Використання токенів безпеки та самозавантаження, а також прав власності на том у розгортаннях
Токен безпеки
В Apple File System (APFS) у macOS 10.13 або новіших змінено спосіб, у який генеруються ключі шифрування FileVault. У попередніх версіях macOS на томах CoreStorage створення ключів, що застосовувалися для шифрування за допомогою FileVault, відбувалося під час увімкнення користувачем чи організацією функції FileVault на Mac. У macOS на томах APFS ключі шифрування генеруються або під час створення користувача, задання пароля або під час першої авторизації користувача на Mac. Таке застосування ключів шифрування, їх спосіб генерації та зберігання є частиною функції, відомої як токен безпеки. Токен безпеки є чимось на кшталт ізольованої версії ключа шифрування ключів (KEK), яку захищено паролем користувача.
Під час розгортання FileVault на APFS користувач може й далі:
Використовувати наявні інструменти та процеси, як-от особистий ключ відновлення (PRK), який можна зберігати в рішенні керування мобільними пристроями (MDM) для депонування
Створювати та використовувати корпоративні ключі відновлення (IRK)
Відкладати ввімкнення FileVault до входу або виходу користувача на Mac
У macOS 11 або новіших перший користувач Mac, для якого буде налаштовано початковий пароль, отримує токен безпеки. Подекуди це може бути небажано, адже призначення першого токена безпеки потребує входу користувача в обліковий запис. Щоб запобігти цьому, додайте до програмно створеного атрибута користувача AuthenticationAuthority рядок ;DisabledTags;SecureToken, перш ніж налаштувати пароль користувача:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Токен самозавантаження
У macOS 10.15 або новіших використовується токен самозавантаження, який покликаний надавати токен безпеки як обліковим записам macOS, так і необов’язковим адміністраторським записам, створюваним під час реєстрації пристрою («керований адміністратор»). У macOS 11 або новіших токен самозавантаження може надавати токен безпеки кожному користувачеві, який входить у систему Mac, включно з локальними обліковими записами користувачів. Для використання функції токена самозавантаження в macOS 10.15 і новіших версіях потребні:
Нагляд
Підтримки від постачальника MDM
Припустімо, що ваше рішення MDM підтримує токени самозавантаження. У macOS 10.15.4 або новіших токен самозавантаження створюється та депонується в рішення MDM, коли користувач, для якого ввімкнуто токен безпеки, уперше входить у систему. Крім того, за потреби токен самозавантаження можна генерувати й депонувати в MDM за допомогою інструмента командного рядка profiles.
У macOS 11 або новіших токен самозавантаження також можна використовувати не лише для надання токена безпеки обліковим записам користувачів. На комп’ютерах Mac із процесором Apple silicon токен самозавантаження, якщо він доступний, можна використовувати для авторизації інсталювань як розширень ядра, так і оновлень програмного забезпечення, у разі керування рішенням MDM. Токен самозавантаження також використовується для безшумної авторизації команди «Стерти весь вміст і параметри», ініційованої через MDM на macOS 12.0.1 і новіших.
Володіння томом
На комп’ютерах Mac із процесором Apple silicon вводиться концепція права власності на том. Поняття права власності на том в організаційному контексті не пов’язане з юридичними правами власності чи ланцюгом відповідальності на Mac. Натомість його можна вільно визначити як користувача, який першим конфігурував Mac для персонального використання та інших додаткових користувачів. Ви маєте бути власником тому, щоб вносити зміни в політику безпеки запуску для певних інсталяцій macOS, схвалювати інсталювання оновлень програмного забезпечення та вдосконалень macOS, ініціювати команду «Стерти весь вміст і параметри на цьому Mac» тощо. Політика безпеки запуску визначає обмеження щодо дозволених до завантаження версій macOS, а також як і чи взагалі може здійснюватися завантаження сторонніх розширень ядра та керування ними.
Користувач, який першим заявить про своє право власності на Mac, конфігурувавши його для використання, отримує токен безпеки на Mac із процесором Apple, і стає першим власником тому. Коли токен самозавантаження доступний і використовується, він також стає власником тому й потім надає статус власника тому додатковим обліковим записам разом із токенами безпеки. Оскільки і перший отримувач токена безпеки, і токена самозавантаження стають власниками тому, а також зважаючи на здатність токена самозавантаження надавати токени безпеки додатковим користувачам (і, таким чином, статус власника тому), право власності на том не потребує постійного керування чи опрацювання в організації. Крім того, попередні особливості надання токенів безпеки й керування ними мають загалом відповідати статусу права власності на том.
Можна бути власником тому й не бути адміністратором, однак певні дії потребують наявності обох статусів. Наприклад, щоб змінити параметри безпеки запуску, потрібно бути і адміністратором, і власником тому, а схвалювати оновлення програмного забезпечення дозволено стандартним користувачам і для цього потрібне лише право власності.
Щоб переглянути поточний список власників тому на комп’ютері Mac із процесором Apple silicon, запустіть цю команду:
sudo diskutil apfs listUsers /Зазначені в результаті виконання команди diskutil GUID типу «Local Open Directory User» співвідносяться з атрибутами GeneratedUID записів про користувачів в Open Directory. Щоб знайти користувача за GeneratedUID, скористайтеся цією командою:
dscl . -search /Users GeneratedUID <GUID>Щоб побачити імена користувачів і GUID одночасно, можна скористатися цією командою:
sudo fdesetup list -extendedПраво власності має криптографічний захист у Secure Enclave. Більше інформації наведено в цих статтях:
Використання інструментів командного рядка
Ви можете керувати токеном самозавантаження й токеном безпеки за допомогою інструментів командного рядка. Зазвичай токен самозавантаження генерується на Mac і потім депонується в рішення керування мобільними пристроями (MDM). Це відбувається під час налаштування macOS, коли рішення MDM повідомляє комп’ютеру Mac, що підтримує цю функцію. Однак токен самозавантаження можна також згенерувати на Mac, який уже розгорнуто. У macOS 10.15.4 або новіших версіях токен самозавантаження генерується й депонується в рішення MDM під час першого входу в систему будь-якого користувача з увімкненим токеном безпеки, якщо рішення MDM підтримує цю функцію. Це зменшує потребу в інструменті командного рядка «profiles» після налаштування пристрою, коли необхідно генерувати й депонувати токен самозавантаження в рішення MDM.
Інструмент командного рядка profiles має низку опцій для взаємодії з токеном самозавантаження:
sudo profiles install -type bootstraptoken: ця команда генерує новий токен самозавантаження й депонує його в рішення MDM. Щоб згенерувати токен самозавантаження, ця команда має отримати інформацію про наявного адміністратора з токеном безпека. Крім того, рішення MDM має підтримувати цю функцію.sudo profiles remove -type bootstraptoken: ця команда вилучає наявний токен самозавантаження на Mac і в рішенні MDM.sudo profiles status -type bootstraptoken: ця команда звітує, чи підтримує рішення MDM функцію токена самозавантаження, а також про поточний стан цього токена на Mac.sudo profiles validate -type bootstraptoken: ця команда звітує, чи підтримує рішення MDM функцію токена самозавантаження, а також про поточний стан цього токена на Mac.
Інструмент командного рядка «sysadminctl»
Щоб змінювати стан токена безпеки для облікових записів користувачів на комп’ютері Mac, можна використовувати інструмент командного рядка sysadminctl. Цим способом слід послуговуватися уважно й лише за нагальної потреби. Щоб змінити статус токена безпеки для користувача за допомогою команди sysadminctl, щоразу потрібно вказувати ім’я користувача й пароль поточного адміністратора з токеном безпеки. Це слід робити або інтерактивно, або за допомогою відповідних позначок до команди. Команда sysadminctl і меню «Системні параметри» (macOS 13 або новіша) або «Параметри системи» (macOS 12.0.1 або старіші версії) запобігають видаленню останнього адміністратора чи користувача з токеном безпеки на Mac. Якщо створення додаткових локальних користувачів заскриптовано за допомогою sysadminctl і потрібно, щоб вони отримали токен безпеки, необхідно надати облікові дані поточного адміністратора з токеном безпеки або за допомогою інтерактивної опції чи напряму за допомогою позначок -adminUser і -adminPassword до команди sysadminctl. Якщо під час створення токен безпеки не надано, у macOS 11 або новіших локальний користувач під час входу в систему Mac отримує токен безпеки, якщо в рішенні MDM доступний токен самозавантаження. Введіть sysadminctl -h, щоб отримати додаткові вказівки із застосування.