macOS’te FileVault’u yönetme
macOS’te kuruluşlar, FileVault’u SecureToken veya Ön Yükleme (Bootstrap) Jetonu kullanarak yönetebilir.
Güvenli Jeton’u kullanma
macOS 10.13 veya daha yenisindeki Apple File System (APFS), FileVault şifreleme anahtarlarının oluşturulma şeklini değiştirir. CoreStorage disk bölümlerinde bulunan önceki macOS sürümlerinde, FileVault şifreleme işleminde kullanılan anahtarlar, kullanıcı veya kuruluş Mac’te FileVault’u açtığında yaratılırdı. APFS disk bölümlerindeki macOS’te bu anahtarlar; kullanıcı yaratılırken, ilk kullanıcının parolası ayarlanırken veya kullanıcının Mac’te ilk oturum açışında oluşturulur. Şifreleme anahtarlarının tüm uygulamaları (ne zaman oluşturulduğu ve nasıl saklandığı) Güvenli Jeton olarak bilinen bir özelliğin bir parçasıdır. Tam olarak, güvenli jeton, kullanıcı parolası tarafından korunan anahtar şifreleme anahtarının (KEK) paketlenmiş bir sürümüdür.
APFS üzerinde FileVault dağıtımında kullanıcı:
Emanet için mobil aygıt yönetimi (MDM) çözümü ile saklanabilen kişisel kurtarma anahtarı (PRK) gibi var olan araçları ve işlemleri kullanmayı sürdürebilir
Kurumsal kurtarma anahtarı (IRK) yaratıp kullanmayı sürdürebilir
Kullanıcı Mac’te oturum açıncaya veya oturumunu kapatıncaya dek FileVault’un etkinleştirilmesini ertelemeyi sürdürebilir
macOS 11’de Mac’teki ilk kullanıcının başlangıç parolası ayarlandığında o kullanıcıya güvenli bir jeton verilir. Daha önce olduğu gibi ilk güvenli jetonun verilmesiyle kullanıcı hesabının oturum açması gerektiğinden bazı iş akışlarında istenen davranış bu olmayabilir. Bunun olmasını engellemek için kullanıcı parolasını ayarlamadan önce kullanıcının program aracılığıyla yaratılan AuthenticationAuthority
özelliğine aşağıda gösterildiği şekilde ;DisabledTags;SecureToken
kodunu ekleyin:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
Ön Yükleme (Bootstrap) Jetonu’nu kullanma
macOS 10.15, hem taşınabilir hesaplara hem de isteğe bağlı olarak aygıt kaydında yaratılan yönetici hesabına (“yönetilen yönetici”) güvenli jeton vermeyle ilgili yardımcı olması için Ön Yükleme (Bootstrap) Jetonu denilen yeni bir özellik sunar. macOS 11’de ön yükleme (bootstrap) jetonu, yerel kullanıcı hesapları da dahil olmak üzere bir Mac bilgisayarında oturum açan herhangi bir kullanıcıya güvenli jeton verebilir. macOS 10.15 veya daha yenisinin Ön Yükleme (Bootstrap) Jetonu özelliğini kullanmak için şunlar gerekir:
Mac’in Apple Okul Yönetimi veya Apple İşletme Yönetimi kullanılarak MDM’ye kaydettirilmesi ile denetlenip yönetilen yapılması
MDM satıcı desteği
macOS 10.15.4 veya daha yenisinde, MDM çözümü ön yükleme (bootstrap) jetonu özelliğini destekliyorsa Güvenli Jeton özellikli herhangi bir kullanıcının ilk oturum açışında bir ön yükleme (bootstrap) jetonu oluşturulur ve MDM’ye emanet edilir. Ön yükleme (bootstrap) jetonu, gerekirse profiles
komut satırı aracı kullanılarak da oluşturulup MDM’ye emanet edilebilir.
macOS 11’de ön yükleme (bootstrap) jetonu, kullanıcı hesaplarına güvenli jeton vermek dışında da kullanılabilir. Apple Silicon çipli bir Mac’te, varsa ön yükleme (bootstrap) jetonu, MDM kullanılarak yönetilen çekirdek genişletmelerinin ve yazılım güncellemelerinin yüklenmesini yetkilendirmek için kullanılabilir.