootstrap token a uschoval ho v službe, užívateľom mobilných účtov sa táto výzva nezobrazí. Namiesto toho im macOS počas prihlásenia automaticky udelí secure token.
Ak sa na Macu vyžadujú ďalší lokálni užívatelia namiesto užívateľských účtov z adresárovej služby, týmto lokálnym užívateľom macOS automaticky udelí secure token, keď ich správca s aktivovaným kľúčom secure token vytvorí v položke Užívatelia a skupiny (v Systémových nastaveniach v systéme macOS 13 alebo novšom aj v systéme macOS 12.0.1 alebo staršom). Keď sa vytvárajú lokálni užívatelia pomocou príkazového riadka, správca môže použiť nástroj príkazového riadka sysadminctl a voliteľne ich povoliť pre secure token. Na Macu so systémom macOS 11 alebo novším platí, že ak macOS neudelí secure token pri vytvorení a bootstrap token je k dispozícii zo služby správy zariadení, secure token sa udelí lokálnemu užívateľovi pri jeho prihlásení.
V týchto prípadoch môžu oddiel šifrovaný FileVaultom odomknúť nasledujúci užívatelia:
pôvodný lokálny správca použitý na obstaranie,
všetci ďalší užívatelia adresárovej služby, ktorým bol udelený secure token počas procesu prihlásenia, či už interaktívne pomocou výzvy v dialógovom okne, alebo automaticky pomocou bootstrap tokenu,
akýkoľvek noví lokálni užívatelia.
Ak chcete odstrániť užívateľovi možnosť odomykať úložné zariadenie, použite príkaz fdesetup remove -user.
Pri použití niektorého z postupov uvedených vyššie je secure token spravovaný systémom macOS bez akejkoľvek ďalšej konfigurácie alebo skriptovania. Stane sa z neho súčasť implementácie a nie niečo, čo je potrebné aktívne spravovať alebo meniť.
Nástroj príkazového riadka fdesetup
FileVault možno nakonfigurovať pomocou konfigurácií služby správy zariadení alebo nástroja príkazového riadka fdesetup. Pre počítače Mac zapnutie FileVaultu v systéme macOS 10.15 alebo novšom pomocou príkazu fdesetup zadaním užívateľského mena a hesla je zastarané a v budúcom vydaní nebude dostupné. V systémoch macOS 11 a macOS 12.0.1 tento príkaz stále funguje, ale naďalej sa považuje za zastaraný. Namiesto toho zvážte použitie odloženej aktivácie pomocou služby správy zariadení. Ak sa chcete dozvedieť viac o nástroji príkazového riadka fdesetup, spustite apku Terminál a zadajte príkaz man fdesetup alebo fdesetup help.
Inštitucionálny a osobný kľúč obnovy
FileVault podporuje odomykanie oddielov typu CoreStorage aj APFS pomocou inštitucionálneho kľúča obnovy (IRK – Institutional Recovery Key, predtým hlavná identita FileVaultu). Hoci IRK je užitočný pri operáciách nástroja príkazového riadka na odomknutie oddielu alebo úplné zakázanie FileVaultu, jeho užitočnosť pre organizácie je obmedzená, a to najmä v najnovších verziách macOS. Na Macoch s čipmi Apple kľúče IRK nemajú žiadne funkčné uplatnenie, a to predovšetkým z dvoch dôvodov: Nemožno ich použiť v režime recoveryOS a vzhľadom na ukončenie podpory režimu cieľového disku odpadá možnosť odomknutia oddielu po pripojení k inému Macu. Z týchto a ďalších dôvodov už sa inštitúciám použitie kľúčov IRK na správu FileVaultu na Macoch neodporúča. Namiesto nich by ste mali používať osobné kľúče obnovy (PRK – personal recovery key). PRK poskytuje:
Výnimočne robustný mechanizmus prístupu pri obnove a pre operačný systém
Oddelené šifrovanie jednotlivých oddielov
Úschova služby správy zariadení
Jednoduchá rotácia kľúčov po použití
Na Macu s Apple čipom a so systémom macOS 12.0.1 alebo novším je možné PRK použiť v recoveryOS alebo na priame spustenie šifrovaného Macu do systému macOS. V režime recoveryOS sa môže kľúč PRK použiť v prípade, ža to vyžaduje Sprievodca obnovou alebo pomocou možnosti „Zabudli ste všetky heslá“ a slúži na získanie prístupu k prostrediu obnovy, ktoré následne odomkne oddiel. Pri používaní možnosti „Zabudli ste všetky heslá“ sa od užívateľa nevyžaduje resetovanie hesla. Pomocou tlačidla Ukončiť je možné spustiť systém priamo do režimu recoveryOS. Ak chcete spustiť macOS priamo na počítačoch Mac s procesormi Intel, kliknite na symbol otáznika vedľa poľa s heslom a vyberte možnosť „resetovať pomocou kľúča obnovy“. Zadajte kľúč PRK a potom stlačte kláves Return alebo kliknite na šípku. V dialógovom okne zmeny hesla, ktoré sa zobrazí po spustení systému macOS, stlačte tlačidlo Zrušiť.
Taktiež na Macoch s Apple čipom so systémom macOS 12.0.1 alebo novším zobrazte stlačením klávesov Option+Shift+Return vstupné pole pre PRK a potom stlačte Return (alebo kliknite na šípku).
Existuje len jeden kľúč PRK na každý šifrovaný oddiel a počas povoľovania FileVaultu zo služby správy zariadení ho môžete voliteľne skryť pred užívateľom. Keď ho konfigurujete na úschovu v službe správy zariadení, služba poskytne Macu verejný kľúč vo forme certifikátu, ktorý následne použije na asymetrické zašifrovanie kľúča PRK vo formáte obálky CMS. Zašifrovaný kľúč PRK sa vráti do služby v požiadavke informácií zabezpečenia, ktorú môže následne organizácia pre potreby zobrazenia dešifrovať. Vzhľadom na použitie asymetrického šifrovania sa môže stať, že samotná služba nedokáže kľúč PRK dešifrovať (čo môže vyžadovať ďalšie kroky zo strany správcu). Mnohí vývojári riešení služieb správy zariadení však vo svojich produktoch ponúkajú nástroje na správu kľúčov s možnosťou priameho zobrazenia. Služba správy zariadení môže tiež voliteľne vykonávať rotáciu kľúčov PRK, a to tak často, ako je potrebné na zabezpečenie silného zabezpečenia – napríklad po použití kľúča PRK na odomknutie oddielu.
Kľúče PRK je možné použiť v režime cieľového disku na počítačoch Mac bez Apple čipu na odomknutie oddielu:
1. Pripojte Mac v režime cieľového disku k inému Macu s rovnakou alebo novšou verziou systému macOS.
2. Otvorte Terminál, spustite nasledujúci príkaz a vyhľadajte názov oddielu (väčšinou je to „Macintosh HD“). Mala by sa zobraziť správa: Miesto pripojenia: nepripojené“ a „FileVault: áno (Zamknuté)“. Poznačte si identifikátor disku APFS oddielu. Bude mať tvar disk3s2, len čísla sa pravdepodobne budú líšiť, napríklad disk4s5.
diskutil apfs list3. Spustite nasledujúci príkaz, vyhľadajte položku „personal recovery key user“ a zaznamenajte si uvedené UUID:
diskutil apfs listUsers /dev/<diskXsN>4. Spustite tento príkaz:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Vo výzve na zadanie hesla vložte alebo zadajte kľúč PRK a stlačte kláves Return. Oddiel sa pripojí vo Finderi.