Gestión de FileVault en macOS
En dispositivos con macOS, las organizaciones pueden gestionar FileVault mediante SecureToken o el identificador Bootstrap.
Usar el identificador seguro
El sistema de archivos de Apple (APFS) en macOS 10.13 o posterior cambia el modo en que FileVault genera las claves de encriptación. En los volúmenes CoreStorage de las versiones anteriores de macOS, las claves utilizadas en el proceso de encriptación de FileVault se creaban cuando un usuario o una organización activaba FileVault en un Mac. En dispositivos con volúmenes APFS de macOS, las claves se generan durante la creación del usuario, al definir la primera contraseña del usuario o durante la primera vez que un usuario inicia sesión en el Mac. Esta implementación de las claves de encriptación, cuándo se generan y cómo se almacenan, forman parte de una característica llamada identificador seguro. En concreto, un identificador seguro es una versión encapsulada de una clave de encriptación de claves (KEK) protegida por la contraseña de un usuario.
Al implementar FileVault en APFS, el usuario puede seguir haciendo lo siguiente:
Usar los procesos y las herramientas existentes, como una clave de recuperación personal (PRK) que se puede almacenar con un servicio de gestión de dispositivos para custodia.
Posponer la activación de FileVault hasta que un usuario inicia o cierra la sesión del Mac.
Crear y usar una clave de recuperación a nivel de la institución (IRK).
En macOS 11, al definir la primera contraseña del primer usuario en el Mac, se le asigna un identificador seguro a ese usuario. En algunos flujos de trabajo, es posible que este no sea el comportamiento deseado, ya que, anteriormente, la asignación del primer identificador seguro hubiera requerido el inicio de sesión con la cuenta de usuario. Para impedir que esto ocurra, añade ;DisabledTags;SecureToken al atributo AuthenticationAuthority del usuario creado mediante programación antes de definir la contraseña del usuario, tal y como se muestra a continuación:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Usar el identificador Bootstrap
macOS 10.15 ha introducido el identificador Bootstrap, para ayudar a otorgar un identificador seguro a las cuentas móviles y a la cuenta opcional de administrador del dispositivo creada por el programa de inscripción (“administrador gestionado”). El uso de la función de identificador Bootstrap de macOS 10.15 o posterior requiere:
Inscripción del Mac en un servicio de gestión de dispositivos usando Apple School Manager o Apple Business Manager, que hace que el Mac esté supervisado.
Soporte para desarrolladores del servicio de gestión de dispositivos
En macOS 10.15.4 o versiones posteriores, se genera un identificador Bootstrap que estará custodiado por el servicio de gestión de dispositivos al iniciar sesión por primera vez por parte de cualquier usuario que tenga activado el identificador seguro, si el servicio de gestión de dispositivos es compatible con esta función. En caso necesario, también se podría generar un identificador Bootstrap que estuviera custodiado por un servicio de gestión de dispositivos mediante la herramienta de línea de comandos profiles.
En macOS 11 o posterior, un identificador Bootstrap:
puede otorgar un identificador seguro a cualquier usuario que inicie sesión en un ordenador Mac, incluidas cuentas de usuarios locales;
en un Mac con chip de Apple, se puede usar un identificador Bootstrap para autorizar la instalación tanto de extensiones del kernel como de actualizaciones de software si los ordenadores están gestionados con un servicio de gestión de dispositivos.
Claves de recuperación institucionales frente a personales
Tanto en volúmenes CoreStorage como APFS, FileVault admite el uso de una clave de recuperación institucional (IRK, antes conocida como identidad maestra de FileVault) para desbloquear el volumen. Aunque las IRK son útiles en operaciones de línea de comandos para desbloquear un volumen o desactivar FileVault, su utilidad es limitada para las organizaciones, especialmente en las versiones más recientes de macOS. Y en un ordenador Mac con chip de Apple, las IRK no aportan ningún valor funcional por dos motivos principalmente: Las IRK no se pueden utilizar para acceder al OS de recuperación y, como ya se admite el modo de disco de destino, el volumen no se puede conectar a otro Mac para desbloquearlo.
Importante: Por estos motivos, entre otros, no se recomienda el uso de una IRK en la gestión institucional de FileVault en ordenadores Mac. En su lugar, se debe usar una clave de recuperación personal (PRK).
Desbloquear FileVault mediante SSH
En un Mac con chip de Apple con macOS 26 o posterior, FileVault se puede desbloquear a través de SSH después de un reinicio cuando la opción “Sesión remota” está activada y hay una conexión de red disponible.