Управление FileVault в macOS
macOS позволяет организациям управлять FileVault с помощью безопасного токена или токена инициализации.
Использование безопасного токена
В файловой системе Apple (APFS) в macOS 10.13 и новее используется новый способ генерирования ключей шифрования FileVault. В предыдущих версиях macOS в томах CoreStorage создание ключей, используемых в процессе шифрования FileVault, происходило, когда пользователь или организация включали FileVault на Mac. В macOS в томах APFS ключи генерируются либо во время создания пользователя (при задании пароля первого пользователя), либо во время первого входа пользователя в систему Mac. Такая реализация ключей шифрования, время их создания и способ хранения составляют часть функции, называемой безопасный токен. Если говорить конкретнее, безопасный токен является версией ключа шифрования ключа (KEK), защищенной с помощью пароля пользователя.
При развертывании FileVault в APFS пользователь сохраняет следующие возможности:
использование существующих инструментов и процессов, таких как личный ключ восстановления (PRK), который может быть сохранен в системе управления мобильными устройствами (MDM);
перенос включения FileVault на момент входа пользователя в систему или выхода из системы Mac;
создание и использование корпоративного ключа восстановления (IRK).
В macOS 11 при задании первоначального пароля первого пользователя на компьютере Mac этому пользователю предоставляется безопасный токен. В некоторых сценариях это может быть нежелательным, так как ранее для предоставления безопасного токена требовалось бы войти в учетную запись пользователя. Чтобы исключить это, добавьте параметр ;DisabledTags;SecureToken в атрибут AuthenticationAuthority пользователя, прежде чем задавать пароль пользователя, как показано ниже.
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Использование токена инициализации
В macOS 10.15 представлена новая функция — токен инициализации. Она помогает предоставлять безопасные токены как для мобильных учетных записей, так и для дополнительной учетной записи администратора, созданной при регистрации устройства («управляемый администратор»). В macOS 11 с помощью токена инициализации можно предоставить безопасный токен любому пользователю, который выполняет вход в систему на Mac, в том числе учетным записям локальных пользователей. Для использования функции токена инициализации в macOS 10.15 или новее необходимо следующее:
регистрация Mac в MDM через Apple School Manager или Apple Business Manager, в результате чего компьютер Mac становится контролируемым;
поддержка этой функции системой MDM.
В macOS 10.15.4 или новее сгенерированный токен инициализации передается в систему MDM во время первого входа любого пользователя, чей безопасный токен включен (если система MDM поддерживает эту функцию). Токен инициализации также может быть сгенерирован и передан для хранения в систему MDM с использованием инструмента командной строки profiles, если необходимо.
В macOS 11 токен инициализации также можно использовать не только для предоставления безопасного токена учетным записям пользователей. На компьютере Mac с чипом Apple токен инициализации, если он имеется, можно использовать для авторизации установки как расширений ядра, так и обновлений программного обеспечения с помощью MDM.
Сравнение корпоративных и личных ключей восстановления
Для разблокировки томов CoreStorage и APFS FileVault поддерживает использование корпоративного ключа восстановления — IRK (ранее известного под названием идентификатора FileVault Master). С помощью ключа IRK удобно разблокировать том или полностью выключить FileVault посредством командной строки, но полезность этого ключа для организаций ограничена, особенно в новейших версиях macOS. На Mac с чипом Apple ключи IRK не имеют никакой функциональной ценности по двум причинам. Во‑первых, с помощью ключей IRK нельзя получить доступ к recoveryOS. Во‑вторых, режим внешнего диска более не поддерживается, поэтому теперь невозможно разблокировать том, подключив его к другому Mac. Вследствие этих и других причин использование ключей IRK для корпоративного управления FileVault на компьютерах Mac более не рекомендуется. Вместо этого следует использовать личный ключ восстановления (PRK).