Administration af FileVault i macOS
I macOS kan organisationer administrere FileVault ved hjælp af Secure Token eller Bootstrap Token.
Brug af Secure Token
APFS (Apple File System) i macOS 10.13 og nyere versioner ændrer den måde FileVault-krypteringsnøgler genereres på. I tidligere versioner af macOS på CoreStorage-enheder blev de nøgler, der blev brugt i FileVault-krypteringsprocessen, oprettet, når en bruger eller en organisation slog FileVault til på en Mac. I macOS på APFS-enheder genereres nøglerne enten under brugeroprettelse, indstilling af den første brugers adgangskode eller første gang, en bruger logger ind på Mac. Denne implementering af krypteringsnøglerne, tidspunktet for genereringen og måden, de opbevares på, er en del af en funktion, der kaldes Secure Token (sikkert token). Helt specifikt er et sikkert token en indpakket version af en KEK (Key Encryption Key), der beskyttes af en brugers adgangskode.
Ved implementering af FileVault på APFS kan brugeren fortsætte med at:
bruge eksisterende værktøjer og processer, f.eks. en personlig gendannelsesnøgle (PRK – Personal Recovery Key), der kan deponeres i en løsning til administration af mobile enheder (MDM)
udskyde aktiveringen af FileVault, indtil en bruger logger ind eller ud af Mac
oprette og bruge en gendannelsesnøgle fra organisationen (IRK – Institutional Recovery Key).
Når den første adgangskode indstilles til den første bruger på Mac med macOS 11, får brugeren tildelt et sikkert token. I nogle arbejdsgange er denne funktionsmåde måske uønsket, da tildeling af det første sikre token tidligere ville have krævet, at brugeren skulle logge ind. Funktionsmåden kan forhindres, ved at ;DisabledTags;SecureToken føjes til den programmæssigt oprettede brugers AuthenticationAuthority-attribut, inden brugerens adgangskode indstilles, som vist herunder:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Brug af Bootstrap Token
I macOS 10.15 blev funktionen Bootstrap Token lanceret. Den hjælper med at tildele et sikkert token til både mobile konti og den valgfri administratorkonto oprettet under enhedstilmelding (“administreret administrator”). I macOS 11 kan et Bootstrap Token tildele et sikkert token til enhver bruger, der logger ind på en Mac-computer, herunder lokale brugerkonti. Brug af Bootstrap Token-funktionen i macOS 10.15 og nyere versioner kræver:
Tilmelding af Mac i MDM via Apple School Manager eller Apple Business Manager, hvilket sætter Mac under tilsyn
MDM-leverandørens understøttelse
I macOS 10.15.4 og nyere versioner genereres et Bootstrap Token, og det deponeres i MDM, første gang en bruger med sikkert token slået til logger ind, hvis MDM-løsningen understøtter funktionen. Ved behov er det også muligt at generere et Bootstrap Token og deponere det i MDM ved hjælp af kommandolinjeværktøjet profiles.
I macOS 11 kan et Bootstrap Token bruges til mere end blot at tildele et sikkert token til brugerkonti. På en Mac med Apple Silicon kan et Bootstrap Token, hvis det er tilgængeligt, bruges til at godkende installeringen af kerneudvidelser og softwareopdateringer, hvis de administreres med MDM.
Organisationens gendannelsesnøgler overfor personlige gendannelsesnøgler
FileVault på både CoreStorage- og APFS-enheder understøtter brug af en organisations gendannelsesnøgle (IRK – tidligere kaldet en FileVault Master-identitet) til at låse enheden op. Selvom en IRK er nyttig til kommandolinjehandlinger til at låse en enhed op eller slå FileVault helt fra, er dens anvendelighed begrænset for organisationer, især i de nyeste versioner af macOS. På en Mac med Apple Silicon har IRK'er ingen funktionel værdi af to primære årsager: For det første kan IRK'er ikke bruges til at få adgang til macOS-gendannelse, og for det andet kan enheden ikke låses op ved at forbinde den til en anden Mac, da funktionen Computer som ekstern harddisk ikke længere understøttes. Af blandt andet disse grunde anbefales det ikke længere at bruge en IRK i organisationer til administration af FileVault på Mac-computere. Der bør i stedet bruges en personlig gendannelsesnøgle (PRK – Personal Recovery Key).