macOS’te FileVault’u yönetme
macOS’te kuruluşlar, FileVault’u SecureToken veya Ön Yükleme (Bootstrap) Jetonu kullanarak yönetebilir.
Güvenli Jeton’u kullanma
macOS 10.13 veya daha yenisindeki Apple File System (APFS), FileVault şifreleme anahtarlarının oluşturulma şeklini değiştirir. CoreStorage disk bölümlerinde bulunan önceki macOS sürümlerinde, FileVault şifreleme işleminde kullanılan anahtarlar, kullanıcı veya kuruluş Mac’te FileVault’u açtığında yaratılırdı. APFS disk bölümlerindeki macOS’te bu anahtarlar; kullanıcı yaratılırken, ilk kullanıcının parolası ayarlanırken veya kullanıcının Mac’te ilk oturum açışında oluşturulur. Şifreleme anahtarlarının tüm uygulamaları (ne zaman oluşturulduğu ve nasıl saklandığı) Güvenli Jeton olarak bilinen bir özelliğin bir parçasıdır. Tam olarak, güvenli jeton, kullanıcı parolası tarafından korunan anahtar şifreleme anahtarının (KEK) paketlenmiş bir sürümüdür.
APFS üzerinde FileVault dağıtımında kullanıcı:
Emanet için mobil aygıt yönetimi (MDM) çözümü ile saklanabilen kişisel kurtarma anahtarı (PRK) gibi var olan araçları ve işlemleri kullanmayı sürdürebilir
Kullanıcı Mac’te oturum açıncaya veya oturumunu kapatıncaya dek FileVault’un etkinleştirilmesini ertelemeyi sürdürebilir
Kurumsal kurtarma anahtarı (IRK) yaratıp kullanmayı sürdürebilir
macOS 11’de Mac’teki ilk kullanıcının başlangıç parolası ayarlandığında o kullanıcıya güvenli bir jeton verilir. Daha önce olduğu gibi ilk güvenli jetonun verilmesiyle kullanıcı hesabının oturum açması gerektiğinden bazı iş akışlarında istenen davranış bu olmayabilir. Bunun olmasını engellemek için kullanıcı parolasını ayarlamadan önce kullanıcının program aracılığıyla yaratılan AuthenticationAuthority özelliğine aşağıda gösterildiği şekilde ;DisabledTags;SecureToken kodunu ekleyin:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Ön Yükleme (Bootstrap) Jetonu’nu kullanma
macOS 10.15, hem taşınabilir hesaplara hem de isteğe bağlı olarak aygıt kaydında yaratılan yönetici hesabına (“yönetilen yönetici”) güvenli jeton vermeyle ilgili yardımcı olması için Ön Yükleme (Bootstrap) Jetonu denilen yeni bir özellik sunar. macOS 11’de ön yükleme (bootstrap) jetonu, yerel kullanıcı hesapları da dahil olmak üzere bir Mac bilgisayarında oturum açan herhangi bir kullanıcıya güvenli jeton verebilir. macOS 10.15 veya daha yenisinin Ön Yükleme (Bootstrap) Jetonu özelliğini kullanmak için şunlar gerekir:
Mac’in Apple Okul Yönetimi veya Apple İşletme Yönetimi kullanılarak MDM’ye kaydettirilmesi ile denetlenip yönetilen yapılması
MDM satıcı desteği
macOS 10.15.4 veya daha yenisinde, MDM çözümü ön yükleme (bootstrap) jetonu özelliğini destekliyorsa Güvenli Jeton özellikli herhangi bir kullanıcının ilk oturum açışında bir ön yükleme (bootstrap) jetonu oluşturulur ve MDM’ye emanet edilir. Ön yükleme (bootstrap) jetonu, gerekirse profiles komut satırı aracı kullanılarak da oluşturulup MDM’ye emanet edilebilir.
macOS 11’de ön yükleme (bootstrap) jetonu, kullanıcı hesaplarına güvenli jeton vermek dışında da kullanılabilir. Apple Silicon yongalı bir Mac’te, varsa ön yükleme (bootstrap) jetonu, MDM kullanılarak yönetilen çekirdek genişletmelerinin ve yazılım güncellemelerinin yüklenmesini yetkilendirmek için kullanılabilir.
Kurumsal - kişisel kurtarma anahtarları
Hem CoreStorage ve APFS disk bölümlerindeki FileVault, disk bölümünün kilidini açmak için bir kurumsal kurtarma anahtarı (IRK, önceki adıyla FileVault Master kimliği) kullanmayı destekler. IRK bir disk bölümünün kilidini açmak veya FileVault’u tamamen kapatmak amacıyla komut satırı işlemleri için yararlı olsa da, kuruluşlar için özellikle macOS’in son sürümlerinde kullanımı sınırlıdır. Apple Silicon yongalı bir Mac’te, IRK’ler iki nedenden ötürü hiçbir işlevsel değer sağlamaz: 1. IRK’ler recoveryOS’e erişmek için kullanılamaz; 2. Hedef disk modu artık desteklenmediğinden disk bölümünün kilidi başka bir Mac’e bağlanarak açılamaz. Bu nedenlerden ve daha fazlasından dolayı IRK kullanımı artık Mac bilgisayarlarda FileVault’un kurumsal yönetimi için önerilmez. Onun yerine kişisel kurtarma anahtarı (PRK) kullanılmalıdır.