A FileVault kezelése mobileszköz-felügyelettel
A FileVault Teljes lemeztitkosítás funkciója szervezetek esetében a mobileszköz-felügyeleti (MDM) megoldás, illetve egyes speciális üzembe helyezések és konfigurációk esetében az fdesetup parancssori eszköz segítségével kezelhető. A FileVault MDM-mel történő kezelése késleltetett engedélyezésként is ismert, és kijelentkezési vagy bejelentkezési eseményt igényel a felhasználótól. Az MDM segítségével a következő beállítások szabhatók testre:
Hány alkalommal halaszthatja el a felhasználó a FileVault engedélyezését
Értesítse-e a felhasználót kijelentkezéskor, a bejelentkezéskor történő értesítés mellett
Megjelenítse-e a helyreállítási kulcsot a felhasználónak
Milyen tanúsítvány kerüljön felhasználásra a helyreállítási kulcs aszimmetrikus kódolásához az MDM-megoldásban történő tárolás céljából
Ahhoz, hogy engedélyezni tudja egy felhasználó számára az APFS-kötetek tárhelyét, szüksége lesz egy biztonsági tokenre, egy Apple-chippel rendelkező Macre és kötettulajdonosnak kell lennie. A biztonsági tokenekkel és a kötet tulajdonlásokkal kapcsolatos további információkért, lásd:Biztonsági tokenek, bootstrap tokenek és kötet tulajdonlások használata üzembe helyezett eszközökön. Az alábbiakban azzal kapcsolatos információkat olvashat, hogy a felhasználók hogyan és mikor kapnak biztonsági tokent adott munkafolyamatok során.
A FileVault kényszerítése a beállítási asszisztensben
A ForceEnableInSetupAssistant kulcs használatával a Mac számítógépektől megkövetelhető, hogy bekapcsolják a FileVaultot a Biztonság asszisztens futtatása során. Ez biztosítja, hogy a felügyelt Mac számítógépek esetében belső tárhely mindig titkosítva legyen a használat előtt. A szervezetek eldönthetik, hogy megjelenítik a FileVault helyreállítási kulcsát a felhasználónak, vagy eltárolják a személyes helyreállítási kulcsot. A funkció használatához ügyeljen arra, hogy az await_device_configured be legyen állítva.
Megjegyzés: A macOS 14.4 előtti rendszerek esetében a funkció működéséhez a beállítási asszisztensben interaktív módon létrehozott felhasználói fióknak Adminisztrátor szerepkörrel kell rendelkeznie.
Ha egy felhasználó saját maga végzi el egy Mac beállítását
Amikor a felhasználó saját maga állít be egy Macet, az informatikai osztály nem végez el előkészítési feladatokat az eszközön. Minden irányelv és konfiguráció egy MDM-megoldás vagy konfigurációkezelési eszközök használatával van biztosítva. A kezdeti helyi fiók létrehozása a Beállítási asszisztens használatával történik, és a felhasználó megkapja a biztonsági tokent. Ha az MDM-megoldás támogatja a bootstrap token funkciót, és erről tájékoztatja a Macet az MDM-regisztráció során, akkor a Mac generálja a bootstrap Tokent, és zálogba adja az MDM-megoldásnak.
Ha a Mac regisztrálva van egy MDM-megoldásba, akkor a kezdeti fiókhoz nem szükséges helyi adminisztrátori fiókot létrehozni, hanem egy helyi általános felhasználói fiók is használható. Ha a felhasználó leminősül normál felhasználóvá az MDM-megoldás használatával, a felhasználó automatikusan megkapja a biztonsági tokent. Ha a felhasználót leminősítik, a macOS 10.15.4 vagy újabb rendszerekben automatikusan generálódik egy bootstrap token, amely zálogba van adva az MDM-megoldásnak, amennyiben a rendszer támogatja ezt a funkciót.
Ha a Beállítási asszisztensben a helyi felhasználói fiók létrehozása teljes mértékben kimarad az MDM használatával, és helyette mobilfiókokkal rendelkező címtárszolgáltatás használatára kerül sor, akkor a mobil fiók felhasználó egy biztonsági tokent kap a bejelentkezés során. Mobil fiók használata esetén, miután a felhasználó esetében engedélyezve lett a biztonsági token, a macOS 10.15.4 vagy újabb rendszerekben a felhasználó második bejelentkezéskor automatikusan generálódik egy bootstrap token, amely zálogba van adva az MDM-megoldásnak, amennyiben a rendszer támogatja ezt a funkciót.
A fenti forgatókönyvek mindegyikére igaz, hogy mivel az első és elsődleges felhasználó megkapja a biztonsági tokent, engedélyezhetővé válik a FileVault használatára a késleltetett engedélyezéssel. A késleltetett engedélyezés lehetővé teszi az adott szervezet számára a FileVault bekapcsolását, azonban a bekapcsolás késleltetve lesz arra az időre, amíg egy felhasználó bejelentkezik a Macre, vagy kijelentkezik a Macről. Annak testreszabására is lehetőség van, hogy a felhasználó kihagyhatja-e a FileVault bekapcsolását (igény szerint meghatározott számú alkalommal). A végeredmény az, hogy a Mac elsődleges felhasználója – akár helyi felhasználó, akár valamilyen mobilfiók – képes feloldani a tárolóeszközt, ha az a FileVault segítségével van titkosítva.
Ha a jövőben egy másik felhasználó bejelentkezik a Mac gépre egy olyan gépen, amelyen bootstrap token volt generálva és az MDM-megoldásnak zálogba adva, akkor a bootstrap token segítségével automatikusan megkapja a biztonsági tokent. Ez azt jelenti, hogy a fiókhoz engedélyezve lesz a FileVault, és feloldhatja a FileVault-kötetet. Az fdesetup remove -user parancs segítségével megtilthatja a felhasználók számára, hogy feloldhassák a tárhelyet.
Ha egy szervezet végzi el egy Mac előkészítését
Ha a Macet a szervezet előkészíti, mielőtt a felhasználónak adná, az informatikai osztály végzi el az eszköz kezdeti beállítását. A Beállítási asszisztensben létrehozott vagy az MDM által előkészített helyi adminisztrátor fiók segítségével a Mac előkészítésre vagy beállításra kerül, majd a bejelentkezés során megkapja az első biztonsági tokenét. Ha az MDM-megoldás támogatja a bootstrap token funkciót, akkor a bootstrap token is generálható, és zálogba helyezhető az MDM-megoldásban.
Ha a Mac címtárszolgáltatáshoz kapcsolódik, és mobilfiókok létrehozására lett konfigurálva, és nincs bootstrap token, akkor a címtárszolgáltatás felhasználóinak az első bejelentkezéskor meg kell adniuk egy meglévő biztonsági tokennel rendelkező adminisztrátori felhasználónevet és jelszót, hogy az ő fiókjuk is megkapja a biztonsági tokent. Egy biztonsági tokennel rendelkező helyi adminisztrátor hozzáférési adatait meg kell adni. Ha nincs szükség a biztonsági token használatára, akkor a felhasználó a Kihagyás gombra kattinthat. macOS 10.13.5 vagy újabb verzió esetén a biztonsági token párbeszédpanel teljes mértékben le is tiltható, ha a FileVault nem lesz használatban a mobilfiókokkal. A biztonsági token párbeszédpanelének letiltásához használjon egy egyéni beállításokat tartalmazó konfigurációs profilt az MDM-megoldásból az alábbi kulcsokkal és értékekkel:
Beállítás | Érték | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domén | com.apple.MCX | ||||||||||
Kulcs | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Érték | Igaz | ||||||||||
Ha az MDM-megoldás támogatja a Bootstrap Token funkciót, és a Mac által egy token létre lett hozva és zálogba lett adva az MDM-megoldásnak, akkor a mobilfiókos felhasználók számára nem jelenik meg ez az adatkérés. Ezek a felhasználók automatikusan megkapják a biztonsági tokent a bejelentkezéskor.
Ha egy címtárszolgáltatás felhasználói fiókjai helyett további helyi felhasználókra van szükség a Macen, a helyi felhasználók automatikusan kapnak egy biztonsági tokent, amikor egy biztonsági tokent használó adminisztrátor létrehozza őket a Felhasználók és csoportok panelen (a Rendszerbeállításokban macOS 13 vagy újabb rendszeren vagy a Rendszerbeállításokban macOS 12.0.1 vagy korábbi rendszeren). Ha parancssor segítségével szeretne létrehozni helyi felhasználókat, a sysadminctl parancssori eszközzel megteheti azt, és biztonsági tokent is engedélyezhet a számukra. Még, ha a létrehozás időpontjában nem is rendelkezik biztonsági tokennel, a macOS 11 vagy újabb rendszer egy biztonsági tokent biztosít a bejelentkező helyi felhasználó számára a Macbe történő bejelentkezés során, ha az MDM-megoldásban van elérhető bootstrap token.
Ezekben az esetekben az alábbi felhasználók oldhatják fel a FileVault-titkosítással rendelkező kötetet:
Az eredeti helyi adminisztrátor, aki az előkészítést végezte
Minden olyan további címtárszolgáltatásbeli felhasználó aki megkapja a biztonsági tokent a bejelentkezés során, akár interaktívan a párbeszédpanel segítségével, akár automatikusan a bootstrap tokennel
Bármelyik új, helyi felhasználó
Az fdesetup remove -user parancs segítségével megtilthatja a felhasználók számára, hogy feloldhassák a tárhelyet.
A fent leírt munkafolyamatok használatakor a biztonsági tokent a macOS kezeli, és nem szükséges további konfiguráció, sem szkript – az implementáció részévé válik, és nem kell aktívan kezelni vagy manipulálni.
Az fdesetup parancssori eszköz
A FileVault az MDM-konfigurációkkal vagy az fdesetup parancssori eszközzel konfigurálható. macOS 10.15 és újabb verziók esetén elavulttá válik az fdesetup azon funkciója, hogy a felhasználónév és a jelszó megadásával bekapcsolható a FileVault, és nem lesz felismerve a jövőbeli kiadásokban. A parancs továbbra is működni fog, azonban a macOS 11 és macOS 12.0.1 rendszer alatt elavult marad. Ehelyett célszerű a késleltetett engedélyezést használni az MDM segítségével. Az fdesetup parancssori eszközzel kapcsolatos további információkért, indítsa el a Terminal appot, és írja be a man fdesetup vagy az fdesetup help parancsot.
Intézményes v személyes helyreállítási kulcsok
A FileVault a CoreStorage és az APFS-köteteken egyaránt támogatja az intézményi helyreállítási kulcs használatát (IRK, korábban FileVault Master identity) a kötet feloldása céljából. Bár az IRK hasznos a parancssori műveletek számára kötetek feloldásához vagy a FileVault letiltásához, szervezetek esetében ez a segédprogram korlátozott, legfőképpen a macOS rendszer legutóbbi verziói esetén. És az Apple-chippel rendelkező Maceken az IRKs két fő okból kifolyólag nem biztosít funkcionális értéket: Először, az IRKs nem használható a visszaállítási operációs rendszer megnyitására, másodszor pedig azért, mert a céllemez mód már nem támogatott, így a kötet nem oldható fel egy másik Machez történő csatlakoztatással. Ezen és egyéb okokból kifolyólag, az IRK használata a továbbiakban már nem ajánlott a FileVault Maceken történő szervezeti kezelése céljából. Ehelyett személyes helyreállítási kulcs (PRK) használata ajánlott. Egy PRK az alábbiakat biztosítja:
Egy rendkívül robusztus visszaállítási és operációs rendszerhozzáférési mechanizmus
Kötetenkénti egyedi titkosítás
Tárolás MDM-ben
Egyszerű kulcsforgatást a használatot követően
A PRK használható visszaállítási operációs rendszerben, illetve egy titkosított Mac közvetlenül macOS rendszerben történő elindításához (Apple-chippel rendelkező Mac esetén macOS 12.0.1 vagy újabb rendszer szükséges). A visszaállítási operációs rendszer alatt a PRK használható, ha a Visszaállítási asszisztens felkéri rá, vagy a Forgot All Passwords (Elfelejtette az összes jelszavát?) beállítás segítségével, hogy hozzáférést nyerjen a visszaállítási környezethez, amely ezt követően feloldja a kötetet. A Forgot All Passwords (Elfelejtette az összes jelszavát?) beállítás használata esetén a felhasználó jelszavát nem szükséges alaphelyzetbe állítani. A kilépés gombra kattintva a gép közvetlenül elindítható a visszaállítási operációs rendszerben. A macOS Intel-alapú Maceken történő közvetlen indításához kattintson a jelszó mező melletti kérdőjelre, majd válassza a „reset it using your Recovery Key” (helyreállítás a helyreállítási kulcs használatával) lehetőséget. Adja meg a PRK-t, majd nyomja meg az Enter billentyűt vagy kattintson a nyílra. A macOS elindulását követően nyomja meg a Mégsem gombot a jelszó módosítási párbeszédablakban. macOS 12.0.1 vagy újabb rendszerrel működő, Apple-chippel rendelkező Macen nyomja meg az Option-Shift-Enter billentyűkombinációt a PRK beviteli mezőjének megjelenítéséhez, majd nyomja meg az Enter billentyűt (vagy kattintson a nyílra). Ezt követően a macOS rendszer elindul.
Titkosított kötetenként kizárólag egy PRK létezik, és az MDM által történő FileVault-engedélyezés közben a felhasználónak lehetősége adódik elrejteni azt. Amikor az MDM-nek történő zálogba adásra lett konfigurálva, az MDM tanúsítvány formájában egy publikus kulcsot biztosít a Mac számára, amely segítségével a rendszer aszimmetrikusan kódolja a PRK-t egy CMS borítékformátumban. A titkosított PRK-t ezt követően a rendszer visszaküldi az MDM-nek a biztonsági információk lekérdezés keretén belül, amelynek a titkosítását ezt követően feloldhatja a szervezet megtekintés céljából. Mivel a titkosítás aszimmetrikus, előfordulhat, hogy az MDM egymaga nem képes a PRK titkosításának feloldására (így további adminisztrátori lépéseket igényelhet). Azonban, számos MDM-szolgáltató lehetőséget biztosít ezen kulcsok kezelésére, ezzel lehetővé téve azok közvetlenül a termékeiken belül történő megtekintését. Az MDM továbbá képes opcionálisan forgatni a PRK-kat, amilyen gyakran csak szükséges, ezzel elősegítve az erős és biztonságos állapotot (pl. miután egy kötetet PRK használatával oldanak fel).
A PRK segítségével céllemez módban feloldható egy kötet az Apple-chippel nem rendelkező Maceken:
1. Céllemez módban csatlakoztassa a Macet egy másik olyan Machez, amelyen ugyanaz a macOS rendszer vagy egy újabb macOS-verzió fut.
2. Nyissa meg a Terminal appot, majd futtassa le a következő parancsot, és keresse meg a kötet nevét (általában „Macintosh HD”). A következőt kell látnia: „Mount Point: Not Mounted” és „FileVault: Igen (Zárolt).” Jegyezze fel az APFS-kötet lemezazonosítóját a kötethez, amely hasonlít a „disk3s2” névre, azonban valószínűleg eltérő számokkal rendelkezik (pl. disk4s5).
diskutil apfs list3. Futtassa le a következő parancsot, majd keresse meg a személyes helyreállítási kulcs felhasználóját, és jegyezze fel a kilistázott UUID-t:
diskutil apfs listUsers /dev/<diskXsN>4. Futtassa le a következő parancsot:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. A jelmondat kérésnél másolja be vagy adja meg a PRK-t, majd nyomja meg az Enter billentyűt. A kötet a Finderben kerül felcsatolásra.