Gestire FileVault in macOS
In macOS, le organizzazione possono gestire FileVault tramite SecureToken o token Bootstrap.
Utilizzare SecureToken
Apple File System (APFS) in macOS 10.13 o versione successiva modifica il modo in cui vengono generate le chiavi di codifica di FileVault. Nelle versioni precedenti di macOS sui volumi CoreStorage, le chiavi usate nel processo di codifica di FileVault venivano create quando un utente o un’organizzazione attivava FileVault su un Mac. In macOS sui volumi APFS, le chiavi vengono generate durante la creazione dell’utente, durante l’impostazione della prima password utente o durante il primo login di un utente del Mac. Questa implementazione delle chiavi di codifica, il momento in cui vengono generate e il modo in cui vengono archiviate fanno parte di una funzionalità chiamata SecureToken. In particolare, un SecureToken è una versione cifrata di una KEK (Key Encryption Key) protetta da una password utente.
Durante il deployment di FileVault sull’APFS, l’utente può continuare a:
Usare i processi e gli strumenti esistenti, come l’escrow di una chiave di recupero personale (PRK) su una soluzione di gestione dei dispositivi mobili (MDM).
Ritardare l’abilitazione di FileVault fino al login o logout di un utente sul Mac.
Creare e usare una chiave di recupero istituzionale (IRK).
In macOS 11, quando si imposta la password iniziale per il primo utente del Mac, a tale utente viene fornito un SecureToken. In alcune situazioni, tale comportamento potrebbe non essere desiderato, poiché in precedenza, per fornire il primo SecureToken, era necessario accedere all’account utente. Per impedirlo, aggiungi ;DisabledTags;SecureToken all’attributo utente creato in automatico AuthenticationAuthority prima di impostare la password, come mostrato di seguito.
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Utilizzare il token Bootstrap
macOS 10.15 ha introdotto una nuova funzionalità, il token Bootstrap, per contribuire a dare un SecureToken sia agli account mobili che all’account facoltativo di amministratore creato durante la registrazione del dispositivo (“amministratore gestito”). In macOS 11, un token Bootstrap può fornire un SecureToken a qualsiasi utente che accede a un Mac, inclusi gli account utente locali. L’uso della funzionalità del token Bootstrap di macOS 10.15 o versioni successive richiede:
Registrazione del Mac in una soluzione MDM tramite Apple School Manager o Apple Business Manager, operazione che rende il Mac supervisionato.
Supporto del fornitore della MDM.
In macOS 10.15.4 o versioni successive, un token Bootstrap viene generato e viene depositato presso la soluzione MDM al primo accesso da parte di qualsiasi utente abilitato all’utilizzo di SecureToken, se la soluzione MDM supporta tale funzionalità. Un token Bootstrap può essere generato e depositato presso la soluzione MDM anche utilizzando lo strumento a riga di comando profiles, se necessario.
In macOS 11, un token Bootstrap può essere usato anche per altre operazioni, oltre che per fornire SecureToken agli account utente. Sui Mac dotati di chip Apple, un token Bootstrap, se disponibile, può essere usato per autorizzare l’installazione delle estensioni del kernel e degli aggiornamenti software quando sono gestiti tramite MDM.
Chiavi di recupero istituzionali e personali
FileVault, su volumi sia CoreStorag che APFS, supporta l’uso di una chiave di recupero istituzionale (precedentemente conosciuta come identità master di FileVault) per sbloccare il volume. Sebbene una chiave di recupero istituzionale sia utile per le operazioni da riga di comando al fine di sbloccare un volume o disattivare del tutto FileVault, la sua utilità per le organizzazioni è limitata, specialmente nelle versioni più recenti di macOS. Inoltre, sui Mac dotati di chip Apple, la chiave di recupero istituzionale non ha valore a livello funzionale, per due principali motivi: in primo luogo, le chiavi di recupero istituzionali non possono essere usate per accedere a recoveryOS; in secondo luogo, dato che la modalità disco di destinazione non è più supportata, il volume non può essere sboccato mediante il collegamento a un altro Mac. Per queste e altre ragioni, l’uso delle chiavi di recupero istituzionali non è più consigliato per la gestione istituzionale di FileVault sui computer Mac. È preferibile utilizzare piuttosto una chiave di recupero personale (PRK).