FileVault’u mobil aygıt yönetimi ile yönetme
FileVault tam disk şifreleme, kuruluşlarda bir mobil aygıt yönetimi (MDM) çözümü veya bazı ileri düzey dağıtımlarda ve konfigürasyonlarda fdesetup komut satırı aracı kullanılarak yönetilebilir. FileVault’un MDM kullanılarak yönetilmesine deferred enablement denir ve kullanıcının bir oturum kapatma (log-out) veya oturum açma (log-in) işlemi gerçekleştirmesini gerektirir. MDM, şunun gibi seçenekleri özelleştirebilir:
Kullanıcının FileVault’un etkinleştirilmesini kaç kez erteleyebileceği
Kullanıcıya oturum açma sırasında bilgi sormaya ek olarak oturumu kapatırken de sorulup sorulmayacağı
Kurtarma anahtarının kullanıcıya gösterilip gösterilmeyeceği
MDM çözümüne emanet etmek üzere kurtarma anahtarını asimetrik olarak şifrelemek için kullanılan sertifika
Bir kullanıcının APFS disk bölümlerindeki depolamanın kilidini açacak şekilde etkinleştirilmesini sağlamak için kullanıcının güvenli jetonu olmalıdır ve Apple Silicon çipli bir Mac’te de disk bölümü sahibi olması gerekir. Güvenli jetonlar ve disk bölümü sahipliği hakkında daha fazla bilgi için Dağıtımlarda güvenli jetonları, ön yükleme (bootstrap) jetonlarını ve disk bölümü sahipliğini kullanma bölümüne bakın. Belirli iş akışlarında kullanıcılara nasıl ve ne zaman güvenli jeton verildiğiyle ilgili bilgi aşağıda bulunmaktadır.
Ayarlama Yardımcısı’nda FileVault’u zorunlu kılma
Mac bilgisayarlarının ForceEnableInSetupAssistant anahtarını kullanarak Ayarlama Yardımcısı sırasında FileVault’u açması gerekli olabilir. Bu, yönetilen Mac bilgisayarlarındaki dahili depolama alanının kullanılmadan önce her zaman şifrelenmesini sağlar. Kuruluşlar, FileVault kurtarma anahtarının kullanıcıya gösterilip gösterilmeyeceğine veya kişisel kurtarma anahtarının emanet edilip edilmeyeceğine karar verebilir. Bu özelliği kullanmak için await_device_configured seçeneğinin ayarlı olduğundan emin olun.
Not: macOS 14.4’ten önceki sürümlerde bu özelliğin yönetici rolüne sahip olması için Ayarlama Yardımcısı sırasında etkileşimli olarak yaratılmış bir kullanıcı hesabı gerekir.
Kullanıcı kendi Mac’ini ayarladığında
Kullanıcı Mac’i kendisi ayarlıyorsa BT bölümleri gerçek aygıtta hiçbir hazırlama görevi gerçekleştirmez. Tüm politikalar ve konfigürasyonlar bir MDM çözümü veya konfigürasyon yönetimi araçları kullanılarak sağlanır. İlk yerel hesabı yaratmak için Ayarlama Yardımcısı kullanılır ve kullanıcıya bir güvenli jeton verilir. MDM çözümü, ön yükleme (bootstrap) jetonu özelliğini destekliyorsa ve MDM kaydı sırasında Mac’i bilgilendirirse Mac tarafından bir ön yükleme (bootstrap) jetonu yaratılır ve MDM çözümüne emanet edilir.
Mac bir MDM çözümüne kayıtlıysa ilk hesap yerel bir yönetici hesabı değil, daha çok yerel bir standart kullanıcı hesabı olabilir. Kullanıcı MDM kullanılarak standart kullanıcı düzeyine düşürülmüşse kullanıcıya otomatik olarak bir güvenli jeton verilir. macOS 10.15.4 veya daha yenisinde kullanıcı düzeyi düşürülmüşse ön yükleme (bootstrap) jetonu otomatik olarak oluşturulur ve özelliği destekliyorsa MDM çözümüne emanet edilir.
Ayarlama Yardımcısı’nda yerel kullanıcı hesabı yaratma işlemi MDM kullanılarak tamamen atlanır ve onun yerine taşınabilir hesapları olan bir dizin servisi kullanılırsa taşınabilir hesap oturum açma sırasında bir güvenli jeton verilir. macOS 10.15.4 veya daha yenisinde taşınabilir bir hesap kullanılırken kullanıcı için güvenli jeton etkinleştirildikten sonra, kullanıcının ikinci kez oturum açışında bir ön yükleme (bootstrap) jetonu otomatik olarak oluşturulur ve özelliği destekliyorsa MDM çözümüne emanet edilir.
Yukarıdaki senaryoların herhangi birinde ilk ve birincil kullanıcıya bir güvenli jeton verildiğinden bu kullanıcı ertelenen etkinleştirme kullanılarak FileVault için etkinleştirilebilir. Ertelenen etkinleştirme, kuruluşun FileVault’u açmasına ancak kullanıcı Mac’te oturum açana veya kapatana kadar etkinleştirmenin ertelenmesine olanak tanır. Kullanıcının FileVault’u açmayı atlayıp atlayamayacağını (isteğe bağlı olarak tanımlı sayıda) özelleştirmek de mümkündür. Sonuç olarak Mac’in birincil kullanıcısı (herhangi bir yerel kullanıcı türü veya taşınabilir hesap), FileVault ile şifrelenmiş depolama aygıtının kilidini açabilir.
Ön yükleme (bootstrap) jetonunun oluşturulup bir MDM çözümüne emanet edildiği Mac bilgisayarlarında, başka bir kullanıcı ilerideki bir tarih ve saatte Mac’te oturum açarsa otomatik olarak bir güvenli jeton vermek için ön yükleme (bootstrap) jetonu kullanılır. Bu, hesabın da FileVault için etkinleştirilmiş olduğu ve FileVault disk bölümünün kilidini açabileceği anlamına gelir. Kullanıcının depolama aygıtının kilidini açabilme yeteneğini kaldırmak için fdesetup remove -user komutunu kullanın.
Mac bir kuruluş tarafından sağlandığında
Mac, kullanıcıya verilmeden önce bir kuruluş tarafından hazırlanıyorsa BT bölümü aygıtı ayarlar. Ayarlama Yardımcısı’nda yaratılan ya da MDM kullanılarak hazırlanan yerel yönetici hesabı Mac’i hazırlamak veya ayarlamak için kullanılır ve bu hesaba oturum açma sırasında ilk güvenli jeton verilir. MDM çözümü ön yükleme (bootstrap) jetonu özelliğini destekliyorsa bir ön yükleme (bootstrap) jetonu da oluşturulup MDM çözümüne emanet edilir.
Mac bir dizin servisine katılır ve taşınabilir hesaplar yaratmak üzere ayarlanırsa ve hiç ön yükleme (bootstrap) jetonu yoksa dizin servisi kullanıcılarının hesaplarına bir güvenli jeton verilmesi için bu kullanıcıların ilk kez oturum açışlarında var olan bir güvenli jeton yönetici kullanıcısının adını ve parolasını girmesi istenir. Güncel olarak güvenli jeton özellikli yerel bir yöneticinin kimlik bilgileri girilmelidir. Güvenli jeton gerekmiyorsa kullanıcı Atla’yı tıklayabilir. macOS 10.13.5 veya daha yenisinde, taşınabilir hesaplarla FileVault kullanılmayacaksa güvenli jeton sorgu kutusu tamamen gizlenebilir. Güvenli jeton sorgu kutusunu gizlemek için aşağıdaki anahtarlar ve değerler ile MDM çözümünden özel ayarlar konfigürasyon profili uygulayın:
Ayar | Value | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Key | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Value | Doğru | ||||||||||
MDM çözümü ön yükleme (bootstrap) jetonu özelliğini destekliyorsa ve Mac tarafından bir tane oluşturulup MDM çözümüne emanet edildiyse taşınabilir hesap kullanıcıları bu istemi görmez. Bunun yerine bu kullanıcılara oturum açma sırasında otomatik olarak bir güvenli jeton verilir.
Dizin servisinden kullanıcı hesapları kullanmak yerine Mac’te ek yerel kullanıcılar gerekirse bu yerel kullanıcılar şu anki güvenli jeton özellikli yönetici tarafından Kullanıcılar ve Gruplar’da (macOS 13 veya daha yenisinde Sistem Ayarları’nda ya da macOS 12.0.1 veya daha eskisinde Sistem Tercihleri’nde) yaratıldıklarında kendilerine otomatik olarak bir güvenli jeton verilir. Komut satırını kullanarak yerel kullanıcılar yaratılıyorsa sysadminctl komut satırı aracı kullanılabilir ve isteğe bağlı olarak bunları güvenli jeton için etkinleştirebilir. Yaratma zamanında güvenli jeton verilmemişse bile, macOS 11 veya daha yenisinde Mac’te oturum açan yerel kullanıcıya MDM çözümünden ön yükleme (bootstrap) jetonu varsa oturum açma sırasında güvenli jeton verilir.
Bu senaryolarda şu kullanıcılar FileVault ile şifrelenmiş disk bölümünün kilidini açabilir:
Hazırlık için kullanılan özgün yerel yönetici
Oturum açma işlemi sırasında sorgu kutusu istemi kullanılarak etkileşimli olarak veya ön yükleme (bootstrap) jetonu ile otomatik olarak güvenli bir jeton verilmiş diğer dizin servisi kullanıcıları
Yeni yerel kullanıcılar
Kullanıcının depolama aygıtının kilidini açabilme yeteneğini kaldırmak için fdesetup remove -user komutunu kullanın.
Yukarıda açıklanan iş akışlarından biri kullanılırken güvenli jeton, başka bir konfigürasyon veya betik yazma gerekmeden macOS tarafından yönetilir ve etkin bir şekilde yönetilmesi veya değiştirilmesi gereken bir şey olmak yerine uygulama ayrıntılarından biri hâline gelir.
fdesetup komut satırı aracı
MDM konfigürasyonları veya fdesetup komut satırı aracı, FileVault’u ayarlamak için kullanılabilir. macOS 10.15 veya daha yenisinde kullanıcı adı ve parola girerek FileVault’u açmak için fdesetup komut satırı aracı artık kullanılmaz ve gelecekteki sürümlerde tanınmaz. Komut çalışmayı sürdürür ancak macOS 11’de ve macOS 12.0.1’de artık kullanılmaz. Bunun yerine MDM kullanarak ertelenen etkinleştirmeyi kullanmayı düşünün. fdesetup komut satırı aracı hakkında daha fazla bilgi için Terminal uygulamasını başlatın ve man fdesetup veya fdesetup help komutunu girin.
Kurumsal ve kişisel kurtarma anahtarları
Hem CoreStorage hem de APFS disk bölümlerinde FileVault, disk bölümünün kilidini açmak için kurumsal kurtarma anahtarı (IRK, daha önce FileVault Ana Kimliği olarak bilinen) kullanılmasını destekler. IRK, bir disk bölümünün kilidini açmak veya FileVault’u tamamen etkisizleştirmek üzere komut satırı işlemleri için yararlı olmasına rağmen kuruluşlar için işlevselliği sınırlıdır, özellikle de macOS’in son sürümlerinde. Apple Silicon çipli bir Mac’te de başlıca iki nedenden dolayı IRK’lerin işlevsel bir değeri yoktur: Birincisi, IRK’ler recoveryOS’e erişmek için kullanılamaz, ikincisi ise artık hedef disk modu desteklenmediği için disk bölümünün kilidi başka bir Mac’e bağlanarak açılamaz. Bu ve daha birçok nedenden dolayı Mac bilgisayarlarında FileVault’un kurumsal yönetimi için IRK kullanılması artık önerilmemektedir. Onun yerine bir kişisel kurtarma anahtarı (PRK) kullanılması gerekir. PRK şunları sağlar:
Son derece güçlü bir kurtarma ve işletim sistemi erişim mekanizması
Her disk bölümünde benzersiz şifreleme
MDM’ye emanet etme
Kullanımdan sonra kolay anahtar döndürme
PRK, recoveryOS’te veya şifreli bir Mac’i doğrudan macOS ile başlatmak için kullanılabilir (Apple Silicon çipli bir Mac için macOS 12.0.1 veya daha yenisini gerektirir). recoveryOS’te, kurtarma ortamına erişmek (ve disk bölümünün kilidini açmak) için Kurtarma Yardımcısı tarafından istenirse veya Forgot All Passwords (Tüm Parolaları Unuttum) seçeneğiyle PRK kullanılabilir. Forgot All Passwords (Tüm Parolaları Unuttum) seçeneği kullanılırken kullanıcı için parolanın sıfırlanması gerekmez; doğrudan recoveryOS ile başlatmak için çıkma (exit) düğmesi tıklanabilir. Intel tabanlı Mac bilgisayarlarında macOS’i doğrudan başlatmak için parola alanının yanındaki soru işaretini tıklayın, sonra “Kurtarma Anahtarı’nızı kullanın” seçeneğini seçin. PRK’yi girin, sonra Return tuşuna basın veya oku tıklayın. macOS başladıktan sonra parola değiştirme sorgu kutusunda Vazgeç’e basın. macOS 12.0.1 veya daha yenisini kullanan Apple Silicon çipli bir Mac’te PRK giriş alanını göstermek için Option-Shift-Return tuşlarına basın, sonra Return tuşuna basın (veya oku tıklayın). macOS başlatılır.
Şifreli disk bölümü başına yalnızca bir PRK vardır ve FileVault’un MDM’den etkinleştirilmesi sırasında isteğe bağlı olarak kullanıcıdan gizlenebilir. MDM’ye emanet etmek için ayarlandığında MDM, Mac’e sertifika biçiminde bir açık anahtar sağlar; bu sertifika da PRK’yi bir CMS zarf biçiminde asimetrik olarak şifrelemek için kullanılır. Şifrelenen PRK, güvenlik bilgileri sorgusunda MDM’ye döndürülür ve kuruluş tarafından görüntülenmek üzere şifresi çözülür. Şifreleme asimetrik olduğundan MDM, PRK’nin şifresini bizzat çözemeyebilir (ve bu yüzden yöneticinin bazı ek adımlar gerçekleştirmesi gerekebilir). Buna rağmen birçok MDM satıcısı, bu anahtarların doğrudan kendi ürünlerinde görüntülenmesine izin vermek için anahtarları yönetme seçeneğini sunar. MDM, güçlü bir güvenlik durumunu korumaya yardımcı olması için PRK’leri de isteğe bağlı olarak gerektiğince sık döndürebilir (örneğin PRK bir disk bölümünün kilidini açmak için kullanıldıktan sonra).
Apple Silicon çipli olmayan Mac bilgisayarlarında disk bölümünün kilidini açmak için hedef disk modunda PRK kullanılabilir:
1. Hedef disk modundaki Mac’i aynı veya daha yeni bir macOS sürümünü kullanan başka bir Mac’e bağlayın.
2. Terminal’i açın, sonra aşağıdaki komutu çalıştırıp disk bölümünün adını (genellikle “Macintosh HD”) bulun. Şu şekilde görünmelidir: “Mount Point: Not Mounted” ve “FileVault: Yes (Locked).” Disk bölümü için disk3s2’ye benzeyen ama muhtemelen farklı rakamlarla (örneğin disk4s5) görünen APFS Volume Disk ID’yi bir yere not edin.
diskutil apfs list3. Aşağıdaki komutu çalıştırın, sonra personal recovery key user’ı bulup listelenen UUID’yi bir yere not edin:
diskutil apfs listUsers /dev/<diskXsN>4. Şu komutu çalıştırın:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Parola isteminde PRK’yi yapıştırın veya girin, sonra Return tuşuna basın. Disk bölümü Finder’da masaüstüne bağlanır.