Gestión de FileVault en macOS
En macOS, las organizaciones pueden gestionar FileVault mediante el identificador seguro o el identificador Bootstrap.
Usar el identificador seguro
El sistema de archivos de Apple (APFS) en macOS 10.13 o posterior cambia el modo en que FileVault genera las claves de encriptación. En los volúmenes CoreStorage de las versiones anteriores de macOS, las claves utilizadas en el proceso de encriptación de FileVault se creaban cuando un usuario o una organización activaba FileVault en un Mac. En los volúmenes APFS de macOS, las claves se generan durante la creación del usuario, al definir la primera contraseña del usuario o durante la primera vez que un usuario inicia sesión en el Mac. Esta implementación de las claves de encriptación, cuándo se generan y cómo se almacenan, forman parte de una característica llamada identificador seguro. En concreto, un identificador seguro es una versión encapsulada de una clave de encriptación de claves (KEK) protegida por la contraseña de un usuario.
Al implementar FileVault en APFS, el usuario puede seguir haciendo lo siguiente:
Usar los procesos y las herramientas existentes, como una clave de recuperación personal (PRK) que se puede almacenar con una solución de gestión de dispositivos móviles (MDM) para custodia.
Posponer la activación de FileVault hasta que un usuario inicia o cierra la sesión del Mac.
Crear y usar una clave de recuperación a nivel de la institución (IRK).
En macOS 11, al definir la primera contraseña del primer usuario en el Mac, se le asigna un identificador seguro a ese usuario. En algunos flujos de trabajo, es posible que este no sea el comportamiento deseado, ya que, anteriormente, la asignación del primer identificador seguro hubiera requerido el inicio de sesión con la cuenta de usuario. Para impedir que esto ocurra, añade ;DisabledTags;SecureToken al atributo AuthenticationAuthority del usuario creado mediante programación antes de definir la contraseña del usuario, tal y como se muestra a continuación:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Usar el identificador Bootstrap
macOS 10.15 ha introducido una nueva función, el identificador Bootstrap, para ayudar a otorgar un identificador seguro a las cuentas móviles y a la cuenta opcional de administrador del dispositivo creada por el programa de inscripción (“administrador gestionado”). En macOS 11, un identificador Bootstrap puede otorgar un identificador seguro a cualquier usuario que inicie sesión en un ordenador Mac, incluidas cuentas de usuarios locales. El uso de la función de identificador Bootstrap de macOS 10.15 o posterior requiere:
Inscripción del Mac en una solución MDM utilizando Apple School Manager o Apple Business Manager, que hace que el Mac esté supervisado.
Compatibilidad con el proveedor de MDM.
En macOS 10.15.4 o versiones posteriores, se genera un identificador Bootstrap que estará custodiado por la solución MDM al iniciar sesión por primera vez por parte de cualquier usuario que tenga activado el identificador seguro, si la solución MDM es compatible con esta función. En caso necesario, también se podría generar un identificador Bootstrap que estuviera custodiado por la solución MDM mediante la herramienta de línea de comandos profiles.
En macOS 11, también puede usarse un identificador Bootstrap para algo más que otorgar un identificador seguro a cuentas de usuario. En un Mac con chip de Apple, si hay un identificador Bootstrap disponible, puede usarse para autorizar la instalación tanto de extensiones del kernel como de actualizaciones de software si los ordenadores están gestionados con MDM.
Claves de recuperación institucionales frente a personales
Tanto en volúmenes CoreStorage como APFS, FileVault admite el uso de una clave de recuperación institucional (IRK, antes conocida como identidad maestra de FileVault) para desbloquear el volumen. Aunque las IRK son útiles en operaciones de línea de comandos para desbloquear un volumen o desactivar FileVault, su utilidad es limitada para las organizaciones, especialmente en las versiones más recientes de macOS. Y en un ordenador Mac con chip de Apple, las IRK no aportan ningún valor funcional por dos motivos principalmente: En primer lugar, las IRK no se pueden utilizar para acceder al OS de recuperación y, en segundo lugar, como ya se admite el modo de disco de destino, el volumen no se puede conectar a otro Mac para desbloquearlo. Por estos motivos, entre otros, no se recomienda el uso de una IRK en la gestión institucional de FileVault en ordenadores Mac. En su lugar, se debe usar una clave de recuperación personal (PRK).