通过设备管理来管理文件保险箱
组织可以使用设备管理服务,或者对于某些高级部署和配置,使用 fdesetup 命令行工具管理文件保险箱全磁盘加密。使用设备管理服务管理文件保险箱被称为推迟启用功能,需要来自用户的退出登录或登录事件。设备管理服务还可以自定义诸如以下选项:
用户可推迟启用文件保险箱的次数
除了在登录时提示用户外,是否在退出登录时也提示用户
是否向用户显示恢复密钥
使用哪种证书对用于托管到设备管理服务的恢复密钥进行非对称加密
允许用户解锁 APFS 宗卷上的储存空间需要用户拥有安全令牌,在搭载 Apple 芯片的 Mac 上则需要用户为宗卷所有者。有关安全令牌和宗卷所有权的更多信息,请参阅在部署中使用安全令牌、Bootstrap 令牌和宗卷所有权。以下提供了在特定工作流程中用户如何以及何时被授予安全令牌的相关信息。
在“设置助理”中执行文件保险箱
通过 ForceEnableInSetupAssistant 键,在“设置助理”运行期间可要求 Mac 电脑打开文件保险箱。这可确保被管理 Mac 电脑中的内部储存在使用之前始终处于加密状态。组织可以决定是否向用户显示文件保险箱恢复密钥或托管个人恢复密钥。若要使用此功能,请确保已设定 await_device_configured。
【注】在 macOS 14.4 之前,此功能需要在“设置助理”运行期间通过交互创建的用户账户拥有管理员职务。
Mac 由用户自行设置
【注】设备管理服务需要支持特定的功能才能搭配 Mac 使用安全令牌和 Bootstrap 令牌。
用户自行设置 Mac 时,IT 部门不会对实际设备执行任何预置任务。所有策略和配置都由你使用设备管理服务或配置管理工具提供。“设置助理”会创建初始本地账户并授予用户安全令牌,且 Mac 会生成 Bootstrap 令牌并将其托管到设备管理服务。
如果在设备管理服务中注册 Mac,初始账户可能不是本地管理员账户,而是本地普通用户账户。如果你使用服务将用户降级为普通用户,其会自动授予该用户安全令牌。在运行 macOS 10.15.4 或更高版本的 Mac 上,如果你将用户降级,macOS 会自动生成 Bootstrap 令牌并将其托管到设备管理服务。
如果使用设备管理服务跳过了“设置助理”中的本地用户账户创建,而改为使用带有移动账户的目录服务,该服务会在登录期间向移动账户用户授予安全令牌。在运行 macOS 10.15.4 或更高版本的 Mac 上,启用使用移动账户的用户后,macOS 会在用户第二次登录期间自动生成 Bootstrap 令牌并将其托管到设备管理服务。
如果设备管理服务跳过了“设置助理”中的创建本地用户账户,而改为使用带有移动账户的目录服务,设备管理服务会在用户登录时向其授予安全令牌。在运行 macOS 10.15.4 或更高版本的 Mac 上,如果移动账户用户拥有安全令牌,macOS 会自动生成 Bootstrap 令牌并将其托管到设备管理服务。
在以上任一情形中,由于 macOS 向首个且主要用户授予了安全令牌,该用户可使用推迟启用功能启用文件保险箱,这可让你打开但推迟启用文件保险箱,直至用户登录或退出登录 Mac。你还可以选择用户可否跳过启用文件保险箱(可选择定义的次数)。这可让 Mac 主要用户(无论是何种类型的本地用户还是移动账户)解锁文件保险箱宗卷。
在 macOS 生成 Bootstrap 令牌并将其托管到设备管理服务的 Mac 上,如果其他用户在后续登录 Mac,macOS 会使用 Bootstrap 令牌自动向其授予安全令牌。这意味着账户也已针对文件保险箱启用,可以解锁文件保险箱宗卷。若要移除用户解锁存储设备的能力,请使用 fdesetup remove -user。
组织预置 Mac 时
当组织在将 Mac 交给用户之前对其进行预置时,IT 部门会设置该设备。你可以使用在“设置助理”中创建或通过设备管理服务预置的本地管理账户预置或设置 Mac,操作系统会在登录期间授予它第一个安全令牌。如果服务支持 Bootstrap 令牌功能,操作系统还会生成 Bootstrap 令牌并将其托管。
如果 Mac 加入了目录服务并配置为创建移动账户,并且没有 Bootstrap 令牌,目录服务用户在首次登录时会收到提示,要求提供现有安全令牌管理员用户名和密码,为其账户授予安全令牌。用户需要输入已启用安全令牌的本地管理员的凭证。如果不需要安全令牌,用户可点按“绕过”。对于运行 macOS 10.13.5 或更高版本的 Mac,如果你不打算配合移动账户使用文件保险箱,可以完全禁止安全令牌对话框。若要禁止安全令牌对话框,请应用来自设备管理服务的自定义设置配置描述文件,其中包括以下键和值:
设置 | 值 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
域 | com.apple.MCX | ||||||||||
键 | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
值 | True | ||||||||||
如果设备管理服务支持 Bootstrap 令牌功能,且 Mac 生成了 Bootstrap 令牌并将其托管到该服务,移动账户用户不会看到此提示。相反,macOS 会在登录期间自动向其授予安全令牌。
如果 Mac 上需要其他本地用户而不是来自目录服务的用户账户,当启用安全令牌的管理员在“用户与群组”(位于 macOS 13 或更高版本中的“系统设置”,或者 macOS 12.0.1 或更低版本中的“系统偏好设置”)中创建这些本地用户时,macOS 会自动向其授予安全令牌。通过命令行创建本地用户时,管理员可使用 sysadminctl 命令行工具,还可选择为用户启用安全令牌。在运行 macOS 11 或更高版本的 Mac 上,如果 macOS 未在创建时授予安全令牌且 Bootstrap 令牌可从设备管理服务处获取,则会在本地用户登录时授予其安全令牌。
在这些情形中,以下用户可以解锁由文件保险箱加密的宗卷:
用于预置的原始本地管理员
登录期间被授予安全令牌的任何其他目录服务用户,无论是使用对话框提示通过交互方式授予或是通过 Bootstrap 令牌自动授予
任何新本地用户
若要移除用户解锁存储设备的能力,请使用 fdesetup remove -user。
使用上述其中一个工作流程时,安全令牌由 macOS 管理,无需任何额外配置或脚本编写;它会变成一个实施细节,不需要进行主动管理或操作。
fdesetup 命令行工具
你可以使用设备管理配置或 fdesetup 命令行工具配置文件保险箱。对于运行 macOS 10.15 或更高版本的 Mac,使用 fdesetup 通过提供用户名和密码来启用文件保险箱的方式已弃用,且在后续版本中不再可用。命令仍可正常工作,但在 macOS 11 和 macOS 12.0.1 中仍被弃用。请考虑使用设备管理服务的推迟启用功能。有关 fdesetup 命令行工具的更多信息,请启动“终端” App 并输入 man fdesetup 或 fdesetup help。
机构恢复密钥与个人恢复密钥
CoreStorage 和 APFS 宗卷上的文件保险箱支持使用机构恢复密钥(IRK,曾称为文件保险箱主身份)来解锁宗卷。尽管 IRK 对于命令行操作解锁宗卷或完全停用文件保险箱十分有用,其效用对组织来说是有限的,尤其在最近的 macOS 版本中。在搭载 Apple 芯片的 Mac 上,IRK 不提供功能性值,这主要出于两个原因:首先,IRK 无法用于访问 recoveryOS;其次,由于不再支持目标磁盘模式,宗卷无法通过连接到另一台 Mac 进行解锁。由于以上各种原因,不再建议机构使用 IRK 来管理 Mac 电脑上的文件保险箱,而应当改为使用个人恢复密钥 (PRK)。PRK 提供:
特别强大的恢复和操作系统访问机制
按宗卷进行唯一加密
托管到设备管理服务
使用后轻松轮换密钥
对于搭载 Apple 芯片且运行 macOS 12.0.1 或更高版本的 Mac,PRK 可在 recoveryOS 中使用,也可用于将加密的 Mac 直接启动进入 macOS。在 recoveryOS 中,PRK 可在“恢复助理”提示时或使用“忘记所有密码”选项时用于访问恢复环境,此操作也会解锁宗卷。使用“忘记所有密码”选项时,不要求为用户重设密码;可点按退出按钮直接启动进入 recoveryOS。若要在基于 Intel 的 Mac 电脑上直接启动 macOS,请点按密码栏旁边的问号,然后选取“使用你的‘恢复密钥’来重设”选项。输入 PRK,然后按下 Return 键或点按箭头。macOS 启动后,按下密码更改对话框上的“取消”。
同时,对于搭载 Apple 芯片且运行 macOS 12.0.1 或更高版本的 Mac,按下 Option-Shift-Return 显示 PRK 的输入栏,然后按下 Return 键(或点按箭头)。
每个加密宗卷只有一个 PRK,并且从设备管理服务启用文件保险箱期间,你可以选择将其对用户隐藏。配置为托管到设备管理服务时,它会以证书形式向 Mac 提供公共密钥,该公共密钥之后会被用于以 CMS 封装格式对 PRK 进行非对称加密。加密的 PRK 在安全性信息查询中会归还到该服务,然后组织可以解密进行查看。由于加密是非对称的,该服务自身可能无法解密 PRK(可能需要管理员执行额外步骤)。不过,许多设备管理服务开发者会提供用于管理这些密钥的选项,允许直接在其产品中进行查看。设备管理服务还可以根据需要选择经常轮换 PRK 以帮助维持强安全性的状态,例如在使用 PRK 解锁宗卷后。
在未搭载 Apple 芯片的 Mac 电脑上,PRK 可用于在目标磁盘模式中解锁宗卷:
1.将处于目标磁盘模式下的 Mac 连接到另一台使用相同或更高 macOS 版本的 Mac。
2.打开“终端”,然后运行以下命令并查找宗卷名称(通常为“Macintosh HD”)。应显示“Mount Point:Not Mounted”和“FileVault:Yes (Locked)”。记下宗卷的 APFS 宗卷磁盘 ID,类似于 disk3s2,但可能数字不同,如 disk4s5。
diskutil apfs list3.运行以下命令,然后查找个人恢复密钥用户并记下列出的 UUID:
diskutil apfs listUsers /dev/<diskXsN>4.运行此命令:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5.在密码短语提示中,粘贴或输入 PRK,然后按下 Return 键。宗卷会在“访达”中装载。