Gerenciamento do FileVault no macOS
No macOS, organizações podem usar um SecureToken ou Bootstrap Token para gerenciar o FileVault.
Uso do Secure Token
O Apple File System (APFS) no macOS 10.13 ou posterior altera a forma como as chaves de criptografia do FileVault são geradas. Nas versões anteriores do macOS em volumes CoreStorage, as chaves usadas no processo de criptografia do FileVault eram criadas quando um usuário ou organização ativava o FileVault em um Mac. No macOS em volumes APFS, as chaves são geradas durante a criação do usuário, definindo a primeira senha do usuário, ou durante o primeiro início de sessão realizado por um usuário do Mac. Essa implementação das chaves de criptografia, o momento em que são geradas e a forma como são armazenadas fazem parte de um recurso conhecido como Secure Token. Especificamente, um secure token é uma versão embalada de uma chave de criptografia de chaves (KEK) protegida pela senha do usuário.
Ao implantar o FileVault no APFS, o usuário pode continuar a:
Usar as ferramentas e processos existentes, como uma chave de recuperação pessoal (PRK) que pode ser armazenada em uma solução de gerenciamento de dispositivos móveis (MDM) para guarda
Adiar a ativação do FileVault até que um usuário inicie ou encerre uma sessão no Mac
Criar e usar uma chave de recuperação institucional (IRK)
No macOS 11, a definição da senha inicial do primeiro usuário do Mac resulta na concessão de um secure token a esse usuário. Em alguns fluxos de trabalho, esse pode não ser o comportamento desejado, já que, como visto, seria necessário o início de sessão na conta do usuário para que o primeiro secure token fosse concedido. Para impedir que isso aconteça, adicione ;DisabledTags;SecureToken ao atributo AuthenticationAuthority do usuário criado programaticamente antes de definir a senha do usuário, conforme mostrado abaixo:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Uso do Bootstrap Token
O macOS 10.15 apresentou um novo recurso, o Bootstrap Token, para ajudar na concessão de um secure token tanto para contas móveis quanto para a conta opcional de administrador criada no registro do dispositivo (“administrador gerenciado”). No macOS 11, um bootstrap token pode conceder um secure token a qualquer usuário que inicie a sessão em um computador Mac, incluindo contas de usuário locais. O uso do recurso de Bootstrap Token do macOS 10.15 ou posterior requer:
Registro do Mac no MDM via Apple School Manager ou Apple Business Manager, o que torna o Mac supervisionado
Suporte do fornecedor do MDM
No macOS 10.15.4 ou posterior, um bootstrap token é gerado e guardado no MDM quando qualquer usuário que tenha um Secure Token ativado inicia a sessão pela primeira vez, caso a solução MDM seja compatível com o recurso. Um bootstrap token também pode ser gerado e guardado no MDM ao usar a ferramenta de linha de comando profiles, se necessário.
No macOS 11, um bootstrap token também pode ser usado para coisas além da concessão do secure token a contas de usuário. Em um Mac com Apple Silicon, um bootstrap token, se disponível, pode ser usado para autorizar a instalação de extensões do kernel e de atualizações de software quando gerenciado por um MDM.
Chaves de recuperação pessoais em comparação com as institucionais
O FileVault nos volumes CoreStorage e APFS é compatível com o uso de uma chave de recuperação institucional (IRK, anteriormente conhecida como uma identidade Mestre do FileVault) para desbloquear o volume. Apesar da IRK ser útil em operações de linha de comando para desbloquear um volume ou desativar o FileVault, sua utilidade para as organizações é limitada, especialmente em versões recentes do macOS. Em um Mac com Apple Silicon, as IRKs não oferecem valor funcional por duas razões principais: primeiramente, as IRKs não podem ser usadas para acessar o recoveryOS. Em segundo lugar, como o modo disco de destino não é mais compatível, o volume não pode ser desbloqueado pela conexão a outro Mac. Por essas e outras razões, o uso de IRKs não é mais recomendado para gerenciamento institucional do FileVault em computadores Mac. Em vez disso, uma chave reserva pessoal (PRK) deve ser usada.