Používanie secure tokenov, bootstrap tokenov a vlastníctva oddielov pri nasadzovaní
Secure token
Súborový systém Apple (APFS) v systéme macOS 10.13 alebo novšom mení spôsob, akým sú generované šifrovacie kľúče FileVault. V predchádzajúcich verziách systému macOS s oddielmi CoreStorage sa kľúče používané v procese šifrovania FileVaultu vytvorili vtedy, keď užívateľ alebo organizácia zapli na Macu FileVault. V systéme macOS s oddielmi APFS sa šifrovacie kľúče generujú buď počas vytvárania užívateľa, nastavovania prvého hesla užívateľa alebo počas prvého prihlásenia užívateľa daného Macu. Táto implementácia šifrovacích kľúčov, ako aj to, kedy sú generované a ako sú uchovávané, sú súčasťou funkcie známej ako Secure Token. Secure Token je konkrétne zabalená verzia kľúča na šifrovanie kľúčov (Key Encryption Key, KEK) chránená užívateľským heslom.
Pri nasadzovaní FileVaultu na APFS môže užívateľ aj naďalej:
používať existujúce nástroje a procesy, ako napríklad úschovu osobného kľúča obnovy (PRK, Personal Recovery Key), ktorý je možné uchovávať s riešením správy mobilných zariadení (MDM),
vytvárať a používať inštitucionálny kľúč obnovy (IRK, Institutional Recovery Key),
odložiť zapnutie FileVaultu, až kým sa užívateľ neprihlási do Macu alebo sa z neho neodhlási.
V systéme macOS 11 alebo novšom má nastavenie počiatočného hesla pre úplne prvého užívateľa Macu za následok udelenie tomuto užívateľovi secure tokenu. Pri niektorých postupoch to však nemusí byť žiaduce, keďže predtým by udelenie prvého secure tokenu vyžadovalo prihlásenie týmto užívateľom. Ak tomu chcete zabrániť, je nutné ešte pred nastavením hesla užívateľa pridať k programovo vytváranému atribútu užívateľa AuthenticationAuthority
položku ;DisabledTags;SecureToken
, ako je uvedené nižšie:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
Bootstrap Token
V macOS 10.15 alebo novšom sa môže bootstrap token používať aj na viac ako len udeľovanie secure tokenov existujúcim užívateľským účtom. Na počítačoch Mac s Apple čipom spravovaných pomocou riešenia MDM sa môže bootstrap token, pokiaľ je dostupný, používať na:
dohľad,
podporu dodávateľa riešenia MDM.
Predpokladajme, že vaše riešenie MDM podporuje bootstrap tokeny. V systéme macOS 10.15.4 alebo novšom sa bootstrap token vygeneruje a odovzdá do úschovy riešeniu MDM pri prvom prihlásení užívateľa s aktivovaným secure tokenom. Ak je to potrebné, bootstrap token však možno vygenerovať a uschovať v riešení MDM pomocou nástroja príkazového riadka profiles
.
V macOS 11 alebo novšom sa môže bootstrap token používať aj na viac ako len udeľovanie secure tokenov existujúcim užívateľským účtom. Na počítačoch Mac s Apple čipom spravovaných pomocou riešenia MDM sa môže bootstrap token, pokiaľ je dostupný, používať na:
autorizáciu inštalácie softvérových aktualizácií,
bezobslužnú autorizáciu príkazu Vymazať celý obsah a nastavenia v riešení MDM (macOS 12.0.1 alebo novší),
vytváranie nových užívateľov, keď sa po prvýkrát prihlásia pomocou jednorazového prihlásenia na platforme (macOS 13 alebo novší).
Vlastníctvo oddielov
Počítače Mac s Apple čipom prichádzajú s koncepciou vlastníctva oddielov. V kontexte organizácie pojem vlastníctvo oddielu nesúvisí so skutočným právnym vlastníctvom Macu ani s jeho evidovaným vlastníckym reťazcom. Vlastníka oddielu možno voľne definovať ako užívateľa, ktorý si Mac ako prvý „privlastnil“ tým, že ho nakonfiguroval pre svoje vlastné použitie, alebo ľubovoľného ďalšieho užívateľa. Nikto iný ako vlastník oddielu nemôže meniť pravidlá zabezpečeného spúšťania konkrétnej inštalácie systému macOS, autorizovať inštaláciu aktualizácií a upgradov softvéru macOS, spustiť na Macu príkaz Vymazať celý obsah a nastavenia a vykonávať ďalšie aktivity. Bezpečnostné pravidlá spúšťania definujú obmedzenia ohľadom toho, ktoré verzie macOS je možné spúšťať, ako aj to, ako a či je možné načítavať a spravovať systémové rozšírenia kernelu od tretích strán.
Užívateľovi, ktorý si ako prvý „privlastní“ Mac tým, že ho nakonfiguruje pre svoje použitie, sa na Macu s čipom Apple udelí secure token a stáva sa prvým vlastníkom oddielu. Keď je dostupný a používa sa bootstrap token, stáva sa zároveň vlastníkom oddielu a následne udeľuje stav vlastníctva oddielu ďalším účtom, hneď ako im udelí secure tokeny. Vzhľadom na to, že prvý užívateľ, ktorému je udelený secure alebo bootstrap token, sa stáva vlastníkom oddielu a že bootstrap token prepožičiava možnosť udeľovať secure tokeny ďalším užívateľom (ktorí sa potom tiež stávajú vlastníkmi oddielu), organizácia spravidla nemusí vlastníctvo oddielov aktívne spravovať ani s ním nijako manipulovať. Už zavedené opatrenia súvisiace so správou a udelením secure tokenov by vo všeobecnosti mali pokrývať aj štatút vlastníctva oddielov.
Vlastník oddielu nemusí byť zároveň správcom, pri vykonávaní niektorých úloh sa ale kontrolujú obe roly. Napríklad úprava bezpečnostných nastavení spúšťania vyžaduje byť správcom a zároveň vlastníkom oddielu, zatiaľ čo autorizáciu aktualizácií softvéru môžu vykonávať aj štandardní užívatelia a vyžaduje sa len vlastníctvo oddielu.
Ak chcete zobraziť aktuálne zoznam vlastníkov oddielov na počítači Mac s Apple čipom, môžete spustiť tento príkaz:
sudo diskutil apfs listUsers /
Globálne unikátne identifikátory GUID uvedené vo výstupe príkazu diskutil
typu „Lokálny užívateľ Open Directory“ referujú na atribúty GeneratedUID
užívateľských záznamov v Open Directory. Ak chcete vyhľadať užívateľa pomocou GeneratedUID
, použite tento príkaz:
dscl . -search /Users GeneratedUID <GUID>
Na zobrazenie užívateľských mien spolu s GUID môžete použiť aj nasledujúci príkaz:
sudo fdesetup list -extended
Vlastníctvo podporuje kryptografia chránená v Secure Enclave. Ďalšie informácie nájdete v témach:
Používanie nástroja príkazového riadka
Bootstrap tokeny a secure tokeny možno spravovať pomocou nástrojov príkazového riadka. Kľúč bootstrap Token sa zvyčajne generuje na Macu a uschováva sa v riešení MDM počas procesu nastavenia systému macOS, keď riešenie MDM informuje Mac, že túto funkciu podporuje. Kľúč bootstrap token však možno vygenerovať aj na Macu, ktorý už bol nasadený. V systéme macOS 10.15.4 alebo novšej verzii sa bootstrap token vygeneruje a uschová do riešenia MDM pri prvom prihlásení ľubovoľného užívateľa s aktivovaným kľúčom secure token, ak riešenie MDM túto funkciu podporuje. Týmto spôsobom sa znižuje potreba použitia nástroja príkazového riadka na generovanie kľúča bootstrap token a jeho uschovanie v riešení MDM po nastavení zariadenia.
Nástroj príkazového riadka profiles
má niekoľko možností interakcie s kľúčom bootstrap token:
sudo profiles install -type bootstraptoken
: Tento príkaz vygeneruje nový kľúč bootstrap token a uschová ho v riešení MDM. Tento príkaz vyžaduje na počiatočné vygenerovanie bootstrap tokena informácie o existujúcom správcovi secure tokena a riešenie MDM musí podporovať túto funkciu.sudo profiles remove -type bootstraptoken
: Odstráni existujúci kľúč bootstrap token z Macu a riešenia MDM.sudo profiles status -type bootstraptoken
: Zobrazí informáciu o tom, či riešenie MDM podporuje funkciu bootstrap token a aký je aktuálny stav kľúča bootstrap token na Macu.sudo profiles validate -type bootstraptoken
: Zobrazí informáciu o tom, či riešenie MDM podporuje funkciu bootstrap token a aký je aktuálny stav kľúča bootstrap token na Macu.
Nástroj príkazového riadka sysadminctl
Pomocou nástroja príkazového riadka sysadminctl
možno konkrétne meniť stav kľúča secure tokenu pre užívateľské účty na počítačoch Mac. Tento krok by sa však mal vykonávať opatrne a len vtedy, keď je to potrebné. Pri zmene stavu kľúča secure token užívateľa pomocou nástroja sysadminctl
sa vždy vyžaduje užívateľské meno a heslo existujúceho správcu s aktivovaným kľúčom secure token, a to buď interaktívne, alebo cez príslušné prepínače v príkaze. Nástroj sysadminctl
aj Systémové nastavenia (macOS 13 alebo novší aj macOS 12.0.1 alebo starší) bránia na Macu vymazaniu posledného správcu alebo užívateľa s aktivovaným kľúčom secure token. Ak sa vytvorenie ďalších lokálnych užívateľov skriptuje pomocou nástroja sysadminctl
, na aktiváciu kľúča secure token pre daných užívateľov sa vyžaduje zadanie prihlasovacích údajov aktuálneho správcu s aktivovaným kľúčom SecureToken, a to buď pomocou interaktívnej možnosti, alebo priamo pomocou prepínačov -adminUser
a -adminPassword
pomocou nástroja sysadminctl
. Ak lokálnemu užívateľovi nie je udelený secure token v čase vytvorenia účtu, v systéme macOS 11 alebo novšom sa lokálnemu užívateľovi prihlasujúcemu sa do počítača Mac udelí secure token počas prihlásenia v prípade, že bootstrap token je dostupný z riešenia MDM. Ďalšie pokyny o používaní zobrazíte zadaním príkazu sysadminctl -h
.