Gunakan token selamat, token bootstrap dan pemilikan volum dalam pengerahan
Token selamat
Sistem Fail Apple (APFS) dalam macOS 10.13 atau lebih baharu menukar cara kunci penyulitan FileVault dijanakan. Dalam versi sebelumnya macOS pada volum CoreStorage, kunci yang digunakan dalam proses penyulitan FileVault dicipta apabila pengguna atau organisasi mengaktifkan FileVault pada Mac. Dalam macOS pada volum APFS, kunci penyulitan dijanakan sama ada semasa penciptaan pengguna, mengeset kata laluan pengguna pertama, atau semasa log masuk pertama oleh pengguna Mac. Perlaksanaan kunci penyulitan ini, masa ia dijanakan dan cara ia disimpan adalah sebahagian daripada ciri yang dikenali sebagai Token Selamat. Secara khusus, token selamat ialah versi dibalut kunci penyulitan utama (KEK) yang dilindungi oleh kata laluan pengguna.
Apabila mengerahkan FileVault pada APFS, pengguna boleh terus:
Gunakan alat dan proses sedia ada, seperti kunci pemulihan peribadi (PRK) yang boleh disimpan dengan penyelesaian pengurusan peranti mudah alih (MDM) untuk dieskrow
Cipta dan gunakan kunci pemulihan institusi (IRK)
Tunda pendayaan FileVault sehingga pengguna log masuk atau keluar daripada Mac
Dalam macOS 11 atau lebih baharu, mengesetkan kata laluan asal untuk pengguna yang pertama sekali pada Mac menyebabkan pengguna tersebut diberikan token selamat. Dalam sesetengah aliran kerja, itu mungkin bukan kelakuan yang diingini, seperti sebelumnya, memberikan token selamat pertama memerlukan akaun pengguna untuk log masuk. Untuk menghalang ini daripada berlaku, tambah ;DisabledTags;SecureToken kepada atribut AuthenticationAuthority pengguna yang dicipta secara pengaturcaraan sebelum mengeset kata laluan pengguna, seperti ditunjukkan di bawah:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Token bootstrap
Dalam macOS 10.15 atau lebih baharu, token bootstrap digunakan untuk membantu memberikan token selamat kepada kedua-dua akaun macOS dan akaun pentadbir yang dicipta oleh pendaftaran peranti pilihan (“pentadbir terurus”). Dalam macOS 11 atau lebih baharu, token bootstrap boleh memberikan token selamat kepada sebarang pengguna yang mengelog masuk ke komputer Mac, termasuk akaun pengguna setempat. Menggunakan ciri Token Bootstrap macOS 10.15 atau lebih baharu memerlukan:
Penyeliaan
Sokongan vendor MDM
Katakan penyelesaian MDM anda menyokong token bootstrap. Dalam macOS 10.15.4 atau lebih baharu, apabila pengguna yang mendayakan token selamat melog masuk buat kali pertama, token bootstrap dijanakan oleh Mac dan dieskrow ke MDM. Token bootstrap juga boleh dijana dan dieskrow ke MDM menggunakan alat perintah baris profiles, jika diperlukan.
Dalam macOS 11 atau lebih baharu, token bootstrap juga boleh digunakan untuk lebih daripada sekadar memberikan token selamat kepada akaun pengguna. Pada komputer Mac dengan Apple silicon, token bootstrap, jika tersedia, boleh digunakan untuk mengesahkan pemasangan kedua-dua sambungan kernel dan kemas kini perisian apabila diuruskan menggunakan MDM. Token bootstrap juga digunakan untuk membenarkan perintah Padam Semua Kandungan dan Seting secara senyap apabila dicetuskan menerusi MDM pada macOS 12.0.1 atau lebih baharu.
Pemilikan volum
Komputer Mac dengan Apple silicon memperkenalkan konsep pemilikan volum. Pemilikan volum dalam konteks organisasi tidak terikat kepada pemilikan atau rantaian jagaan Mac yang sah secara undang-undang. Sebaliknya, pemilikan volum boleh ditakrifkan secara kurang tepat sebagai pengguna yang terlebih dahulu menuntut Mac untuk mengkonfigurasinya bagi kegunaan mereka, bersama-sama dengan sebarang pengguna tambahan. Anda mestilah pemilik volum untuk membuat perubahan pada dasar keselamatan permulaan bagi pemasangan khusus macOS, membenarkan pemasangan kemas kini dan naik taraf perisian macOS, memulakan Padam Semua Kandungan dan Seting pada Mac, serta banyak lagi. Dasar keselamatan permulaan mentakrifkan pengehadan di sekitar versi yang macOS boleh mengebut, serta cara dan jika sambungan kernel pihak ketiga boleh dimuatkan atau diurus.
Pengguna yang pertama menuntut Mac dengan mengkonfigurasikannya untuk kegunaan mereka diberikan token selamat pada Mac dengan Apple silicon dan menjadi pemilik volum pertama. Apabila token bootstrap tersedia dan digunakan, ia juga menjadi pemilik volum dan kemudian memberikan status pemilikan volum kepada akaun tambahan semasa ia memberikannya token selamat. Disebabkan kedua-dua pengguna pertama yang diberikan token selamat dan token bootstrap menjadi pemilik volum, serta keupayaan token bootstrap untuk memberikan token selamat kepada pengguna tambahan (serta status pemilikan volum juga), pemilikan volum bukanlah sesuatu yang perlu diurus atau dimanipulasikan secara aktif dalam organisasi. Pertimbangan untuk mengurus dan memberikan token selamat sebelumnya sepatutnya juga sejajar dengan status pemilikan volum.
Terdapat kemungkinan untuk pemilik volum tidak menjadi pentadbir, tetapi tugas tertentu memerlukan pengesahan pemilikan untuk kedua-duanya. Sebagai contoh, mengubah suai seting keselamatan permulaan memerlukan pengguna untuk menjadi kedua-dua pentadbir dan pemilik volum, sementara membenarkan kemas kini perisian dibenarkan oleh pengguna standard dan hanya memerlukan pemilikan.
Untuk melihat senarai semasa pemilik volum pada komputer Mac dengan Apple silicon, anda boleh menjalankan perintah berikut:
sudo diskutil apfs listUsers /GUID yang disenaraikan dalam output perintah diskutil jenis “Pengguna Open Directory Setempat”dipetakan kembali ke atribut GeneratedUID rekod pengguna dalam Open Directory. Untuk mencari pengguna menerusi GeneratedUID, gunakan perintah berikut:
dscl . -search /Users GeneratedUID <GUID>Anda juga boleh menggunakan perintah berikut untuk melihat nama pengguna dan GUID bersama-sama:
sudo fdesetup list -extendedPemilikan yang disandarkan menerusi kriptografi dilindungi dalam Secure Enclave. Untuk mendapatkan maklumat lanjut, lihat:
Penggunaan alat baris perintah
Alat baris perintah tersedia untuk mengurus token bootstrap dan token selamat. Token bootstrap biasanya dijanakan pada Mac dan dieskrow ke penyelesaian MDM semasa proses persediaan macOS selepas penyelesaian MDM memberitahu Mac bahawa ia menyokong ciri. Walau bagaimanapun, token bootstrap juga boleh dijanakan pada Mac yang telah dikerahkan. Dalam macOS 10.15.4 atau lebih baharu, token bootstrap dijana dan dieskrow ke MDM pada log masuk kali pertama oleh sebarang pengguna yang didayakan token selamat jika penyelesaian MDM menyokong ciri tersebut. Ini mengurangkan keperluan untuk menggunakan alat baris perintah profil selepas persediaan peranti untuk menjana dan eskrow token bootstrap ke penyelesaian MDM.
Alat baris perintah profiles mempunyai beberapa pilihan untuk berinteraksi dengan token bootstrap:
sudo profiles install -type bootstraptoken: Perintah ini menjana token bootstrap baharu dan eskrownya ke penyelesaian MDM. Perintah ini memerlukan maklumat pentadbir token selamat sedia ada untuk menjana token bootstrap pada mulanya dan penyelesaian MDM mesti menyokong ciri.sudo profiles remove -type bootstraptoken: Keluarkan token bootstrap sedia ada pada Mac dan penyelesaian MDM.sudo profiles status -type bootstraptoken: Lapor kembali sama ada penyelesaian MDM menyokong ciri token bootstrap dan keadaan semasa token bootstrap pada Mac.sudo profiles validate -type bootstraptoken: Lapor kembali sama ada penyelesaian MDM menyokong ciri token bootstrap dan keadaan semasa token bootstrap pada Mac.
Alat baris perintah sysadminctl
Alat baris perintah sysadminctl boleh digunakan secara khusus untuk mengubah suai status token selamat untuk akaun pengguna pada komputer Mac. Ini sepatutnya dilakukan dengan berhati-hati dan hanya apabila perlu. Menukar status token selamat pengguna menggunakan sysadminctl sentiasa memerlukan nama pengguna dan kata laluan pentadbir didayakan token selamat sedia ada, sama ada secara interaktif atau menerusi bendera yang bersesuaian pada perintah. Kedua-dua sysadminctl dan Seting Sistem (macOS 13 atau lebih baharu) atau Keutamaan Sistem (macOS 12.0.1 atau lebih awal) menghalang pemadaman pentadbir terakhir atau pengguna didayakan token selamat pada Mac. Jika penciptaan pengguna setempat tambahan diskripkan menggunakan sysadminctl, untuk pengguna yang didayakan untuk token selamat, kelayakan pentadbir didayakan token selamat semasa diperlukan untuk dibekalkan sama ada menggunakan pilihan interaktif atau secara terus dengan bendera -adminUser dan -adminPassword dengan sysadminctl. Jika tidak diberikan token selamat semasa penciptaan, dalam macOS 11 atau lebih baharu, pengguna setempat yang mengelog masuk ke komputer Mac diberikan token selamat semasa log masuk jika token bootstrap tersedia daripada penyelesaian MDM. Gunakan sysadminctl -h untuk arahan penggunaan tambahan.