Biztonsági tokenek, bootstrap tokenek és kötet tulajdonlások használata üzembe helyezett eszközökön
Biztonsági token
A macOS 10.13 és újabb rendszerekben az Apple-fájlrendszerrel (APFS) megváltozik a FileVault titkosítási kulcsok létrehozásának módja. A CoreStorage-köteteken lévő régebbi macOS-verziókban a FileVault titkosítási folyamat közben használt kulcsok akkor lettek létrehozva, amikor a felhasználó vagy a szervezet bekapcsolta a FileVaultot a Macen. Az APFS-köteteken lévő macOS rendszerben a titkosítási kulcsok létrehozására a felhasználók létrehozása vagy az első felhasználói jelszó beállítása közben vagy a Mac egyik felhasználójának első bejelentkezésekor kerül sor. A titkosítási kulcsok ezen implementációja – a kulcsok létrehozásának ideje és a tárolásuk módja – a Biztonsági tokenként is ismert funkció részét képezi. A biztonsági token valójában egy kulcstitkosítási kulcs (KEK) körbefuttatott verziója, amelyet egy felhasználói jelszó véd.
Ha a FileVaultot egy APFS-re telepíti:
Továbbra is használhatja a meglévő eszközöket és folyamatokat, például a személyes helyreállítási kulcsot (PRK) egy mobileszköz-felügyeleti (MDM) megoldásban tárolhatja
Továbbra is létrehozhat és használhat intézményes helyreállítási kulcsot (IRK)
Továbbra is késleltetheti a FileVault engedélyezését arra az időre, amíg egy felhasználó bejelentkezik a Macre, vagy kijelentkezik onnan
A macOS 11 és újabb rendszerek alatt a legelső felhasználó kezdeti jelszavának Macen történő megadását követően a rendszer biztonsági tokent állít ki a felhasználó részére. Olyan munkafolyamatok esetén, amelyek a korábbiakhoz képest nem a megkívánt módon viselkednek, a rendszer felkérte volna a felhasználói fiókot a bejelentkezésre az első biztonsági token kiadásához. Ha nem szeretné, hogy ez megtörténjen, adja hozzá a ;DisabledTags;SecureToken elemet a felhasználó programozás szerint létrehozott AuthenticationAuthority attribútumához a felhasználó jelszavának beállítását megelőzően, az alábbi módon:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrap token
macOS 10.15 vagy újabb rendszer használata esetén a bootstrap token a meglévő felhasználói fiókok számára biztosított biztonsági tokenen kívül másra is használható. Az Apple-chippel rendelkező Maceken a bootstrap token – ha elérhető, és MDM-mel van felügyelve – a következőkre használható:
Felügyelet
MDM forgalmazói támogatás
Tételezzük fel, hogy az MDM-megoldás támogatja a bootstrap tokeneket. macOS 10.15.4 vagy újabb rendszer alatt ha egy biztonsági token által engedélyezett felhasználó első alkalommal jelentkezik be, a rendszer egy bootstrap tokent generál le és tárol el az MDM-ben. A bootstrap token igény szerint a profiles parancssori eszköz segítségével is létrehozható és zálogba adható az MDM-megoldásnak.
macOS 11 vagy újabb rendszer használata esetén a bootstrap token a meglévő felhasználói fiókok számára biztosított biztonsági tokenen kívül másra is használható. Az Apple-chippel rendelkező Maceken a bootstrap token – ha elérhető, és MDM-mel van kezelve – a következőkre használható:
Szoftverfrissítések telepítésének engedélyezésére.
A háttérben engedélyezhető egy Erase All Content and Settings (Összes tartalom és beállítás törlése) MDM-parancs (macOS 12.0.1 vagy újabb).
Új felhasználók létrehozása, amikor először jelentkeznek be a Platform SSO-val (macOS 13 vagy újabb).
Kötet tulajdonlás
Az Apple-chippel rendelkező Macekkel jelent meg a kötet tulajdonlás koncepciója. Szervezeti kontextusban a kötet tulajdonlás nem egyenlő a Mac tényleges jogi tulajdonjogával vagy felügyeleti láncával. Ehelyett, a kötet tulajdonlás nagyvonalakban úgy jellemezhető, mint a felhasználó aki a saját (további felhasználókkal együtt) használati célra történő konfiguráció által elsőként igényelte a Macet. Ahhoz, hogy módosíthassa a macOS adott verziójának rendszerindítási biztonsági irányelvét, engedélyezhesse a macOS szoftverfrissítések és -bővítések telepítését, kezdeményezhesse az Erase All Content and Settings (Összes tartalom, beállítás törlése) beállítást a Macen stb., kötettulajdonosnak kell lennie. A rendszerindítási biztonsági irányelv meghatározza azokat a korlátozásokat, amelyek mellett mely macOS verziók képesek elindítani a rendszert, illetve azt, hogy a harmadik felek kernel-bővítményei betölthetők és kezelhetők-e, illetve ez hogyan végezhető el.
A Macet a saját használati célból történő konfigurációval elsőként igénylő felhasználónak a rendszer egy biztonsági tokent állít ki az Apple-chippel rendelkező Macen, aminek köszönhetően kötettulajdonossá válik. Az elérhető és használatban lévő bootstrap token kötettulajdonossá válik, amelyet követően a biztonsági tokenek kibocsátásával kötettulajdonosi állapotot biztosít a további fiókok számára. Mivel mind a biztonsági tokent kapó első felhasználó, mind a bootstrap token is kötettulajdonossá válnak, illetve mivel a bootstrap token képes biztonsági tokeneket biztosítani további felhasználók számára (ebből adódóan kötettulajdonosi állapotot is), a kötettulajdonosi állapot nem egy olyan dolog, amely aktív kezelésre vagy manipulálásra szorul a szervezeteken belül. A biztonsági tokenek kezelésére és kiosztására vonatkozó korábbi szempontoknak általánosan igazodniuk kell a kötet tulajdonláshoz is.
Előfordulhat, hogy kötettulajdonos, de nem adminisztrátor, viszont egyes feladatok mindkettő elem tulajdonlását igénylik. Az indítási biztonsági beállítások módosításához például adminisztrátor és kötettulajdonosi jogok szükségesek, míg a szoftverfrissítések hitelesítése engedélyezett az általános jogú felhasználóknak és kizárólag tulajdonjogot igényel.
Az Apple-chippel rendelkező Mac kötettulajdonosait tartalmazó aktuális lista megtekintéséhez használhatja a következő parancsot:
sudo diskutil apfs listUsers /A „Local Open Directory User” típusú diskutil parancs kimenetben felsorolt GUID-ek az Open Directoryban található felhasználói rekordok GeneratedUID-attribútumaira mutatnak vissza. Felhasználók GeneratedUID alapján történő kereséséhez használja a következő parancsot:
dscl . -search /Users GeneratedUID <GUID>A következő paranccsal is megtekintheti a felhasználóneveket és a GUID-ket együtt:
sudo fdesetup list -extendedA tulajdonjog a Secure Enclave-ben kriptográfiailag védett támogatással rendelkezik. További információ:
Parancssoros eszközhasználat
A bootstrap token és a biztonsági token kezeléséhez parancssori eszközök állnak rendelkezésre. A bootstrap token általában a Macen generálódik, és zálogba kerül az MDM-megoldásba a macOS kezdeti beállítása során, miután az MDM-megoldás közli a Mackel, hogy támogatja a funkciót. A bootstrap token azonban a már telepített Macen is generálható. macOS 10.15.4 vagy újabb rendszer használata esetén a bootstrap token akkor van létrehozva és az MDM-megoldásnak zálogba adva, amikor első alkalommal jelentkezik be olyan felhasználó, akinél a biztonsági token engedélyezve van, amennyiben az MDM-megoldás támogatja ezt a funkciót. Ez csökkenti annak szükségességét, hogy a profiles parancssori eszközt kelljen használni az eszköz telepítése után a bootstrap token létrehozása és MDM-megoldásnak való zálogba adása érdekében.
A profiles parancssori eszköznek több lehetősége is van a bootstrap tokennel való kommunikációra:
sudo profiles install -type bootstraptoken: Ez a parancs új bootstrap tokent generál, és zálogba adja az MDM-megoldásnak. Ennél a parancsnál kötelező a meglévő biztonsági token adminisztrátori információ a bootstrap token kezdeti generálásához és az MDM-megoldásnak támogatnia kell a funkciót.sudo profiles remove -type bootstraptoken: Eltávolítja a Macen és az MDM-megoldásban meglévő bootstrap Tokent.sudo profiles status -type bootstraptoken: Visszajelzi, hogy az MDM-megoldás támogatja-e a bootstrap token funkciót, és mi a bootstrap token aktuális állapota a Macen.sudo profiles validate -type bootstraptoken: Visszajelzi, hogy az MDM-megoldás támogatja-e a bootstrap token funkciót, és mi a bootstrap token aktuális állapota a Macen.
A sysadminctl parancssori eszköz
A sysadminctl parancssori eszköz kifejezetten a Macen lévő felhasználói fiókok biztonsági token állapotának módosítására használható. Ezt azonban körültekintéssel kell elvégezni, és csak akkor, ha valóban szükség van rá. Ha egy felhasználó esetében a biztonsági token állapotát a sysadminctl használatával módosítja, mindig meg kell adni egy biztonsági tokennel rendelkező adminisztrátor felhasználónevét és jelszavát, igény szerint interaktív módon vagy a parancshoz tartozó megfelelő jelzéseken keresztül. A sysadminctl eszköz és a Rendszerbeállítások (macOS 13 vagy újabb rendszer) vagy a Rendszerbeállítások (macOS 12.0.1 vagy régebbi rendszer) egyaránt megakadályozzák a Macen lévő utolsó adminisztrátor vagy biztonsági tokennel rendelkező felhasználó törlését. Ha a további helyi felhasználók létrehozása szkriptelve van a sysadminctl használatával, akkor azok a felhasználók csak akkor kapják meg a biztonsági tokent, ha megadja egy aktuálisan biztonsági tokent használó adminisztrátor hitelesítő adatait akár interaktívan, akár közvetlenül a sysadminctl-adminUser és -adminPassword kapcsolóival. Ha a létrehozás időpontjában nem rendelkezik biztonsági tokennel, a macOS 11 vagy újabb rendszer egy biztonsági tokent biztosít a Macbe bejelentkező helyi felhasználó számára a bejelentkezés során, ha az MDM-megoldásban van elérhető bootstrap token. A használatra vonatkozó további útmutatásért használja a sysadminctl -h parancsot.