FileVault’u aygıt yönetimi ile yönetme
FileVault tam disk şifreleme, kuruluşlarda bir aygıt yönetimi servisi veya bazı ileri düzey dağıtımlarda ve konfigürasyonlarda fdesetup komut satırı aracı kullanılarak yönetilebilir. FileVault’un aygıt yönetimi servisini kullanılarak yönetilmesine deferred enablement denir ve kullanıcının bir oturum kapatma (log-out) veya oturum açma (log-in) işlemi gerçekleştirmesini gerektirir. Aygıt yönetimi servisi aşağıdakiler gibi seçenekleri de özelleştirebilir:
Kullanıcının FileVault’un etkinleştirilmesini kaç kez erteleyebileceği
Kullanıcıya oturum açma sırasında bilgi sormaya ek olarak oturumu kapatırken de sorulup sorulmayacağı
Kurtarma anahtarının kullanıcıya gösterilip gösterilmeyeceği
Aygıt yönetimi servisine emanet etmek üzere kurtarma anahtarını asimetrik olarak şifrelemek için kullanılan sertifika
Bir kullanıcının APFS disk bölümlerindeki depolamanın kilidini açacak şekilde etkinleştirilmesini sağlamak için kullanıcının güvenli jetonu olmalıdır ve Apple Silicon çipli bir Mac’te de disk bölümü sahibi olması gerekir. Güvenli jetonlar ve disk bölümü sahipliği hakkında daha fazla bilgi için Dağıtımlarda güvenli jetonları, ön yükleme (bootstrap) jetonlarını ve disk bölümü sahipliğini kullanma bölümüne bakın. Belirli iş akışlarında kullanıcılara nasıl ve ne zaman güvenli jeton verildiğiyle ilgili bilgi aşağıda bulunmaktadır.
Ayarlama Yardımcısı’nda FileVault’u zorunlu kılma
Mac bilgisayarlarının ForceEnableInSetupAssistant anahtarını kullanarak Ayarlama Yardımcısı sırasında FileVault’u açması gerekli olabilir. Bu, yönetilen Mac bilgisayarlarındaki dahili depolama alanının kullanılmadan önce her zaman şifrelenmesini sağlar. Kuruluşlar, FileVault kurtarma anahtarının kullanıcıya gösterilip gösterilmeyeceğine veya kişisel kurtarma anahtarının emanet edilip edilmeyeceğine karar verebilir. Bu özelliği kullanmak için await_device_configured seçeneğinin ayarlı olduğundan emin olun.
Not: macOS 14.4’ten önceki sürümlerde bu özelliğin yönetici rolüne sahip olması için Ayarlama Yardımcısı sırasında etkileşimli olarak yaratılmış bir kullanıcı hesabı gerekirdi.
Kullanıcı kendi Mac’ini ayarladığında
Not: Aygıt yönetimi servisi, güvenli jetonların ve ön yükleme (bootstrap) jetonlarının Mac ile çalışması için belirli özellikleri desteklemelidir.
Kullanıcı Mac’i kendisi ayarlıyorsa BT bölümleri gerçek aygıtta hiçbir hazırlama görevi gerçekleştirmez. Tüm politikaları ve konfigürasyonları bir aygıt yönetimi servisi veya konfigürasyon yönetimi araçları kullanarak sağlarsınız. Ayarlama Yardımcısı ilk yerel hesabı oluşturur ve kullanıcıya güvenli bir jeton verir; Mac ise bir ön yükleme (bootstrap) jetonu oluşturur ve bunu aygıt yönetimi servisine emanet eder.
Mac bir aygıt yönetimi servisine kayıtlıysa ilk hesap yerel bir yönetici hesabı değil, daha çok yerel bir standart kullanıcı hesabı olabilir. Kullanıcı bir servis kullanılarak standart kullanıcı düzeyine düşürülmüşse kullanıcıya otomatik olarak bir güvenli jeton verilir. macOS 10.15.4 veya daha yenisine sahip bir Mac’te kullanıcı düzeyini düşürürseniz macOS, otomatik olarak bir ön yükleme (bootstrap) jetonu oluşturur ve bunu aygıt yönetimi servisine emanet eder.
Aygıt yönetimi servisi kullanarak Ayarlama Yardımcısı’nda yerel kullanıcı hesabı yaratmayı atlar ve bunun yerine taşınabilir hesapları olan bir dizin servisi kullanırsanız bu servis, oturum açma sırasında taşınabilir hesap kullanıcısına güvenli bir jeton verir. macOS 10.15.4 veya daha yenisine sahip Mac’lerde, kullanıcı için bir taşınabilir hesap etkinleştirildikten sonra macOS, kullanıcının ikinci oturum açışı sırasında otomatik olarak bir ön yükleme (bootstrap) jetonunu oluşturur ve bunu aygıt yönetimi servisine emanet eder.
Aygıt yönetimi servisi Ayarlama Yardımcısı’nda yerel kullanıcı hesabı yaratma işlemi atlarsa ve onun yerine taşınabilir hesapları olan bir dizin servisi kullanırsa aygıt yönetimi servisi kullanıcıya oturum açma sırasında bir güvenli jeton verir. macOS 10.15.4 veya daha yenisine sahip bir Mac’te, mobil kullanıcının güvenli bir jetonu varsa macOS otomatik olarak bir ön yükleme (bootstrap) jetonu oluşturur ve bunu aygıt yönetimi servisine emanet eder.
Yukarıdaki senaryoların herhangi birinde, macOS ilk ve birincil kullanıcıya güvenli bir jeton verdiğinden bu kullanıcı ertelenen etkinleştirme özelliğini kullanarak FileVault'u etkinleştirebilir. Bu özellik, FileVault'u açmanıza ancak bir kullanıcı Mac’e giriş yapana veya çıkış yapana kadar etkinleştirmeyi ertelemenize olanak tanır. Kullanıcının FileVault’u açmayı atlayıp atlayamayacağını da (isteğe bağlı olarak tanımlı sayıda) seçebilirsiniz. Bu, Mac’in birincil kullanıcısının (herhangi bir yerel kullanıcı türü veya taşınabilir hesap) FileVault disk bölümünün kilidini açmasına olanak tanır.
Ön yükleme (bootstrap) jetonunun oluşturulup bir aygıt yönetimi servisine emanet edildiği Mac’lerde, başka bir kullanıcı daha sonra Mac’te oturum açarsa macOS otomatik olarak bir güvenli jeton vermek için ön yükleme (bootstrap) jetonunu kullanır. Bu, hesabın da FileVault için etkinleştirilmiş olduğu ve FileVault disk bölümünün kilidini açabileceği anlamına gelir. Kullanıcının depolama aygıtının kilidini açabilme yeteneğini kaldırmak için fdesetup remove -user komutunu kullanın.
Mac bir kuruluş tarafından sağlandığında
Mac, kullanıcıya verilmeden önce bir kuruluş tarafından hazırlanıyorsa BT bölümü aygıtı ayarlar. Ayarlama Yardımcısı’nda yaratılan ya da aygıt yönetimi servisiyle hazırlanan yerel yönetici hesabını, Mac’i hazırlamak veya ayarlamak için kullanırsınız. İşletim sistemi, oturum açma sırasında bu hesaba ilk güvenli jetonu verir. Servis ön yükleme (bootstrap) jetonu özelliğini destekliyorsa işletim sistemi de bir ön yükleme (bootstrap) jetonu oluşturup emanet eder.
Mac bir dizin servisine katılır ve taşınabilir hesaplar yaratmak üzere ayarlanırsa ve hiç ön yükleme (bootstrap) jetonu yoksa, dizin servisi kullanıcılarının hesaplarına bir güvenli jeton verilmesi için bu kullanıcıların ilk kez oturum açışlarında var olan bir güvenli jeton yönetici kullanıcısının adını ve parolasını girmesi istenir. Güvenli jeton özellikli yerel bir yöneticiye ait kimlik bilgilerinin girilmesi gerekir. Güvenli jeton gerekmiyorsa kullanıcı Atla’yı tıklayabilir. macOS 10.13.5 veya daha yenisine sahip bir Mac’te, taşınabilir hesaplarla FileVault’u kullanmayacaksanız güvenli jeton sorgu kutusu tamamen gizlenebilir. Güvenli jeton sorgu kutusunu gizlemek için aşağıdaki anahtarlar ve değerler ile aygıt yönetimi servisinden özel ayarlar konfigürasyon profili uygulayın:
Ayar | Value | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Key | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Value | Doğru | ||||||||||
Aygıt yönetimi servisi ön yükleme (bootstrap) jetonu özelliğini destekliyorsa ve Mac tarafından bir tane oluşturulup servise emanet edildiyse taşınabilir hesap kullanıcıları bu istemi görmez. Bunun yerine macOS bu kullanıcılara oturum açma sırasında otomatik olarak bir güvenli jeton verir.
Dizin hizmetinden kullanıcı hesapları kullanmak yerine Mac’te ek yerel kullanıcılar gerekirse macOS, güvenli jeton özellikli bir yönetici bu yerel kullanıcıları Kullanıcılar ve Gruplar’da (macOS 13 veya daha yenisinde Sistem Ayarları’nda veya macOS 12.0.1 veya daha eskisinde Sistem Tercihleri’nde) yarattığında, bu kullanıcılara otomatik olarak güvenli bir jeton verir. Komut satırını kullanarak yerel kullanıcılar yaratırken yönetici, sysadminctl komut satırı aracını kullanabilir ve isteğe bağlı olarak bunları güvenli jeton için etkinleştirebilir. macOS 11 veya daha yenisine sahip Mac’lerde macOS, yaratma zamanında güvenli jeton sağlamazsa ve aygıt yönetimi servisinden ön yükleme (bootstrap) jetonu alınabilirse oturum açma sırasında yerel kullanıcıya güvenli bir jeton verilir.
Bu senaryolarda şu kullanıcılar FileVault ile şifrelenmiş disk bölümünün kilidini açabilir:
Hazırlık için kullanılan özgün yerel yönetici
Oturum açma işlemi sırasında sorgu kutusu istemi kullanılarak etkileşimli olarak veya ön yükleme (bootstrap) jetonu ile otomatik olarak güvenli bir jeton verilmiş diğer dizin servisi kullanıcıları
Yeni yerel kullanıcılar
Kullanıcının depolama aygıtının kilidini açabilme yeteneğini kaldırmak için fdesetup remove -user komutunu kullanın.
Yukarıda açıklanan iş akışlarından biri kullanılırken güvenli jeton, başka bir konfigürasyon veya betik yazma gerekmeden macOS tarafından yönetilir ve etkin bir şekilde yönetilmesi veya değiştirilmesi gereken bir şey olmak yerine uygulama ayrıntılarından biri hâline gelir.
fdesetup komut satırı aracı
Aygıt yönetimi konfigürasyonları veya fdesetup komut satırı aracı, FileVault’u ayarlamak için kullanılabilir. macOS 10.15 veya daha yenisine sahip bir Mac’te kullanıcı adı ve parola girerek FileVault’u açmak için fdesetup komut satırı aracı artık kullanılmaz ve gelecekteki sürümlerde kullanılamayacaktır. Komut çalışmayı sürdürür ancak macOS 11’de ve macOS 12.0.1’de artık kullanılmaz. Bunun yerine aygıt yönetimi servisinden ertelenen etkinleştirmeyi kullanmayı düşünün. fdesetup komut satırı aracı hakkında daha fazla bilgi için Terminal uygulamasını başlatın ve man fdesetup veya fdesetup help komutunu girin.
Kurumsal ve kişisel kurtarma anahtarları
Hem CoreStorage hem de APFS disk bölümlerinde FileVault, disk bölümünün kilidini açmak için kurumsal kurtarma anahtarı (IRK, daha önce FileVault Ana Kimliği olarak bilinen) kullanılmasını destekler. IRK, bir disk bölümünün kilidini açmak veya FileVault’u tamamen etkisizleştirmek üzere komut satırı işlemleri için yararlı olmasına rağmen kuruluşlar için işlevselliği sınırlıdır, özellikle de macOS’in son sürümlerinde. Apple Silicon çipli bir Mac’te de başlıca iki nedenden dolayı IRK’lerin işlevsel bir değeri yoktur: Birincisi, IRK’ler recoveryOS’e erişmek için kullanılamaz, ikincisi ise artık hedef disk modu desteklenmediği için disk bölümünün kilidi başka bir Mac’e bağlanarak açılamaz. Bu ve daha birçok nedenden dolayı Mac bilgisayarlarında FileVault’un kurumsal yönetimi için IRK kullanılması artık önerilmemektedir. Onun yerine bir kişisel kurtarma anahtarı (PRK) kullanılması gerekir. PRK şunları sağlar:
Son derece güçlü bir kurtarma ve işletim sistemi erişim mekanizması
Her disk bölümünde benzersiz şifreleme
Aygıt yönetimi servisine emanet etme
Kullanımdan sonra kolay anahtar döndürme
Apple Silicon çipli ve macOS 12.0.1 veya daha yenisine sahip bir Mac’te PRK, recoveryOS’te veya şifreli bir Mac’i doğrudan macOS ile başlatmak için kullanılabilir. recoveryOS’te, kurtarma ortamına erişmek (ve disk bölümünün kilidini açmak) için Kurtarma Yardımcısı tarafından istenirse veya Forgot All Passwords (Tüm Parolaları Unuttum) seçeneğiyle PRK kullanılabilir. Forgot All Passwords (Tüm Parolaları Unuttum) seçeneği kullanılırken kullanıcı için parolanın sıfırlanması gerekmez; doğrudan recoveryOS ile başlatmak için çıkma (exit) düğmesi tıklanabilir. Intel tabanlı Mac bilgisayarlarında macOS’i doğrudan başlatmak için parola alanının yanındaki soru işaretini tıklayın, sonra “Kurtarma Anahtarı’nızı kullanın” seçeneğini seçin. PRK’yi girin, sonra Return tuşuna basın veya oku tıklayın. macOS başladıktan sonra parola değiştirme sorgu kutusunda Vazgeç’e basın.
Apple Silicon çipli ve macOS 12.0.1 veya daha yenisine sahip bir Mac’te de PRK giriş alanını göstermek için Option-Shift-Return tuşlarına basın, sonra Return tuşuna basın (veya oku tıklayın).
Şifreli disk bölümü başına yalnızca bir PRK vardır ve FileVault’un aygıt yönetimi servisinden etkinleştirilmesi sırasında isteğe bağlı olarak kullanıcıdan gizlenebilir. Aygıt yönetimi servisine emanet etmek için ayarlarken, Mac’e sertifika biçiminde bir açık anahtar sağlar; bu sertifika da PRK’yi bir CMS zarf biçiminde asimetrik olarak şifrelemek için kullanılır. Şifrelenen PRK, güvenlik bilgileri sorgusunda servise döndürülür ve kuruluş tarafından görüntülenmek üzere şifresi çözülür. Şifreleme asimetrik olduğundan aygıt yönetimi servisi, PRK’nin şifresini bizzat çözemeyebilir (bu yüzden yöneticinin bazı ek adımlar gerçekleştirmesi gerekebilir). Buna rağmen birçok aygıt yönetimi servisi geliştiricisi, bu anahtarların doğrudan kendi ürünlerinde görüntülenmesine izin vermek için anahtarları yönetme seçeneğini sunar. Aygıt yönetimi servisi, güçlü bir güvenlik durumunu korumaya yardımcı olması için PRK’leri de isteğe bağlı olarak gerektiğince sık döndürebilir (örneğin PRK bir disk bölümünün kilidini açmak için kullanıldıktan sonra).
Apple Silicon çipli olmayan Mac bilgisayarlarında disk bölümünün kilidini açmak için hedef disk modunda PRK kullanılabilir:
1. Hedef disk modundaki Mac’i aynı veya daha yeni bir macOS sürümünü kullanan başka bir Mac’e bağlayın.
2. Terminal’i açın, sonra aşağıdaki komutu çalıştırıp disk bölümünün adını (genellikle “Macintosh HD”) bulun. Şu şekilde görünmelidir: “Mount Point: Not Mounted” ve “FileVault: Yes (Locked).” Disk bölümü için disk3s2’ye benzeyen ama muhtemelen farklı rakamlarla (örneğin disk4s5) görünen APFS Volume Disk ID’yi bir yere not edin.
diskutil apfs list3. Aşağıdaki komutu çalıştırın, sonra personal recovery key user’ı bulup listelenen UUID’yi bir yere not edin:
diskutil apfs listUsers /dev/<diskXsN>4. Şu komutu çalıştırın:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Parola isteminde PRK’yi yapıştırın veya girin, sonra Return tuşuna basın. Disk bölümü Finder’da masaüstüne bağlanır.