सुरक्षित टोकन, बूटस्ट्रैप टोकन और डिप्लॉयमेंट में वॉल्यूम ओनरशिप का उपयोग करना
सुरक्षित टोकन
macOS 10.13 या बाद के संस्करण में Apple File System (APFS) इस आधार पर बदलता है कि FileVault एंक्रिप्शन की कैसे बनाई गई हैं। CoreStorage वॉल्यूम पर macOS के पिछले संस्करणों में, FileVault एंक्रिप्शन प्रक्रिया में इस्तेमाल होने वाली “कीज़” तब बनाई जाती थी, जब कोई यूज़र या संगठन Mac पर FileVault को चालू करता था। APFS वॉल्यूम पर macOS में Mac यूज़र के ज़रिए यूज़र बनाते समय, पहले यूज़र का पासवर्ड सेट करते समय या पहले लॉगिन के समय एंक्रिप्शन कीज़ जनरेट की जाती हैं। एंक्रिप्शन कुंजियों को बनाने के दौरान उनके कार्यान्वयन और संग्रहण का तरीक़ा Secure Token नामक फ़ीचर का हिस्सा है। विशेषकर, सुरक्षित टोकन “की एंक्रिप्शन की” (KEK) का रैप किया गया संस्करण होता है जो यूज़र के पासवर्ड से सुरक्षित रहता है।
APFS पर FileVault को डिप्लॉय करने के दौरान, यूज़र ये जारी रख सकते हैं :
निजी रिकवरी की (PRK) एस्क्रो जैसे मौजूदा टूल और प्रक्रियाओं का उपयोग करें, जिन्हें इस्क्रो के लिए मोबाइल डिवाइस प्रबंधन (MDM) समाधान के साथ संग्रहित किया जा सकता है।
एक इंस्टिट्यूशनल रिकवरी-की (IRK) बनाएँ और उसका इस्तेमाल करें
FileVault का एनैबलमेंट तब तक विलंबित रखें जब तक यूज़र Mac में लॉगिन होता है या बाहर निकल जाता है
macOS 11 या बाद के संस्करणों में, Mac पर सबसे पहले यूज़र के लिए पहला पासवर्ड सेट करने से उस यूज़र को सुरक्षित टोकन प्राप्त होता है। कुछ ऐसे वर्कफ़्लो में जिनका व्यवहार वांछित नहीं है, उनमें पिछली बार की तरह पहला सुरक्षित टोकन देने से यूज़र खाते को लॉगइन करने की आवश्यकता पड़ती। ऐसा होने से रोकने के लिए नीचे दिए गए तरीक़े के अनुसार यूज़र का पासवर्ड सेट करने से पहले प्रोग्राम द्वारा बनाई गई यूज़र की AuthenticationAuthority ऐट्रिब्यूट में ;DisabledTags;SecureToken जोड़ें :
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrap टोकन
macOS 10.15 या बाद के संस्करणों में, bootstrap token का उपयोग किया जाता है, ताकि macOS खातों और वैकल्पिक डिवाइस के नामांकन से बनाया गया ऐडमिनिस्ट्रेटर खाता (“प्रबंधित ऐडमिनिस्ट्रेटर”), दोनों को सुरक्षित टोकन प्रदान करने में मदद मिल सके। macOS 11 या बाद के संस्करणों में, बूटस्ट्रैप टोकन Mac कंप्यूटर में लॉगइन करने वाले किसी भी यूज़र को सुरक्षित टोकन प्रदान कर सकता है, जिसमें स्थानीय यूज़र खाते शामिल हैं। macOS 10.15 या बाद के संस्करण के बूटस्ट्रैप टोकन के फ़ीचर का उपयोग करने के लिए निम्नलिखित आवश्यक है :
पर्यवेक्षण
MDM विक्रेता समर्थन
मान लीजिए कि आपका MDM समाधान बूटस्ट्रैप टोकन का समर्थन करता है। macOS 10.15.4 या बाद के संस्करण में जब सुरक्षित टोकन से सक्षम यूज़र पहली बार लॉग इन करता है, तो बूटस्ट्रैप टोकन बनाया जाता है और MDM को एस्क्रो किया जाता है। A बूटस्ट्रैप टोकन को प्रोफ़ाइल कमांड-लाइन टूल (यदि ज़रूरी हो) का उपयोग करके भी बनाया जा सकता है और MDM को एस्क्रो किया जा सकता है।
macOS 11 या बाद के संस्करणों में, बूटस्ट्रैप टोकन का उपयोग यूज़र खातों को सुरक्षित टोकन प्रदान करने के अतिरिक्त और भी कार्यों के लिए किया जा सकता है। Apple silicon वाले Mac कंप्यूटर पर बूटस्ट्रैप टोकन उपलब्ध होने पर उसका उपयोग kernel एक्सटेंशन और सॉफ़्टवेयर अपडेट, दोनों के इंस्टॉलेशन को अधिकृत करने के लिए किया जा सकता है जब उन्हें MDM की मदद से प्रबंधित किया गया हो। जब बूटस्ट्रैप टोकन को macOS 12.0.1 या बाद के संस्करण पर MDM के माध्यम से ट्रिगर किया जाता है, तो इसका इस्तेमाल “सभी कॉन्टेंट और सेटिंग्ज़ को मिटाएँ” कमांड को बिना आवाज़ के अधिकृत करने के लिए भी किया जाता है।
वॉल्यूम ओनरशिप
Apple silicon वाले Mac कंप्यूटर ने वॉल्यूम ओनरशिप की परिकल्पना पेश की है। संगठनात्मक संदर्भ की वॉल्यूम ओनरशिप Mac की कस्टडी की असली क़ानूनी ओनरशिप या शृंखला से आबद्ध नहीं है। वॉल्यूम ओनरशिप को सामान्य रूप से उस यूज़र के रूप में परिभाषित किया जाता है जिसने सबसे पहले किसी दूसरे यूज़र के साथ अपने ख़ुद के उपयोग के लिए Mac को कॉन्फ़िगर करके उसकी माँग की थी। वॉल्यूम का ओनर होना ज़रूरी है ताकि macOS में किसी विशिष्ट इंस्टॉल के लिए स्टार्टअप सुरक्षा नीति में बदलाव किए जाएँ, macOS सॉफ़्टवेयर अपडेट और अपग्रेड में इंस्टॉलेशन को अधिकृत किया जाए, “Mac पर सभी कॉन्टेंट और सेटिंग्ज़ को मिटाएँ” की पहल की जाए आदि। स्टार्टअप सुरक्षा नीति उन प्रतिबंधों को परिभाषित करती है जिसके आधार पर macOS के संस्करण बूट किए जा सकते हैं और साथ ही कैसे किए जा सकते हैं और तब कैसे किए जा सकते हैं जब तृतीय-पक्ष के kernel एक्सटेंशन लोड या प्रबंधित किए जा सकते हैं।
जिस यूज़र ने अपने उपयोग के लिए Mac को कॉन्फ़िगर करके सबसे पहले उसकी माँग की थी, उसे Apple silicon वाले Mac पर सुरक्षित टोकन प्रदान किया जाता है और वह पहला वॉल्यूम ओनर बनता है। जब बूटस्ट्रैप टोकन उपलब्ध होता है और इस्तेमाल में होता है, तो वह वॉल्यूम ओनर भी बनता है और फिर वॉल्यूम ओनरशिप स्थितियों को अतिरिक्त खातों में प्रदान करता है क्योंकि वह उन्हें सुरक्षित टोकन प्रदान करता है। क्योंकि दोनों पहले यूज़र को सुरक्षित टोकन प्रदान किया जाना है और बूटस्ट्रैप टोकन वॉल्यूम ओनर हो जाता है साथ ही साथ, अतिरिक्त यूज़र (और इस तरह वॉल्यूम ओनरशिप स्थितियाँ भी) को सुरक्षित टोकन प्रदान करने के लिए बूटस्ट्रैप टोकन की योग्यता, वॉल्यूम ओनरशिप कुछ ऐसी नहीं होनी चाहिए जो किसी संगठन में सक्रिय रूप से प्रबंधित या उपयोग में लाई जानी आवश्यक हो। सुरक्षित टोकन प्रबंधित करने और प्रदान करने के लिए पिछली विवेचनाएँ आम तौर पर वॉल्यूम ओनरशिप से भी अलाइन होनी चाहिए।
ऐडमिनिस्ट्रेटर न होते हुए वॉल्यूम ओनर बनना संभव है, लेकिन कुछ ख़ास कार्यों के लिए दोनों की ओनरशिप आवश्यक है। उदाहरण के लिए, स्टार्टअप सुरक्षा सेटिंग्ज़ को संशोधित करने के लिए ऐडमिनिस्ट्रेटर और वॉल्यूम ओनर दोनों होना ज़रूरी है, जबकि सॉफ़्टवेयर अपडेट को अधिकृत करने का काम मानक यूज़र द्वारा किया जाता है और केवल ओनरशिप ज़रूरी है।
Apple silicon वाले Mac कंप्यूटर पर वॉल्यूम ओनर की वर्तमान सूची देखने के लिए, आप नीचे दिए गए कमांड रन कर सकते हैं :
sudo diskutil apfs listUsers /“स्थानीय ओपन डाइरेक्टरी यूज़र” प्रकार के diskutil कमांड आउटपुट में सूचीबद्ध GUID ओपन डाइरेक्टरी में यूज़र की GeneratedUID विशेषताओं में मैप बैक करती है। GeneratedUID के माध्यम से यूज़र ढूँढने के लिए, नीचे दिए गए कमांड का उपयोग करें :
dscl . -search /Users GeneratedUID <GUID>आप यूज़रनेम और GUID को एक साथ देखने के लिए निम्नलिखित कमांड का इस्तेमाल कर सकते हैं :
sudo fdesetup list -extendedओनरशिप को Secure Enclave में सुरक्षित क्रिप्टोग्राफ़ी का समर्थन मिलता है। अधिक जानकारी के लिए, देखें :
कमांड-लाइन टूल का उपयोग
बूटस्ट्रैप टोकन और सुरक्षित टोकन को प्रबंधित करने के लिए कमांड-लाइन टूल उपलब्ध हैं। बूटस्ट्रैप टोकन सामान्यतः Mac पर बनाया जाता है और macOS सेटअप प्रक्रिया के दौरान मोबाइल डिवाइस प्रबंधन (MDM) समाधान को एस्क्रो किया जाता है। ऐसा तब होता है जब MDM समाधान की ओर से यह संकेत मिलता है कि Mac इस फ़ीचर का समर्थन करता है। हालाँकि, bootstrap टोकन उस Mac पर भी बनाया जा सकता है जो पहले से डिप्लॉय किया जा चुका है। macOS 10.15.4 या बाद के संस्करण में यदि MDM समाधान बूटस्ट्रैप फ़ीचर का समर्थन करता है, तो यह टोकन सुरक्षित टोकन पाने में सक्षम किसी भी यूज़र द्वारा किए जाने वाले पहले लॉगइन पर बनाया जाता है और MDM को एस्क्रो किया जाता है। बूटस्ट्रैप टोकन बनाने और उसे MDM समाधान को एस्क्रो करने के लिए डिवाइस सेटअप करने के बाद यह प्रोफ़ाइल कमांड-लाइन टूल के उपयोग की आवश्यकता को कम करता है।
बूटस्ट्रैप टोकन के साथ इंटऐक्ट करने के लिए प्रोफ़ाइल कमांड-लाइन टूल में कई विकल्प मौजूद हैं :
सूडो प्रोफ़ाइल इंस्टॉल -प्रकार bootstraptoken: यह कमांड नया बूटस्ट्रैप टोकन बनाता है और उसे MDM समाधान को एस्क्रो करता है। इस कमांड को बूटस्ट्रैप टोकन को शुरू में उत्पन्न करने के लिए मौजूदा सुरक्षित टोकन व्यवस्थापक जानकारी की आवश्यकता होती है और MDM समाधान से फ़ीचर का समर्थन मिलना ज़रूरी है।सूडो प्रोफ़ाइल निकालें -प्रकार bootstraptoken: मौजूदा बूटस्ट्रैप टोकन को Mac और MDM समाधान से हटाता है।सूडो प्रोफ़ाइल स्टेटस -प्रकार bootstraptoken: यह रिपोर्ट प्रदान करता है कि MDM सॉल्यशन bootstrap टोकन का समर्थन करता है या नहीं और Mac पर bootstrap टोकन की मौजूदा स्थिति क्या है।सूडो प्रोफ़ाइल वैलिडेट करें -प्रकार bootstraptoken: यह रिपोर्ट प्रदान करता है कि MDM सॉल्यशन bootstrap टोकन का समर्थन करता है या नहीं और Mac पर bootstrap टोकन की मौजूदा स्थिति क्या है।
sysadminctl कमांड-लाइन टूल
Mac कंप्यूटर पर यूज़र खाते के लिए सुरक्षित टोकन की स्थिति को विशेष रूप से संशोधित करने हेतु sysadminctl कमांड-लाइन टूल का उपयोग किया जा सकता है। यह पूरी सावधानी से और तभी करना होगा जब इसकी आवश्यकता हो। sysadminctl का उपयोग करके किसी यूज़र की सुरक्षित टोकन स्थिति बदलने के लिए हमेशा किसी मौजूदा सुरक्षित टोकन से सक्षम ऐडमिनिस्ट्रेटर के यूज़रनेम और पासवर्ड की आवश्यकता या तो इंटरऐक्टिव रूप से या फिर कमांड पर उचित ध्वजों के ज़रिए होती है। sysadminctl और सिस्टम सेटिंग्ज़ (macOS 13 या बाद के संस्करण) या सिस्टम प्राथमिकता (macOS 12.0.1 या इसके पहले के संस्करण) दोनों ही Mac पर पिछले ऐडमिनिस्ट्रेटर या सुरक्षित टोकन से सक्षम यूज़र को हटाए जाने से रोकते हैं। यदि sysadminctl का उपयोग करके अतिरिक्त स्थानीय यूज़र का निर्माण स्क्रिप्ट किया गया है, तो उन यूज़र को सुरक्षित टोकन के लिए सक्षम करने हेतु वर्तमान सुरक्षित टोकन से सक्षम ऐडमिनिस्ट्रेटर के क्रेडेंशियल की आपूर्ति करना आवश्यक है। इसके लिए या तो इंटरऐक्टिव विकल्प का उपयोग करना होगा या सीधे -adminUser और -adminPassword के साथ sysadminctl को फ़्लैग करना होगा। यदि बनाने के समय सुरक्षित टोकन प्रदान नहीं किया जाता है, तो MDM में बूटस्ट्रैप टोकन उपलब्ध होने पर macOS 11 या बाद के संस्करणों में Mac कंप्यूटर में लॉगइन करने वाले स्थानीय यूज़र को लॉगइन के लिए सुरक्षित टोकन प्रदान किया जाता है। अतिरिक्त उपयोग निर्देशों के लिए sysadminctl -h का उपयोग करें।