Gunakan token selamat, token bootstrap dan pemilikan volum dalam pengerahan
Token selamat
Sistem Fail Apple (APFS) dalam macOS 10.13 atau lebih baharu menukar cara kunci penyulitan FileVault dijanakan. Dalam versi sebelumnya macOS pada volum CoreStorage, kunci yang digunakan dalam proses penyulitan FileVault dicipta apabila pengguna atau organisasi mengaktifkan FileVault pada Mac. Dalam macOS pada volum APFS, kunci penyulitan dijanakan sama ada semasa penciptaan pengguna, mengeset kata laluan pengguna pertama, atau semasa log masuk pertama oleh pengguna Mac. Perlaksanaan kunci penyulitan ini, masa ia dijanakan dan cara ia disimpan adalah sebahagian daripada ciri yang dikenali sebagai Token Selamat. Secara khusus, token selamat ialah versi dibalut kunci penyulitan utama (KEK) yang dilindungi oleh kata laluan pengguna.
Apabila mengerahkan FileVault pada APFS, pengguna boleh terus:
Gunakan alat dan proses sedia ada, seperti kunci pemulihan peribadi (PRK) yang boleh disimpan dengan penyelesaian pengurusan peranti mudah alih (MDM) untuk dieskrow
Cipta dan gunakan kunci pemulihan institusi (IRK)
Tunda pendayaan FileVault sehingga pengguna log masuk atau keluar daripada Mac
Dalam macOS 11 atau lebih baharu, mengesetkan kata laluan asal untuk pengguna yang pertama sekali pada Mac menyebabkan pengguna tersebut diberikan token selamat. Dalam sesetengah aliran kerja, itu mungkin bukan kelakuan yang diingini, seperti sebelumnya, memberikan token selamat pertama memerlukan akaun pengguna untuk log masuk. Untuk menghalang ini daripada berlaku, tambah ;DisabledTags;SecureToken
kepada atribut AuthenticationAuthority
pengguna yang dicipta secara pengaturcaraan sebelum mengeset kata laluan pengguna, seperti ditunjukkan di bawah:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
Token bootstrap
Dalam macOS 10.15 atau lebih baharu, token bootstrap juga boleh digunakan untuk lebih daripada sekadar memberikan token selamat kepada akaun pengguna sedia ada. Pada komputer Mac dengan Apple silicon, token bootstrap—jika tersedia dan apabila diurus menggunakan MDM—boleh digunakan untuk:
Penyeliaan
Sokongan vendor MDM
Katakan penyelesaian MDM anda menyokong token bootstrap. Dalam macOS 10.15.4 atau lebih baharu, apabila pengguna yang mendayakan token selamat melog masuk buat kali pertama, token bootstrap dijanakan oleh Mac dan dieskrow ke MDM. Token bootstrap juga boleh dijana dan dieskrow ke MDM menggunakan alat perintah baris profiles
, jika diperlukan.
Dalam macOS 11 atau lebih baharu, token bootstrap juga boleh digunakan untuk lebih daripada sekadar memberikan token selamat kepada akaun pengguna sedia ada. Pada komputer Mac dengan Apple silicon, token bootstrap—jika tersedia dan apabila diurus menggunakan MDM—boleh digunakan untuk:
Benarkan pemasangan kemas kini perisian.
Benarkan perintah MDM Padam Semua Kandungan dan Seting secara senyap (macOS 12.0.1 atau lebih baharu).
Cipta pengguna baharu apabila mereka log masuk buat kali pertama dengan SSO Platform (macOS 13 atau lebih baharu).
Pemilikan volum
Komputer Mac dengan Apple silicon memperkenalkan konsep pemilikan volum. Pemilikan volum dalam konteks organisasi tidak terikat kepada pemilikan atau rantaian jagaan Mac yang sah secara undang-undang. Sebaliknya, pemilikan volum boleh ditakrifkan secara kurang tepat sebagai pengguna yang terlebih dahulu menuntut Mac untuk mengkonfigurasinya bagi kegunaan mereka, bersama-sama dengan sebarang pengguna tambahan. Anda mestilah pemilik volum untuk membuat perubahan pada dasar keselamatan permulaan bagi pemasangan khusus macOS, membenarkan pemasangan kemas kini dan naik taraf perisian macOS, memulakan Padam Semua Kandungan dan Seting pada Mac, serta banyak lagi. Dasar keselamatan permulaan mentakrifkan pengehadan di sekitar versi yang macOS boleh mengebut, serta cara dan jika sambungan kernel pihak ketiga boleh dimuatkan atau diurus.
Pengguna yang pertama menuntut Mac dengan mengkonfigurasikannya untuk kegunaan mereka diberikan token selamat pada Mac dengan Apple silicon dan menjadi pemilik volum pertama. Apabila token bootstrap tersedia dan digunakan, ia juga menjadi pemilik volum dan kemudian memberikan status pemilikan volum kepada akaun tambahan semasa ia memberikannya token selamat. Disebabkan kedua-dua pengguna pertama yang diberikan token selamat dan token bootstrap menjadi pemilik volum, serta keupayaan token bootstrap untuk memberikan token selamat kepada pengguna tambahan (serta status pemilikan volum juga), pemilikan volum bukanlah sesuatu yang perlu diurus atau dimanipulasikan secara aktif dalam organisasi. Pertimbangan untuk mengurus dan memberikan token selamat sebelumnya sepatutnya juga sejajar dengan status pemilikan volum.
Terdapat kemungkinan untuk pemilik volum tidak menjadi pentadbir, tetapi tugas tertentu memerlukan pengesahan pemilikan untuk kedua-duanya. Sebagai contoh, mengubah suai seting keselamatan permulaan memerlukan pengguna untuk menjadi kedua-dua pentadbir dan pemilik volum, sementara membenarkan kemas kini perisian dibenarkan oleh pengguna standard dan hanya memerlukan pemilikan.
Untuk melihat senarai semasa pemilik volum pada komputer Mac dengan Apple silicon, anda boleh menjalankan perintah berikut:
sudo diskutil apfs listUsers /
GUID yang disenaraikan dalam output perintah diskutil
jenis “Pengguna Open Directory Setempat”dipetakan kembali ke atribut GeneratedUID
rekod pengguna dalam Open Directory. Untuk mencari pengguna menerusi GeneratedUID
, gunakan perintah berikut:
dscl . -search /Users GeneratedUID <GUID>
Anda juga boleh menggunakan perintah berikut untuk melihat nama pengguna dan GUID bersama-sama:
sudo fdesetup list -extended
Pemilikan yang disandarkan menerusi kriptografi dilindungi dalam Secure Enclave. Untuk mendapatkan maklumat lanjut, lihat:
Penggunaan alat baris perintah
Alat baris perintah tersedia untuk mengurus token bootstrap dan token selamat. Token bootstrap biasanya dijanakan pada Mac dan dieskrow ke penyelesaian MDM semasa proses persediaan macOS selepas penyelesaian MDM memberitahu Mac bahawa ia menyokong ciri. Walau bagaimanapun, token bootstrap juga boleh dijanakan pada Mac yang telah dikerahkan. Dalam macOS 10.15.4 atau lebih baharu, token bootstrap dijana dan dieskrow ke MDM pada log masuk kali pertama oleh sebarang pengguna yang didayakan token selamat jika penyelesaian MDM menyokong ciri tersebut. Ini mengurangkan keperluan untuk menggunakan alat baris perintah profil selepas persediaan peranti untuk menjana dan eskrow token bootstrap ke penyelesaian MDM.
Alat baris perintah profiles
mempunyai beberapa pilihan untuk berinteraksi dengan token bootstrap:
sudo profiles install -type bootstraptoken
: Perintah ini menjana token bootstrap baharu dan eskrownya ke penyelesaian MDM. Perintah ini memerlukan maklumat pentadbir token selamat sedia ada untuk menjana token bootstrap pada mulanya dan penyelesaian MDM mesti menyokong ciri.sudo profiles remove -type bootstraptoken
: Keluarkan token bootstrap sedia ada pada Mac dan penyelesaian MDM.sudo profiles status -type bootstraptoken
: Lapor kembali sama ada penyelesaian MDM menyokong ciri token bootstrap dan keadaan semasa token bootstrap pada Mac.sudo profiles validate -type bootstraptoken
: Lapor kembali sama ada penyelesaian MDM menyokong ciri token bootstrap dan keadaan semasa token bootstrap pada Mac.
Alat baris perintah sysadminctl
Alat baris perintah sysadminctl
boleh digunakan secara khusus untuk mengubah suai status token selamat untuk akaun pengguna pada komputer Mac. Ini sepatutnya dilakukan dengan berhati-hati dan hanya apabila perlu. Menukar status token selamat pengguna menggunakan sysadminctl
sentiasa memerlukan nama pengguna dan kata laluan pentadbir didayakan token selamat sedia ada, sama ada secara interaktif atau menerusi bendera yang bersesuaian pada perintah. Kedua-dua sysadminctl
dan Seting Sistem (macOS 13 atau lebih baharu) atau Keutamaan Sistem (macOS 12.0.1 atau lebih awal) menghalang pemadaman pentadbir terakhir atau pengguna didayakan token selamat pada Mac. Jika penciptaan pengguna setempat tambahan diskripkan menggunakan sysadminctl
, untuk pengguna yang didayakan untuk token selamat, kelayakan pentadbir didayakan token selamat semasa diperlukan untuk dibekalkan sama ada menggunakan pilihan interaktif atau secara terus dengan bendera -adminUser
dan -adminPassword
dengan sysadminctl
. Jika tidak diberikan token selamat semasa penciptaan, dalam macOS 11 atau lebih baharu, pengguna setempat yang mengelog masuk ke komputer Mac diberikan token selamat semasa log masuk jika token bootstrap tersedia daripada penyelesaian MDM. Gunakan sysadminctl -h
untuk arahan penggunaan tambahan.