Brug sikkert token, Bootstrap Token og enhedsejerskab i implementeringer
Sikkert token
APFS (Apple File System) i macOS 10.13 og nyere versioner ændrer den måde, FileVault-krypteringsnøgler genereres på. I tidligere versioner af macOS på CoreStorage-enheder, blev de nøgler, der blev brugt i FileVault-krypteringsprocessen, oprettet, når en bruger eller en organisation slog FileVault til på en Mac. I macOS på APFS-enheder genereres krypteringsnøgler enten under brugeroprettelse, første indstilling af brugerens adgangskode eller første gang, en bruger logger ind på Mac. Denne implementering af krypteringsnøglerne, tidspunktet for genereringen og måden, de opbevares på, er en del af en funktion, der kaldes sikkert token. Et sikkert token er en indpakket version af en nøglekrypteringsnøgle (Key Encryption Key – KeK), der beskyttes af en brugers adgangskode.
Ved implementering af FileVault på APFS kan brugeren fortsætte med at:
Bruge eksisterende værktøjer og processer såsom en personlig gendannelsesnøgle (PRK), der kan deponeres i en løsning til administration af mobile enheder (MDM)
Oprette og bruge en gendannelsesnøgle fra organisationen (IRK – Institutional Recovery Key)
Vente med at slå FileVault til, til en bruger logger ind eller ud af Mac
I macOS 11 og nyere versioner tildeles den allerførste bruger på Mac et sikkert token, når brugerens adgangskode indstilles første gang. I nogle situationer er denne virkemåde måske ikke ønskelig, da tildeling af det første sikre token tidligere ville have krævet, at der blev logget ind på brugerkontoen. Det kan du forhindre ved at føje ;DisabledTags;SecureToken til den programmæssigt oprettede brugers AuthenticationAuthority-egenskab, før brugerens adgangskode indstilles, som vist herunder:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrap Token
I macOS 10.15 og nyere versioner kan Bootstrap Token bruges til mere end blot at tildele sikre tokens til eksisterende brugerkonti. På en Mac-computer med Apple Silicon kan Bootstrap Token, hvis det findes og administreres med MDM, bruges til:
Tilsyn
MDM-leverandørens understøttelse
Det antages, at din MDM-løsning understøtter Bootstrap Tokens. I macOS 10.15.4 og nyere versioner genereres et Bootstrap Token, og det deponeres i MDM, første gang en bruger med sikkert token slået til logger ind. Ved behov er det muligt at generere et Bootstrap Token og deponere det i MDM ved hjælp af kommandolinjeværktøjet profiles.
I macOS 11 og nyere versioner kan Bootstrap Token bruges til mere end blot at tildele sikre tokens til eksisterende brugerkonti. På en Mac-computer med Apple Silicon kan Bootstrap Token, hvis det findes og administreres med MDM, bruges til:
at godkende installation af softwareopdateringer.
at godkende MDM-kommandoen Slet alt indhold og alle indstillinger i baggrunden (macOS 12.0.1 og nyere versioner).
at oprette nye brugere, når de logger ind med Log på i et trin på platform første gang (macOS 13 og nyere versioner).
Enhedsejerskab
På Mac-computere med Apple Silicon introduceres begrebet enhedsejerskab. Enhedsejerskab i en organisatorisk kontekst er ikke knyttet til Mac-computerens juridiske enhedsejerskab eller ejerskabskæde. Enhedsejerskabet kan i stedet groft sagt defineres som den bruger, der først har gjort krav på en Mac ved at konfigurere den til eget brug, samt eventuelle yderligere brugere. Du skal være enhedsejer for at kunne ændre sikkerhedspolitikken ved start for en bestemt installering af macOS, godkende installering af opdateringer og opgraderinger til macOS-software, starte en sletning af alt indhold og alle indstillinger på Mac med mere. Politikken for startsikkerhed definerer de begrænsninger, som gælder for start af de forskellige versioner af macOS, samt hvordan og om kerneudvidelser fra tredjepart kan indlæses eller administreres.
Den bruger, der først har gjort krav på en Mac ved at konfigurere den til eget brug, tildeles et sikkert token på en Mac med Apple Silicon og bliver den første enhedsejer. Hvis der findes et Bootstrap Token, bliver det også enhedsejer og tildeler enhedsejerskab til yderligere konti, når de tildeles sikre tokens. Da både den første bruger, som skal tildeles et sikkert token, og Bootstrap Token bliver enhedsejere, og Bootstrap Token kan tildele sikre tokens (og dermed enhedsejerskab) til yderligere brugere, bør enhedsejerskab ikke være noget, som skal administreres eller håndteres aktivt i en organisation. Når det gælder enhedsejerskab, bør organisationen følge samme retningslinjer, som gælder for administration og tildeling af sikre tokens.
Det er muligt at være enhedsejer uden at være administrator, men visse opgaver kræver kontrol af ejerskabet for begge. Ændring af indstillinger til startsikkerhed kræver f.eks., at man både er administrator og enhedsejer, mens godkendelse af softwareopdateringer er tilladt for standardbrugere og kun kræver ejerskab.
Du kan se den aktuelle liste over enhedsejere på en Mac-computer med Apple Silicon med følgende kommando:
sudo diskutil apfs listUsers /GUID’erne i resultatet af kommandoen diskutil af typen “Local Open Directory User” tilknyttes til GeneratedUID-attributter for brugerposter i Open Directory. Brug følgende kommando til at finde en bruger efter GeneratedUID:
dscl . -search /Users GeneratedUID <GUID>Du kan også bruge følgende kommando til at få vist brugernavne og GUID'er sammen:
sudo fdesetup list -extendedEjerskab bakkes op af kryptografi, som beskyttes i Secure Enclave. Du kan få flere oplysninger i:
Brug af kommandolinjeværktøjet
Der findes kommandolinjeværktøjer til administration af Bootstrap Token og sikkert token. Bootstrap Token genereres normalt på Mac og deponeres i MDM-løsningen under indstillingen af macOS, efter at MDM-løsningen har informeret Mac om, at den understøtter funktionen. Et Bootstrap Token kan imidlertid også blive genereret på en Mac, der allerede er blevet implementeret. I macOS 10.15.4 og nyere versioner genereres et Bootstrap Token, og det deponeres i MDM, første gang en bruger med sikkert token slået til logger ind, hvis MDM-løsningen understøtter funktionen. Det mindsker behovet for at bruge kommandolinjeværktøjet til profiler efter indstilling af enheden til at generere og deponere et Bootstrap Token i MDM-løsningen.
Kommandolinjeværktøjet profiles har en række parametre til håndtering af Bootstrap Token:
sudo profiles install -type bootstraptoken: Kommandoen genererer et nyt Bootstrap Token og deponerer det i MDM-løsningen. Kommandoen skal bruge oplysninger om en eksisterende SecureToken-administrator for at generere Bootstrap Token, og MDM-løsningen skal understøtte funktionen.sudo profiles remove -type bootstraptoken: Fjerner det eksisterende Bootstrap Token på Mac og i MDM-løsningen.sudo profiles status -type bootstraptoken: Viser, om MDM-løsningen understøtter Bootstrap Token-funktionen, og hvad status er for Bootstrap Token på Mac.sudo profiles validate -type bootstraptoken: Viser, om MDM-løsningen understøtter Bootstrap Token-funktionen, og hvad status er for Bootstrap Token på Mac.
Kommandolinjeværktøjet sysadminctl
Kommandolinjeværktøjet sysadminctl kan bruges til at ændre status for sikkert token til brugerkonti på en Mac-computer. Dette bør gøres med forsigtighed og kun, når det er absolut nødvendigt. Ændringer af en brugers status for sikkert token via sysadminctl kræver altid angivelse af brugernavn og adgangskode for en administrator med sikkert token slået til, enten interaktivt eller ved hjælp af de relevante flag i kommandoen. Både sysadminctl og Systemindstillinger (macOS 13 og nyere versioner) eller Systemindstillinger (System Preferences) (macOS 12.0.1 og tidligere versioner) forhindrer, at den sidste administrator eller bruger med sikkert token slået til på en Mac slettes. Hvis der skal oprettes flere lokale brugere ved hjælp af en instruks med sysadminctl, skal godkendelsesoplysningerne for en administrator med sikkert token slået til oplyses, enten interaktivt med en parameter eller direkte med flagene -adminUser og -adminPassword til sysadminctl. Ellers kan brugerne ikke få tildelt et sikkert token. Hvis en bruger ikke tildeles et sikkert token på oprettelsestidspunktet, tildeles en lokal bruger, der logger ind på en Mac-computer med macOS 11 eller en nyere version, et sikkert token, hvis et Bootstrap Token er tilgængeligt fra MDM-løsningen. Brug sysadminctl -h til at se instruktioner om brugen.