Administration af FileVault i macOS
På enheder med macOS kan organisationer administrere FileVault ved hjælp af Secure Token eller Bootstrap Token.
Brug af Sikkert token
APFS (Apple File System) i macOS 10.13 og nyere versioner ændrer den måde FileVault-krypteringsnøgler genereres på. I tidligere versioner af macOS på CoreStorage-enheder blev de nøgler, der blev brugt i FileVault-krypteringsprocessen, oprettet, når en bruger eller en organisation slog FileVault til på en Mac. På enheder med macOS på APFS-enheder genereres nøglerne enten under brugeroprettelse, indstilling af den første brugers adgangskode eller første gang, en bruger logger ind på Mac. Denne implementering af krypteringsnøglerne, tidspunktet for genereringen og måden, de opbevares på, er en del af en funktion, der kaldes Secure Token (sikkert token). Helt specifikt er et sikkert token en indpakket version af en KEK (Key Encryption Key), der beskyttes af en brugers adgangskode.
Ved implementering af FileVault på APFS kan brugeren fortsætte med at:
bruge eksisterende værktøjer og processer, f.eks. en personlig gendannelsesnøgle (PRK – Personal Recovery Key), der kan deponeres i en tjeneste til enhedsadministration
udskyde aktiveringen af FileVault, indtil en bruger logger ind eller ud af Mac
oprette og bruge en gendannelsesnøgle fra organisationen (IRK – Institutional Recovery Key).
Når den første adgangskode indstilles til den første bruger på Mac med macOS 11, får brugeren tildelt et sikkert token. I nogle arbejdsgange er denne funktionsmåde måske uønsket, da tildeling af det første sikre token tidligere ville have krævet, at brugeren skulle logge ind. Funktionsmåden kan forhindres, ved at ;DisabledTags;SecureToken føjes til den programmæssigt oprettede brugers AuthenticationAuthority-attribut, inden brugerens adgangskode indstilles, som vist herunder:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Brug af Bootstrap Token
I macOS 10.15 blev Bootstrap Token lanceret. Den hjælper med at tildele et sikkert token til både mobile konti og den valgfri administratorkonto oprettet under enhedstilmelding (“administreret administrator”). Brug af Bootstrap Token-funktionen i macOS 10.15 og nyere versioner kræver:
Tilmelding af Mac i en tjeneste til enhedsadministration via Apple School Manager eller Apple Business Manager, hvilket sætter Mac under tilsyn
Udviklerunderstøttelse af tjeneste til enhedsadministration
I macOS 10.15.4 og nyere versioner genereres et Bootstrap Token, og det deponeres i en tjeneste til enhedsadministration, første gang en bruger med sikkert token slået til logger ind, hvis tjenesten til enhedsadministration understøtter funktionen. Ved behov er det også muligt at generere et Bootstrap Token og deponere det i en tjeneste til enhedsadministration ved hjælp af kommandolinjeværktøjet profiles.
I macOS 11 og nyere versioner kan et Bootstrap Token:
Tildele et sikkert token til enhver bruger, der logger ind på en Mac-computer, herunder lokale brugerkonti.
På en Mac med Apple Silicon kan et Bootstrap Token bruges til at godkende installeringen af kerneudvidelser og softwareopdateringer, hvis de administreres med en tjeneste til enhedsadministration.
Organisationens gendannelsesnøgler overfor personlige gendannelsesnøgler
FileVault på både CoreStorage- og APFS-enheder understøtter brug af en organisations gendannelsesnøgle (IRK – tidligere kaldet en FileVault Master-identitet) til at låse enheden op. Selvom en IRK er nyttig til kommandolinjehandlinger til at låse en enhed op eller slå FileVault helt fra, er dens anvendelighed begrænset for organisationer, især i de nyeste versioner af macOS. På en Mac med Apple Silicon har IRK‘er ingen funktionel værdi af to primære årsager: IRK‘er kan ikke bruges til at få adgang til macOS-gendannelse, og enheden kan ikke låses op ved at forbinde den til en anden Mac, da funktionen Computer som ekstern harddisk ikke længere understøttes.
Vigtigt: Af blandt andet disse grunde anbefales det ikke længere at bruge en IRK i organisationer til administration af FileVault på Mac-computere. Der bør i stedet bruges en personlig gendannelsesnøgle (PRK – Personal Recovery Key).
Lås FileVault op med SSH
På en Mac med Apple Silicon med macOS 26 og nyere versioner kan FileVault låses op via SSH efter en genstart, hvis Ekstern login er slået til, og en netværksforbindelse er tilgængelig.