Używanie tokenu bezpieczeństwa, tokenu inicjującego oraz własności woluminu we wdrożeniach
Token bezpieczeństwa
Apple File System (APFS) w systemie macOS 10.13 lub nowszym zmienia sposób generowania kluczy szyfrowania FileVault. We wcześniejszych wersjach systemu macOS klucze szyfrowania FileVault na woluminach CoreStorage były generowane w momencie włączania na Macu funkcji FileVault przez użytkownika lub organizację. W systemie macOS na woluminach APFS klucze szyfrowania są generowane podczas tworzenia użytkownika, ustawiania hasła pierwszego użytkownika lub podczas pierwszego logowania użytkownika na Macu. Ta implementacja kluczy szyfrowania, czas ich generowania oraz sposób ich przechowywania stanowią część mechanizmu Secure Token, czyli tokenu bezpieczeństwa. Sam token bezpieczeństwa to opakowana wersja klucza KEK, chroniona przy użyciu hasła użytkownika.
W przypadku wdrażania FileVault na woluminie APFS możliwe jest nadal:
Używanie istniejących narzędzi i procesów, takich jak możliwość deponowania osobistego klucza odzyskiwania (PRK) w rozwiązaniu MDM
Tworzenie i używanie klucza odzyskiwania organizacji (IRK)
Opóźnianie włączania funkcji FileVault do momentu zalogowania się użytkownika na Macu lub wylogowania z niego
W systemie macOS 11 lub nowszym ustawienie początkowego hasła pierwszego użytkownika Maca powoduje przydzielenie temu użytkownikowi tokenu bezpieczeństwa. W niektórych sytuacjach może to nie być pożądane zachowanie, ponieważ poprzednio przydzielenie pierwszego tokenu bezpieczeństwa do danego konta wymagało zalogowania się przy użyciu tego konta. Aby to zablokować, dodaj ;DisabledTags;SecureToken do atrybutu AuthenticationAuthority użytkownika tworzonego programowo, zanim zostanie ustawione hasło użytkownika:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Token inicjujący
W systemie macOS 10.15 lub nowszym używany jest token inicjujący, który pomaga przydzielać token bezpieczeństwa do kont macOS oraz opcjonalnych kont administratora tworzonych podczas rejestracji urządzenia („administrator zarządzany”). W systemie macOS 11 lub nowszym token inicjujący pozwala na przydzielenie tokenu bezpieczeństwa do dowolnego konta użytkownika logującego się na komputerze Mac, w tym do kont lokalnych. Wymagania funkcji tokenu inicjującego w systemie macOS 10.15 lub nowszym:
Nadzór
Obsługa przez dostawcę rozwiązania MDM
Załóżmy, że rozwiązanie MDM obsługuje tokeny inicjujące. Gdy w systemie macOS 10.15.4 lub nowszym użytkownik z przydzielonym tokenem bezpieczeństwa loguje się po raz pierwszy, automatycznie generowany jest token inicjujący, który następnie jest deponowany w rozwiązaniu MDM. Jeśli zajdzie taka potrzeba, token inicjujący może nadal zostać wygenerowany i zdeponowany w rozwiązaniu MDM przy użyciu narzędzia wiersza poleceń profiles.
W systemie macOS 11 lub nowszym token inicjujący może być również używany do innych celów, niż przydzielanie tokenu bezpieczeństwa do kont użytkowników. Na komputerze Mac z układem scalonym Apple token inicjujący (jeśli jest dostępny) może być używany do uwierzytelniania instalacji rozszerzeń jądra oraz uaktualnień oprogramowania, gdy urządzenie jest zarządzane przy użyciu rozwiązania MDM. Token inicjujący jest także używany do cichego uwierzytelniania polecenia wymazania całej zawartości i ustawień w przypadku użycia go za pośrednictwem rozwiązania MDM w systemie macOS 12.0.1 lub nowszym.
Własność woluminu
Komputery Mac z układem scalonym Apple wprowadzają pojęcie własności woluminu. Własność woluminu rozumiana jest w kontekście organizacyjnym i nie ma nic wspólnego z prawną własnością Maca lub łańcuchem dowodowym. Może ona zostać zdefiniowana jako uprawnienie użytkownika, który jako pierwszy skonfigurował danego Maca, jak również opcjonalne uprawnienie kolejnych autoryzowanych użytkowników. Własność woluminu jest wymagana między innymi do zmieniania zasad ochrony określonej instalacji systemu macOS, uwierzytelniania instalacji uaktualnień głównych oprogramowania macOS oraz inicjowania wymazywania całej zawartości i ustawień Maca. Zasady ochrony definiują ograniczenia dotyczące możliwych do uruchomienia wersji systemu macOS oraz sposobu wczytywania rozszerzeń systemowych innych firm i zarządzania nimi.
Pierwszy użytkownik danego Maca z układem scalonym Apple, konfigurujący go dla siebie, otrzymuje token bezpieczeństwa i staje się pierwszym właścicielem woluminu. Gdy dostępny i używany jest token inicjujący, on również otrzymuje uprawnienia własności woluminu i może przydzielać status właściciela kolejnym kontom, którym przydzielany jest token bezpieczeństwa. Pierwszy użytkownik otrzymujący token bezpieczeństwa oraz token inicjujący mają uprawnienia własności woluminu, a token inicjujący może być używany do przydzielania tokenów bezpieczeństwa kolejnym użytkownikom (a co za tym idzie, również własności woluminu), więc własność woluminu nie jest czymś, co wymaga aktywnego zarządzania w organizacji. Dotychczasowe zagadnienia związane z zarządzaniem i przydzielaniem tokenów bezpieczeństwa powinny ogólnie dotyczyć również statusu własności woluminu.
Można być właścicielem woluminu, ale nie administratorem, jednak określone zadania wymagają sprawdzenia obu tych uprawnień. Na przykład, zmienianie ustawień ochrony rozruchu wymaga uprawnień administratora oraz właściciela woluminu, natomiast uwierzytelnianie uaktualnień oprogramowania dozwolone jest w przypadku użytkowników standardowych i wymaga jedynie uprawnień właściciela woluminu.
Aby wyświetlić aktualną listę właścicieli woluminu na Macu z układem scalonym Apple, możesz użyć następującego polecenia:
sudo diskutil apfs listUsers /Identyfikatory GUID zwracane przez polecenie diskutil jako typ „Local Open Directory User” są odwzorowane na atrybuty GeneratedUID rekordów użytkowników Open Directory. Aby znaleźć użytkownika na podstawie identyfikatora GeneratedUID, użyj następującego polecenia:
dscl . -search /Users GeneratedUID <GUID>Możesz także użyć następującego polecenia, aby wyświetlić nazwy użytkowników oraz identyfikatory GUID:
sudo fdesetup list -extendedWłasność jest chroniona kryptograficznie w Secure Enclave. Aby dowiedzieć się więcej, zobacz:
Używanie narzędzi wiersza poleceń
Dostępne są narzędzia wiersza poleceń, umożliwiające zarządzanie tokenem inicjującym i funkcjami FileVault oraz tokenem bezpieczeństwa. Token inicjujący jest zwykle generowany na Macu i deponowany w rozwiązaniu MDM podczas procesu konfiguracji systemu macOS, gdy rozwiązanie MDM powiadomi Maca, że obsługuje tę funkcję. Istnieje również możliwość wygenerowania tokenu inicjującego na Macu, którego wdrożenie zostało już przeprowadzone. W macOS 10.15.4 lub nowszym token inicjujący jest generowany oraz deponowany w rozwiązaniu MDM podczas pierwszego logowania przez dowolnego użytkownika z włączonym tokenem bezpieczeństwa, jeśli to rozwiązanie MDM obsługuje tę funkcję. To redukuje potrzebę użycia narzędzia wiersza poleceń profiles po skonfigurowaniu urządzenia do wygenerowania i zdeponowania tokenu inicjującego w rozwiązaniu MDM.
Narzędzie wiersza poleceń profiles obsługuje szereg nowych opcji przeznaczonych do interakcji z tokenem inicjującym:
sudo profiles install -type bootstraptoken: Przedstawione polecenie generuje nowy token inicjujący i deponuje go w rozwiązaniu MDM. W celu wygenerowania tokenu inicjującego to polecenie wymaga danych istniejącego administratora, któremu przydzielony został token bezpieczeństwa, a także obsługi tej funkcji przez rozwiązanie MDM.sudo profiles remove -type bootstraptoken: Usuwa istniejący token inicjujący z Maca oraz z rozwiązania MDM.sudo profiles status -type bootstraptoken: Zwraca informację, czy rozwiązanie MDM obsługuje tokeny inicjujące, a także bieżący status tokenu inicjującego na Macu.sudo profiles validate -type bootstraptoken: Zwraca informację, czy rozwiązanie MDM obsługuje tokeny inicjujące, a także bieżący status tokenu inicjującego na Macu.
Narzędzie wiersza poleceń sysadminctl
Przy użyciu narzędzia wiersza poleceń sysadminctl można zmieniać status tokenu bezpieczeństwa na kontach użytkowników Maca. Ta metoda powinna być używana ostrożnie i tylko wtedy, gdy jest to konieczne. Zmiana statusu tokenu bezpieczeństwa dla użytkownika przy użyciu polecenia sysadminctl zawsze wymaga podania nazwy i hasła konta z uprawnieniami administratora, do którego przydzielony jest już token bezpieczeństwa. Nazwa i hasło mogą zostać podane interaktywnie lub przy użyciu odpowiednich parametrów polecenia. Zarówno polecenie sysadminctl jak i Ustawienia systemowe (macOS 13 lub nowszy) albo Preferencje systemowe (macOS 12.0.1 lub starszy) uniemożliwiają usunięcie użytkownika Maca, jeśli jest to ostatni użytkownik z uprawnieniami administratora lub ostatni użytkownik, któremu przydzielony jest token bezpieczeństwa. Jeśli tworzenie dodatkowych kont użytkowników lokalnych jest zautomatyzowane przy użyciu skryptu korzystającego z polecenia sysadminctl i kontom tym ma zostać przydzielony token bezpieczeństwa, niezbędne jest podanie danych uwierzytelniania administratora posiadającego token bezpieczeństwa — interaktywnie lub bezpośrednio przy użyciu flag -adminUser oraz -adminPassword polecenia sysadminctl. Jeśli podczas tworzenia lokalnego konta użytkownika nie otrzyma ono tokenu bezpieczeństwa, w systemie macOS 11 lub nowszym użytkownik lokalny otrzymuje ten token podczas logowania się do komputera Mac — pod warunkiem, że dostępny jest token inicjujący z rozwiązania MDM. Aby uzyskać dodatkowe instrukcje, użyj polecenia sysadminctl -h.