Hantera FileVault i macOS
I macOS kan organisationer hantera FileVault med SecureToken eller Bootstrap Token.
Använda SecureToken
APFS (Apple File System) i macOS 10.13 och senare ändrar hur FileVault-krypteringsnycklar genereras. I tidigare versioner av macOS på CoreStorage-volymer skapades de nycklar som används i FileVault-krypteringsprocessen när en användare eller organisation aktiverade FileVault på en Mac. I macOS på APFS-volymer genereras nycklarna antingen genom att användaren skapar dem, när den första användarens lösenord ställs in eller när en användare loggar in första gången på datorn. Den här implementeringen av krypteringsnycklarna, när de genereras och hur de lagras ingår tillsammans i en funktion som heter Secure Token. Mer specifikt är en säker token en paketerad version av en KEK (Key Encryption Key) som skyddas av en användares lösenord.
Vid driftsättning av FileVault på APFS kan användaren fortsätta att:
använda befintliga verktyg och processer, som en personlig återställningsnyckel som kan deponeras i en MDM-lösning
skjuta upp aktivering av FileVault tills en användare loggar in eller ut ur datorn
skapa och använda organisationens återställningsnyckel
När det första lösenordet för den allra första användaren på datorn anges i macOS 11 tilldelas den användaren en säker token. I vissa arbetsflöden är det möjligtvis inte det önskade beteendet eftersom, som tidigare nämnts, beviljande av den första säkra token kräver att användaren loggar in. Lägg till ;DisabledTags;SecureToken i användarens AuthenticationAuthority-attribut som skapats av programvara innan du ställer in användarens lösenord för att förhindra detta. Gör så här:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Använda Bootstrap Token
Med macOS 10.15 introducerades en ny funktion – Bootstrap Token – som hjälper till att bevilja en säker token till både flyttbara konton och det valfria administratörskonto som kan skapas vid registreringen av en enhet (”hanterad administratör”). I macOS 11 kan en bootstrap token bevilja en säker token till en användare som loggar in på en Mac-dator, inklusive lokala användarkonton. För att använda Bootstrap Token-funktionen i macOS 10.15 eller senare krävs:
Mac-registrering i MDM via Apple School Manager eller Apple Business Manager, vilket gör datorn övervakad
att MDM-utvecklaren stöder funktionen
I macOS 10.15.4 eller senare skapas en bootstrap token som deponeras i MDM första gången en användare som är Secure Token-aktiverad loggar in om MDM-lösningen har stöd för funktionen. En Bootstrap Token kan vid behov genereras och deponeras i MDM genom användning av kommandoradsverktyget profiles.
I macOS 11 kan en bootstrap token också användas till mer än att bara bevilja säkra tokens till användarkonton. På Mac-datorer med Apple Silicon kan en eventuell bootstrap token användas till att auktorisera installationen av både kärntillägg och programuppdateringar när de hanteras med MDM.
Organisationens jämfört med personliga återställningsnycklar
FileVault i både CoreStorage- och APFS-volymer stöder användningen av en organisations återställningsnyckel (IRK, kallades tidigare FileVault Master identity) för att låsa upp volymen. En IRK är visserligen praktisk för kommandoradsåtgärder som att låsa upp en volym eller stänga av FileVault helt och hållet, men dess användbarhet för organisationer är begränsad (särskilt i de senaste versionerna av macOS). På en Mac med Apple Silicon tillför IRK:er inget funktionellt värde av två huvudsakliga skäl: För det första kan IRK:er inte användas till att komma åt recoveryOS och för det andra kan volymen inte låsas upp genom att ansluta den till en annan Mac eftersom hårddiskläge inte längre stöds. På grund av dessa skäl och andra anledningar rekommenderas inte längre en IRK för organisationshantering av FileVault på Mac-datorer. Istället bör en personlig återställningsnyckel (PRK) användas.