在 macOS 中管理檔案保險箱
在 macOS 中,機構可以使用 SecureToken 或「Bootstrap 代號」來管理「檔案保險箱」。
使用安全代號
macOS 10.13 或較新版本中的「Apple 檔案系統」(APFS)更改了產生「檔案保險箱」加密密鑰的方式。在舊版 macOS 的 CoreStorage 卷宗上,「檔案保險箱」加密程序中使用的密鑰,是在用户或機構於 Mac 上啟用「檔案保險箱」時所製作。在 APFS 卷宗上的 macOS 中,密鑰則是在建立用户期間、設定第一位用户的密碼或 Mac 用户的首次登入期間產生的。這種加密密鑰實行方式、產生時間,以及儲存方式皆為「安全代號」的功能之一部份。具體來説,安全代號是封裝版本的密鑰加密密鑰(KEK),受用户的密碼保護。
在 APFS 上部署「檔案保險箱」時,用户可繼續:
使用現有工具和程序,例如可以流動裝置管理(MDM)解決方案儲存的個人還原密鑰(PRK)進行託管
延遲啟用「檔案保險箱」,直至用户登入或登出 Mac
建立和使用機構還原密鑰(IRK)
在 macOS 11 中,為 Mac 上的第一位用户設定初始密碼會讓該用户取得安全代號。在某些工作流程中,這可能不是你期望的行為,就像以前一樣,授予第一個安全代號應當需要登入用户帳户。為了避免此情況發生,請在設定用户的密碼前,先將 ;DisabledTags;SecureToken 加入程式所建立的用户 AuthenticationAuthority 屬性中。
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"使用 Bootstrap 代號
macOS 10.15 引入了新功能「Bootstrap 代號」,以協助將安全代號授予流動帳户和透過註冊建立的選擇性裝置管理員帳户(「受管理的管理員」)。在 macOS 11 中,Bootstrap 代號可以向登入到 Mac 電腦的任何用户(包括本機用户帳户)授予安全代號。使用 macOS 10.15 或更新版本的「Bootstrap 代號」功能有以下要求:
使用 Apple School Manager 或 Apple Business Manager 在 MDM 中註冊 Mac,這樣會讓 Mac 受監管
MDM 廠商支援
如果 MDM 解決方案支援此功能,在 macOS 10.15.4 或較新版本中,任何已啟用安全代號的用户初次登入時,系統會產生 Bootstrap 代號並交由 MDM 託管。如有需要,也可使用 profiles 命令列工具來產生 Bootstrap 代號並交由 MDM 託管。
在 macOS 11 中,Bootstrap 代號除了用來將安全代號授予用户帳户外還有其他用途。在配備 Apple 晶片的 Mac 上,如果使用 MDM 進行管理,則 Bootstrap 代號(如果可用)可用來授權安裝核心延伸功能和軟件更新項目。
機構與個人還原密鑰的對比
CoreStorage 和 APFS 卷宗上的「檔案保險箱」支援使用機構還原密鑰(IRK,之前被稱為「檔案保險箱」主身份)來解鎖卷宗。雖然 IRK 對於解鎖卷宗或一併關閉「檔案保險箱」的命令列很有用,它對機構的效能有限,特別是在近期的 macOS 版本。而在配備 Apple 晶片的 Mac 上,IRK 因為兩個主要原因而無法提供功能價值:首先,IRK 無法用於取用 RecoveryOS;第二,因為已不再支援目標磁碟模式,所以無法透過將卷宗連接到其他 Mac 來進行解鎖。因為上述和其他原因,不建議再將 IRK 用於對 Mac 電腦上的「檔案保險箱」進行機構式管理。建議改為使用個人還原密鑰(PRK)。