Керування FileVault за допомогою керування пристроями
Організації можуть керувати повним шифруванням диска FireVault за допомогою служби керування пристроями або, для деяких розширених розгортань і конфігурацій, інструментом командного рядка fdesetup. Керування FileVault за допомогою служби керування пристроями називається відкладеним увімкненням і потребує події виходу чи входу в систему від користувача. Служба керування пристроями також може налаштувати такі опції:
Скільки разів користувач може відкладати ввімкнення FileVault
Чи опитувати користувача під час виходу на додаток до опитування під час входу.
Чи показувати ключ відновлення користувачеві.
Який сертифікат використовувати для асиметричного шифрування ключа відновлення задля депонування в службу керування пристроями
Щоб дозволити користувачу відмикати сховище на томах APFS, користувач має отримати токен безпеки й на Mac із процесором Apple бути власником тому. Більше інформації про токени безпеки та право власності на том наведено в розділі Використання токенів безпеки та самозавантаження, а також прав власності на том у розгортаннях. Інформацію про умови отримання токена безпеки користувачами в певних процесах наведено нижче.
Запровадження FileVault в Асистенті налаштування
За допомогою ключа ForceEnableInSetupAssistant можна налаштувати Mac обов’язково вмикати FileVault під час роботи Асистента налаштування. Таким чином внутрішнє сховище в керованих Mac буде завжди зашифроване перед використанням. Організація може вирішити, чи показувати ключ відновлення FileVault користувачеві, чи депонувати персональний ключ відновлення. Для використання цієї функції переконайтеся, що задано параметр await_device_configured.
Примітка. Для версій до macOS 14.4 для роботи цієї функції необхідно, щоб обліковий запис користувача, інтерактивно створений під час роботи Асистента налаштування, мав роль адміністратора.
Коли користувач самостійно налаштовує Mac
Примітка. Служба керування пристроями має підтримувати певні функції, щоб токени безпеки і токени самозавантаження могли працювати з Mac.
Відділ ІТ не виконує жодних дій із готування пристрою, коли користувач самостійно налаштовує Mac. Усі політики та конфігурації надаються за допомогою служби керування пристроями або інструментів керування конфігурацією. Асистент налаштування створює початковий локальний обліковий запис і надає користувачу токен безпеки, а Mac генерує токен самозавантаження та депонує його в службі керування пристроями.
Якщо Mac зареєстровано в службі керування пристроями, початковим буде обліковий запис звичайного користувача, а не адміністратора. Якщо за допомогою служби роль користувача понизити до звичайної, цей користувач автоматично отримає токен безпеки. Якщо понизити роль користувача на Mac із macOS 10.15.4 чи новіших, macOS автоматично генерує токен самозавантаження та депонує його в службі керування пристроями.
Якщо за допомогою служби керування пристроями в Асистенті налаштування пропустити створення локального користувача й натомість використати службу каталогів із мобільними обліковими записами, служба надає користувачу мобільного облікового запису токен безпеки під час входу. На Mac із macOS 10.15.4 чи новіших після того як для користувача з мобільним обліковим записом увімкнено функцію токена безпеки, macOS автоматично генерує токен самозавантаження під час другого входу користувача й депонує його в службі керування пристроями.
Якщо служба керування пристроями пропускає створення локального облікового запису користувача в Асистенті налаштування й натомість використовує службу каталогів із мобільними обліковими записами, служба керування пристроями надає користувачу токен безпеки під час входу. На Mac із macOS 10.15.4 чи новіших, якщо мобільний користувач має токен безпеки, macOS автоматично генерує токен самозавантаження та депонує його в службі керування пристроями.
Оскільки macOS надає першому і основному користувачу токен безпеки, в обох наведених вище випадках FileVault можна активувати шляхом відкладеного ввімкнення, що дає змогу активувати FileVault, відклавши це до входу або виходу користувача на Mac. Також можна дозволити, щоб користувач пропускав увімкнення FileVault (за потреби — визначену кількість разів). Це дозволяє основному користувачу Mac (локальний чи мобільний обліковий запис будь-якого типу) відмикати том FileVault.
На комп’ютері Mac, де macOS генерує токен самозавантаження та депонує його в службі керування пристроями, токен безпеки буде надано автоматично за допомогою токена самозавантаження, якщо в майбутньому на Mac авторизується інший користувач. У результаті цей обліковий запис зможе користуватися засобом FileVault і зможе відмикати том FileVault. Щоб позбавити користувача можливості відмикати пристрій збереження, скористайтеся командою fdesetup remove -user.
Коли організація готує Mac до користування
Якщо Mac готує організація і потім передає користувачу, відділ ІТ налаштовує пристрій. Використовується локальний адміністративний обліковий запис, створений в Асистенті налаштування або підготовлений за допомогою служби керування пристроями, для готування або налаштування Mac, і операційна система надає йому перший токен безпеки під час входу. Якщо служба підтримує функцію токена самозавантаження, операційна система також генерує токен самозавантаження та депонує його.
Якщо Mac приєднують до служби каталогів і дозволяють створювати мобільні облікові записи (і якщо немає токена самозавантаження), щоб отримати токен безпеки для свого облікового запису, користувачі служби каталогів під час першого входу отримують запит на ім’я користувача й пароль наявного адміністратора з токеном безпеки. Їм потрібно ввести облікові дані локального адміністратора з увімкненим токеном безпеки. Якщо в токені безпеки немає потреби, користувач може клацнути «Обхід». На Mac із macOS 10.13.5 чи новіших можна повністю вимкнути запит токена безпеки, якщо ви не плануєте використовувати FileVault для мобільних облікових записів. Щоб вимкнути запит токена безпеки, застосуйте профіль конфігурації з власними налаштуваннями із служби керування пристроями, указавши такі ключі та значення:
Параметр | Значення | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Домен | com.apple.MCX | ||||||||||
Ключ | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Значення | True (Так) | ||||||||||
Якщо служба керування пристроями підтримує функцію токена самозавантаження, і такий токен було згенеровано компʼютером Mac і депоновано в службі, користувачі мобільного облікового запису не бачитимуть цей запит. Натомість вони автоматично отримають токен безпеки від macOS під час входу.
Якщо для пристрою Mac потрібні додаткові локальні користувачі замість облікових записів користувачів зі служби каталогів, macOS автоматично надає їм токени безпеки, коли поточний адміністратор з активним токеном безпеки створює їх у розділі «Користувачі та групи» (у розділі «Системні параметри» в macOS 13 або новіших чи «Параметри системи» в macOS 12.0.1 та старіших версіях). Під час створення локальних користувачів за допомогою командного рядка адміністратор може використовувати інструмент sysadminctl і за потреби ввімкнути для них токен безпеки. На Mac із macOS 11 чи новіших, якщо macOS не надає токен безпеки під час створення і якщо токен самозавантаження доступний в службі керування пристроями, токен безпеки надається локальному користувачу під час входу.
За цих умов відмикати том, який зашифровано за допомогою FileVault, зможуть такі користувачі:
Перший локальний адміністратор, за допомогою якого готували пристрій
Інші користувачі служби каталогів, які отримали токен безпеки під час входу або інтерактивно через запит, або автоматично за допомогою токена самозавантаження
Усі нові локальні користувачі
Щоб позбавити користувача можливості відмикати пристрій збереження, скористайтеся командою fdesetup remove -user.
За використання одного з наведених вище сценаріїв система macOS керуватиме токеном безпеки без додаткових конфігурацій чи скриптів. Такий сценарій стає частиною процесу впровадження й не потребує активного втручання чи управління.
Інструмент командного рядка «fdesetup»
Для налаштування FileVault можна використовувати конфігурації керування пристроями або інструмент командного рядка fdesetup. Для Mac із macOS 10.15 або пізніших версіях припиняється підтримка активації FileVault за допомогою інструмента fdesetup й імені користувача та пароля. У майбутніх випусках ця команда не буде доступною. У macOS 11 і macOS 12.0.1 ця команда продовжує працювати, однак є застарілою. Розгляньте можливість застосувати відкладене увімкнення від служби керування пристроями. Щоб отримати більше інформації про інструмент командного рядка fdesetup, запустіть програму «Термінал» і введіть man fdesetup або fdesetup help.
Організаційні та особисті ключі відновлення
FileVault на томах CoreStorage і APFS підтримує використання відомчого ключа відновлення (ІКВ, раніше відомого як Основне посвідчення FileVault) для відмикання тому. Хоча ІКВ може стати в пригоді під час операцій командного рядка для відмикання диска чи повного вимикання FileVault, його застосовність для організацій обмежена, особливо в останніх версіях macOS. А на Mac із процесором Apple ІКВ не забезпечують функціональність із двох основних причин: По-перше, ІКВ не можна використовувати для доступу до recoveryOS, а по-друге, оскільки режим зовнішнього диска більше не підтримується, том не можна відімкнути його під’єднанням до іншого Mac. З цих та інших причин використання ІКВ більше не рекомендоване для інституційного керування FileVault на комп’ютерах Mac. Натомість слід використовувати особистий ключ відновлення (ОКВ). ОКВ забезпечує:
Надзвичайно ґрунтовний механізм відновлення операційної системи та доступу до неї
Унікальне шифрування для кожного тому
Депонування в службу керування пристроями
Просту ротацію ключа після використання
На Mac із Apple silicon з macOS 12.0.1 або новіших ОКВ може використовуватися як в recoveryOS, так і для запуску на зашифрованому Mac безпосередньо macOS. У recoveryOS ОКВ можна використати на запит Асистента відновлення або для опції «Забули всі паролі?», щоб отримати доступ до середовища відновлення, яке потім також відмикає том. За використання опції «Забули всі паролі?» не обов’язково скидати пароль для користувача. Можна клацнути кнопку виходу, щоб запустити систему безпосередньо в recoveryOS. Щоб безпосередньо запустити macOS на комп’ютері Mac із процесором Intel, клацніть знак питання поруч із полем пароля, а потім виберіть опцію «…скинути його за допомогою ключа відновлення». Введіть ОКВ, а потім натисніть Return або клацніть стрілку. Після запуску macOS натисніть Cancel у діалоговому вікні зміни пароля.
Також на Mac із Apple silicon під керуванням macOS 12.0.1 або новішої натисніть Option+Shift+Return, щоб показати поле введення ОКВ (PRK), а потім натисніть Return (або клацніть стрілку).
На один шифрований том припадає один ОКВ, і під час ввімкнення FileVault з служби керування пристроями його за потреби можна приховати від користувача. Під час конфігурування на депонування в службу керування пристроями ця служба надає комп’ютеру Mac публічний ключ у вигляді сертифіката, який відтак використовується для асиметричного шифрування ОКВ у форматі конверта CMS. Зашифрований ОКВ повертається до служби у запиті безпекової інформації, який потім можна розшифрувати для перегляду організацією. Оскільки шифрування відбувається асиметрично, ця служба може бути нездатна розшифрувати ОКВ (а отже потребуватиме додаткових дій від адміністратора). Однак багато розробників служб керування пристроями надають можливість керувати цими ключами, щоб дозволити переглядати їх безпосередньо в своїх продуктах. Служба керування пристроями може за потреби проводити ротацію ОКВ з потрібною частотою задля підтримання високого рівня безпеки, як-от у випадках, після того як ОКВ використовується для відмикання тому.
ОКВ можна використовувати в режимі зовнішнього диска на комп’ютерах Mac без процесора Apple для відмикання тому:
1. Під’єднайте Mac у режимі зовнішнього диска до іншого Mac під керуванням такої ж або новішої версії macOS.
2. Відкрийте Термінал і виконайте наведену нижче команду, а потім знайдіть назву тому (зазвичай це «Macintosh HD»). Має бути вказано «Mount Point: Not Mounted» і «FileVault: Yes (Locked)». Занотуйте ідентифікатор APFS Volume Disk тому, який має вигляд disk3s2 (цифри можуть відрізнятися — наприклад, disk4s5).
diskutil apfs list3. Виконайте наведену нижче команду, знайдіть рядок personal recovery key user і занотуйте зазначений UUID:
diskutil apfs listUsers /dev/<diskXsN>4. Виконайте цю команду:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. На запит парольної фрази вставте або введіть ОКВ, а потім натисніть Return. Том змонтується у Finder.