Керування FileVault за допомогою рішення MDM
Повним шифруванням диска FileVault можна керувати в організаціях, які використовують рішення керування мобільними пристроями (MDM), а за розширених розгортань і конфігурацій — інструментом командного рядка fdesetup. Керування FileVault через MDM називається відкладеним увімкненням і вимагає події виходу чи входу від користувача. MDM може налаштовувати такі опції:
Скільки разів користувач може відкладати ввімкнення FileVault.
Чи опитувати користувача під час виходу на додаток до опитування під час входу.
Чи показувати ключ відновлення користувачеві.
Який сертифікат використовується для асиметричного шифрування ключа відновлення задля депонування в рішення MDM.
Щоб дозволити користувачу відмикати сховище на томах APFS, користувач має отримати токен безпеки й на Mac із процесором Apple бути власником тому. Більше інформації про токени безпеки та право власності на том наведено в розділі Використання токенів безпеки та самозавантаження, а також прав власності на том у розгортаннях. Інформацію про умови отримання токена безпеки користувачами в певних процесах наведено нижче.
Запровадження FileVault в Асистенті налаштування
За допомогою ключа ForceEnableInSetupAssistant можна налаштувати Mac обов’язково вмикати FileVault під час роботи Асистента налаштування. Таким чином внутрішнє сховище в керованих Mac буде завжди зашифроване перед використанням. Організація може вирішити, чи показувати ключ відновлення FileVault користувачеві, чи депонувати персональний ключ відновлення. Для використання цієї функції переконайтеся, що задано параметр await_device_configured.
Примітка. Для версій до macOS 14.4 для роботи цієї функції необхідно, щоб обліковий запис користувача, інтерактивно створений під час роботи Асистента налаштування, мав роль адміністратора.
Коли користувач самостійно налаштовує Mac
Відділ ІТ не виконує жодних дій із готування пристрою, коли користувач самостійно налаштовує Mac. Усі політики та конфігурації надаються за допомогою рішення MDM або інструментів керування конфігурацією. Асистент налаштування використовують для створення початкового облікового запису, і користувач отримує токен безпеки. Якщо рішення MDM підтримує токен самозавантаження та сповіщає Mac під час реєстрації в MDM, комп’ютер Mac згенерує токен самозавантаження та депонує його в рішення MDM.
Якщо Mac зареєстровано в рішенні MDM, початковим буде стандартний обліковий запис користувача, а не адміністратора. Якщо за допомогою MDM роль користувача понизити до стандартної, цей користувач автоматично отримає токен безпеки. Якщо роль користувача понижено, у macOS 10.15.4 і новіших версіях токен самозавантаження генерується автоматично й депонується в рішення MDM під час входу в систему, якщо MDM підтримує цю функцію.
Якщо за допомогою MDM в Асистенті налаштування пропустити створення локального користувача й натомість використати службу каталогів із мобільними обліковими записами, користувач мобільного облікового запису отримає токен безпеки під час входу. У мобільному обліковому запис, після того, як для користувача ввімкнено функцію токена безпеки, у macOS 10.15.4 і новіших версіях токен самозавантаження генерується автоматично під час другого входу користувача й депонується в рішення MDM, якщо MDM підтримує цю функцію.
Оскільки перший і основний користувач отримують токен безпеки, в обох наведених вище випадках FileVault можна активувати шляхом відкладеного ввімкнення. Функція відкладеного ввімкнення дає змогу організації активувати FileVault, відклавши цю подію до входу або виходу користувача на Mac. Також можна дозволити, щоб користувач пропускав увімкнення FileVault (за потреби — визначену кількість разів). У підсумку основний користувач Mac (локальний чи мобільний обліковий запис будь-якого типу) зможе відмикати пристрій збереження даних, який зашифровано за допомогою FileVault.
На комп’ютерах Mac, де токен самозавантаження було згенеровано й депоновано в рішення MDM, токен безпеки буде надано автоматично за допомогою токена самозавантаження, якщо в майбутньому на Mac авторизується інший користувач. У результаті цей обліковий запис зможе користуватися засобом FileVault і зможе відмикати том FileVault. Щоб позбавити користувача можливості відмикати пристрій збереження, скористайтеся командою fdesetup remove -user.
Коли організація готує Mac до користування
Якщо Mac готує організація й потім передає користувачу, відділ ІТ налаштовує пристрій. Локальний адміністративний обліковий запис, створений в Асистенті нгалаштування або підготовлений за допомогою MDM, використовується для готування або налаштування Mac і отримує під час входу перший токен безпеки. Якщо рішення MDM підтримує функцію токена самозавантаження, цей токен також генерується і депонується в рішення MDM.
Якщо Mac приєднують до служби каталогів і дозволяють створювати мобільні облікові записи (і якщо немає токена самозавантаження), щоб отримати токен безпеки для свого запису, користувачі служби каталогів під час першого входу отримують запит на ім’я користувача й пароль наявного адміністратора з токеном безпеки. Слід ввести облікові дані локального адміністратора з увімкненим токеном безпеки. Якщо в токені безпеки немає потреби, користувач може вибрати «Обхід». У macOS 10.13.5 і новіших системах можна повністю вимкнути запит токена безпеки, якщо немає потреби у FileVault для мобільних облікових записів. Щоб вимкнути запит токена безпеки, застосуйте профіль конфігурації із власними налаштуваннями з рішення MDM, указавши такі ключі та значення:
Параметр | Значення | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Домен | com.apple.MCX | ||||||||||
Ключ | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Значення | True (Так) | ||||||||||
Якщо рішення MDM підтримує функцію токена самозавантаження, і такий токен було згенеровано комп’ютером Mac і депоновано в рішення MDM, користувачі мобільного облікового запису не бачитимуть цей запит. Натомість вони автоматично отримають токен безпеки під час входу.
Якщо для пристрою Mac потрібні додаткові локальні користувачі замість облікових записів користувачів зі служби каталогів, цим локальним користувачам автоматично надається токен безпеки, коли поточний адміністратор з активним токеном безпеки створює їх у розділі «Користувачі та групи» (у розділі «Системні параметри» в macOS 13 або новіших чи «Параметри системи» в macOS 12.0.1 та старіших версіях). Під час створення локальних користувачів за допомогою командного рядка можна використовувати інструмент sysadminctl і за потреби ввімкнути для них токен безпеки. Навіть якщо під час створення токен безпеки не надано, у macOS 11 або новіших локальний користувач під час входу в систему Mac отримує токен безпеки, якщо в MDM доступний токен самозавантаження.
За цих умов відмикати том, який зашифровано за допомогою FileVault, зможуть такі користувачі:
Перший локальний адміністратор, за допомогою якого готували пристрій
Інші користувачі служби каталогів, які отримали токен безпеки під час входу або інтерактивно через запит, або автоматично за допомогою токена самозавантаження
Усі нові локальні користувачі
Щоб позбавити користувача можливості відмикати пристрій збереження, скористайтеся командою fdesetup remove -user.
За використання одного з наведених вище сценаріїв система macOS керуватиме токеном безпеки без додаткових конфігурацій чи скриптів. Такий сценарій стає частиною процесу впровадження й не потребує активного втручання чи управління.
Інструмент командного рядка «fdesetup»
Для налаштування FileVault можна використовувати конфігурації MDM або інструмент командного рядка fdesetup. У macOS 10.15 або пізніших версіях припиняється підтримка активації FileVault за допомогою інструмента fdesetup й імені користувача та пароля. У майбутніх випусках ця команда не розпізнаватиметься. У macOS 11 і macOS 12.0.1 ця команда продовжує працювати, однак є застарілою. Розгляньте натомість можливість відкладеного ввімкнення за допомогою MDM. Щоб отримати більше інформації про інструмент командного рядка fdesetup, запустіть програму «Термінал» і введіть man fdesetup або fdesetup help.
Організаційні та особисті ключі відновлення
FileVault на томах CoreStorage і APFS підтримує використання відомчого ключа відновлення (ІКВ, раніше відомого як Основне посвідчення FileVault) для відмикання тому. Хоча ІКВ може стати в пригоді під час операцій командного рядка для відмикання диска чи повного вимикання FileVault, його застосовність для організацій обмежена, особливо в останніх версіях macOS. А на Mac із процесором Apple ІКВ не забезпечують функціональність із двох основних причин: По-перше, ІКВ не можна використовувати для доступу до recoveryOS, а по-друге, оскільки режим зовнішнього диска більше не підтримується, том не можна відімкнути його під’єднанням до іншого Mac. З цих та інших причин використання ІКВ більше не рекомендоване для інституційного керування FileVault на комп’ютерах Mac. Натомість слід використовувати особистий ключ відновлення (ОКВ). ОКВ забезпечує:
Надзвичайно ґрунтовний механізм відновлення операційної системи та доступу до неї
Унікальне шифрування для кожного тому
Депонування в MDM
Просту ротацію ключа після використання
ОКВ можна використовувати або в recoveryOS, або для запуску зашифрованого Mac безпосередньо в macOS (потребує macOS 12.0.1 або новішої для Mac із процесором Apple). У recoveryOS ОКВ можна використати на запит Асистента відновлення або для опції «Забули всі паролі?», щоб отримати доступ до середовища відновлення, яке потім також відмикає том. За використання опції «Забули всі паролі?» не обов’язково скидати пароль для користувача. Можна клацнути кнопку виходу, щоб запустити систему безпосередньо в recoveryOS. Щоб безпосередньо запустити macOS на комп’ютері Mac із процесором Intel, клацніть знак питання поруч із полем пароля, а потім виберіть опцію «…скинути його за допомогою ключа відновлення». Введіть ОКВ, а потім натисніть Return або клацніть стрілку. Після запуску macOS натисніть Cancel у діалоговому вікні зміни пароля. На Mac із процесором Apple під керуванням macOS 12.0.1 або новішої натисніть Option+Shift+Return, щоб показати поле введення ОКВ, а потім натисніть Enter (або клацніть стрілку). Запуститься macOS.
На один шифрований том припадає один ОКВ, і під час ввімкнення FileVault з MDM його за потреби можна приховати від користувача. Якщо ключ конфігуровано на депонування в MDM, рішення MDM надасть публічний ключ комп’ютеру Mac у вигляді сертифіката, який відтак буде використано для асиметричного шифрування ОКВ у форматі конверта CMS. Зашифрований ОКВ повернеться в MDM у запиті безпекової інформації, який потім можна розшифрувати для перегляду організацією. Оскільки шифрування відбувається асиметрично, рішення MDM може бути нездатне розшифрувати ОКВ (а отже потребуватиме додаткових дій від адміністратора). Однак багато постачальників рішень MDM надають опцію керування цими ключами для перегляду безпосередньо у своїх продуктах. Рішення MDM може за потреби проводити ротацію ОКВ з потрібною частотою задля підтримання високого рівня безпеки, як-от у випадках, коли ОКВ використовується для відмикання тому.
ОКВ можна використовувати в режимі зовнішнього диска на комп’ютерах Mac без процесора Apple для відмикання тому:
1. Під’єднайте Mac у режимі зовнішнього диска до іншого Mac під керуванням такої ж або новішої версії macOS.
2. Відкрийте Термінал і виконайте наведену нижче команду, а потім знайдіть назву тому (зазвичай це «Macintosh HD»). Має бути вказано «Mount Point: Not Mounted» і «FileVault: Yes (Locked)». Занотуйте ідентифікатор APFS Volume Disk тому, який має вигляд disk3s2 (цифри можуть відрізнятися — наприклад, disk4s5).
diskutil apfs list3. Виконайте наведену нижче команду, знайдіть рядок personal recovery key user і занотуйте зазначений UUID:
diskutil apfs listUsers /dev/<diskXsN>4. Виконайте цю команду:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. На запит парольної фрази вставте або введіть ОКВ, а потім натисніть Return. Том змонтується у Finder.