Usar token seguro, token bootstrap e propriedade de volume em implementações
token seguro
O APFS (Apple File System) no macOS 10.13 ou posterior altera a forma como as chaves de cifragem do FileVault são geradas. Em versões anteriores do macOS em volumes CoreStorage, as chaves usadas no processo de cifragem do FileVault eram criadas quando um utilizador ou organização ativava o FileVault num Mac. No macOS em volumes APFS, as chaves de cifragem são geradas durante a criação do utilizador, a definição da primeira palavra‑passe do utilizador ou o primeiro início de sessão por um utilizador do Mac. Esta implementação das chaves de cifragem, quando são geradas e como são armazenadas fazem parte de uma funcionalidade conhecida como token seguro. Mais especificamente, um token seguro é uma versão ajustada de uma chave de cifragem de chaves (KEK) protegida pela palavra-passe do utilizador.
Se ativar o FileVault no APFS, o utilizador pode continuar a:
usar as ferramentas e processos existentes, como o depósito de chaves de recuperação pessoal (PRK) que podem ser armazenadas com uma solução de gestão de dispositivos móveis (MDM);
criar e usar uma chave de recuperação institucional (IRK);
diferir a ativação do FileVault até um utilizador iniciar ou terminar a sessão no Mac.
No macOS 11 ou posterior, a definição da palavra-passe inicial para o primeiro utilizador no Mac resulta na atribuição de um token seguro ao utilizador. Em alguns fluxos de trabalho, esse pode não ser o comportamento desejado, como antigamente, em que a concessão do primeiro token seguro exigiria o início de sessão na conta de utilizador. Para impedir que isto aconteça, adicione ;DisabledTags;SecureToken ao atributo AuthenticationAuthority do utilizador criado programaticamente antes de definir a palavra-passe do utilizador, conforme mostrados abaixo:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Token bootstrap
No macOS 11 ou posterior, o token bootstrap também pode ser utilizado para mais do que apenas conceder tokens seguros a contas de utilizador existentes. Num computador Mac com Apple Silicon, o token bootstrap (se estiver disponível e quando gerido com MDM) pode ser utilizado para:
supervisão;
suporte do fornecedor de MDM.
Pressuponha que a solução MDM suporta tokens bootstrap. No macOS 10.15.4 ou posterior, quando um utilizador que esteja ativado para token seguro iniciar sessão pela primeira vez, é gerado um bootstrap token e depositado na MDM. Se for necessário, pode também ser gerado um token bootstrap e depositado na MDM usando a ferramenta de linha de comandos profiles.
No macOS 11 ou posterior, o token bootstrap também pode ser utilizado para mais do que apenas conceder tokens seguros a contas de utilizador existentes. Num computador Mac com Apple Silicon, o token bootstrap (se estiver disponível e quando gerido com MDM) pode ser utilizado para:
autorizar a instalação de atualizações de software;
autorizar silenciosamente um comando "Erase All Content and Settings" (Apagar todo o conteúdo e definições) (macOS 12.0.1 ou posterior);
criar novos utilizadores quando iniciam sessão pela primeira vez com o início de sessão único na plataforma (macOS 13 ou posterior).
Propriedade de volume
Os computadores Mac com Apple Silicon introduzem o conceito de propriedade de volume. A propriedade do volume num contexto organizacional não está vinculada à verdadeira propriedade legal ou cadeia de custódia do Mac. Ao invés, a propriedade do volume pode ser vagamente definida como o utilizador que primeiro reivindicou um Mac configurando-o para a sua própria utilização, juntamente com quaisquer utilizadores adicionais. É necessário ser proprietário de volume para efetuar alterações à política de segurança de arranque para uma instalação específica do macOS, autorizar a instalação de atualizações de software do macOS, iniciar um comando “Erase All Content and Settings” (Apagar todo o conteúdo e definições) no Mac, etc. A política de segurança de arranque define as restrições à volta das quais as versões do macOS podem ser reiniciadas, assim como a forma e se as extensões kernel de terceiros podem ser carregadas ou geridas.
Ao utilizador que primeiro reivindicar um Mac mediante a sua configuração para utilização pessoal é concedido um token seguro num Mac com Apple Silicon e torna-se o primeiro proprietário do volume. Quando um token bootstrap está disponível e em utilização, também se torna proprietário de volume e concede o estatuto de propriedade de volume a contas adicionais à medida que lhes concede tokens seguros. Visto que tanto o primeiro utilizador a receber um token seguro como o token bootstrap se tornam proprietários do volume, assim como a capacidade do token bootstrap para conceder tokens seguros a utilizadores adicionais (e, assim, o estatuto de propriedade do volume), a propriedade do volume não deve ser algo que necessita de ser gerida ou manipulada ativamente numa organização. As considerações anteriores para gerir e conceder os tokens seguros devem estar geralmente alinhadas também com o estado de propriedade do volume.
É possível que um proprietário de volume seja um administrador, mas determinadas tarefas requerem a verificação de propriedade de ambos. Por exemplo, para alterar as definições de segurança de arranque é necessário ser administrador e proprietário de volume, enquanto que, para autorizar atualizações de software, basta ser um utilizador normal e ter propriedade.
Para ver a lista atual de proprietários de volume num computador com Apple Silicon, pode executar o seguinte comando:
sudo diskutil apfs listUsers /Os GUID listados na saída de comando diskutil de tipo “Local Open Directory User” mapeiam de volta para atributos GeneratedUID de registos de utilizador noOpen Directory. Para encontrar um utilizador por GeneratedUID, use o seguinte comando:
dscl . -search /Users GeneratedUID <GUID>Também pode usar o seguinte comando para ver os nomes de utilizador e GUID em conjunto:
sudo fdesetup list -extendedA propriedade é suportada por criptografia protegida no Secure Enclave. Encontrará mais informações em:
Utilização da ferramentas da linha de comandos
Estão disponíveis ferramentas da linha de comandos para a gestão de token bootstrap e token seguro. O token boostrap é normalmente gerado no Mac e depositado na solução MDM durante o processo de configuração do macOS, após a solução MDM informar o Mac de que suporta a funcionalidade. No entanto, também é possível gerar um bootstrap token num Mac que já tenha sido implementado. No macOS 10.15.4 ou posterior, é gerado um bootstrap token e depositado na MDM no primeiro início de sessão por qualquer utilizador que esteja ativado para token seguro se a solução MDM suportar a funcionalidade. Isso reduz a necessidade de usar ferramenta de linha de comandos profiles após a configuração do dispositivo para gerar e depositar um bootstrap token na solução MDM.
A ferramenta da linha de comandos profiles tem diversas opções para interagir com o bootstrap token:
sudo profiles install -type bootstraptoken: este comando gera um novo bootstrap token e deposita‑o na solução MDM. Este comando requer informação do administrador com secure token existente para gerar o bootstrap token e a solução MDM tem de suportar a funcionalidade.sudo profiles remove -type bootstraptoken: remove o bootstrap token existente no Mac e na solução MDM.sudo profiles status -type bootstraptoken: comunica se a solução MDM suporta a funcionalidade de bootstrap token e o estado atual do bootstrap token no Mac.sudo profiles validate -type bootstraptoken: comunica se a solução MDM suporta a funcionalidade de bootstrap token e o estado atual do bootstrap token no Mac.
Ferramenta da linha de comandos sysadminctl
A ferramenta da linha de comandos sysadminctl pode ser usada especificamente para modificar o estado de token seguro para contas de utilizador num computador Mac. Esta operação deve ser efetuada com cuidado e apenas quando for necessária. Para alterar o estado de token seguro de um utilizador através de sysadminctl é sempre necessário o nome de utilizador e a palavra‑passe de um administrador ativado para token seguro, quer interativamente ou através dos marcadores adequados no comando. Tanto sysadminctl e as Definições do Sistema (macOS 13 ou posterior) ou Preferências do Sistema (macOS 12.0.1 ou anterior) impedem o apagamento do último administrador e/ou utilizador ativado para token seguro num Mac. Se a criação de utilizadores locais for efetuada através de um script com sysadminctl, para esses utilizadores serem ativados para token seguro, é necessário fornecer as credenciais do administrador atualmente ativado para token seguro, quer através da opção interativa ou diretamente com os marcadores -adminUser e -adminPassword com sysadminctl. Se não receber um token seguro durante a criação, no macOS 11 ou posterior, um utilizador local que inicie sessão num computador Mac recebe um token seguro durante o início de sessão se estiver disponível um token bootstrap na solução MDM. Use sysadminctl -h para obter instruções de utilização adicionais.