Verwalten von FileVault in macOS
Auf Geräten mit macOS können Unternehmen FileVault mit Secure Token oder Bootstrap Token verwalten.
Verwendung des Secure Token
Beim Apple File System (APFS) unter macOS 10.13 (oder neuer) ergibt sich eine Änderung hinsichtlich der Art und Weise, wie FileVault-Verschlüsselungsschlüssel generiert werden. Bei früheren Versionen von macOS auf CoreStorage-Volumes wurden die Schlüssel, die für den FileVault-Verschlüsselungsprozess verwendet wurden, zu dem Zeitpunkt erstellt, an dem die Benutzer:innen oder die Organisation FileVault auf einem Mac aktivierten. Bei Geräten mit macOS auf APFS-Volumes werden die Schlüssel entweder beim Erstellen der Benutzer:innen, beim Festlegen des Benutzerpassworts oder bei der erstmaligen Anmeldung einer Person am Mac erstellt. Diese Implementierung der Verschlüsselungsschlüssel, der Zeitpunkt ihrer Generierung und die Art ihrer Speicherung sind Bestandteil einer neuen Funktion, die „Secure Token“ oder „sicherer Token“ genannt wird. Genau genommen ist ein Secure Token die verpackte Version eines KEK (Key Encryption Key), die durch das Passwort der Benutzer:innen geschützt ist.
Bei der Bereitstellung von FileVault auf einem APFS-Volume können Benutzer:innen weiterhin:
vorhandene Werkzeuge und Prozesse verwenden, zum Beispiel das Hinterlegen eines persönlichen Wiederherstellungsschlüssels (PRK) in einem Gerätemanagementdienst
einen institutionellen Wiederherstellungsschlüssel (IRK, Institutional Recovery Key) erstellen und verwenden
die FileVault-Aktivierung bis zum An- oder Abmelden von Benutzer:innen am Mac verzögern
Bei macOS 11 bewirkt das Festlegen des Initialpassworts für die allererste Person auf einem Mac, dass diesem Benutzeraccount ein Secure Token zuerkannt wird. Für bestimmte Workflows und Prozesse ist dieses Verhalten möglicherweise nicht wünschenswert, da früher das Zuerkennen des ersten Secure Token voraussetzte, dass sich die Person mit ihrem Account anmeldet. Damit dies nicht geschieht, muss ;DisabledTags;SecureToken dem programmseits erstellten Attribut AuthenticationAuthority der Person hinzugefügt werden, bevor deren Passwort festgelegt wird. Dies kann wie folgt geschehen:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Verwendung des „Bootstrap Token“
macOS 10.15 führt den Bootstrap Token ein, der es ermöglicht, mobilen Accounts und zugleich dem bei der Geräteregistrierung optional erstellten Admin-Account („verwalteter Administrator“) einen Secure Token zuzuweisen. Die Verwendung der Bootstrap-Token-Funktion von macOS 10.15 (oder neuer) ist an die folgenden Bedingungen geknüpft:
Registrierung des Mac-Computers in einem Gerätemanagementdienst mit Apple School Manager oder Apple Business Manager, was den Mac zu einem betreuten Gerät macht
Entwicklersupport für Gerätemanagementdienste
Wenn der Gerätemanagementdienst diese Funktion unterstützt, wird in macOS 10.15.4 (oder neuer) ein Bootstrap Token bei der ersten Anmeldung aller für Secure Token aktivierten Benutzer:innen generiert und im Dienst hinterlegt. Sofern erforderlich, kann ein Bootstrap Token auch mit dem Befehlszeilenprogramm profiles generiert und in einem Gerätemanagementdienst hinterlegt werden.
In macOS 11 (oder neuer) kann ein Bootstrap Token:
dazu genutzt werden, allen Benutzer:innen, die sich an einem Mac-Computer anmelden – auch lokalen Benutzeraccounts –, einen Secure Token zuzuerkennen.
bei einem Mac mit Apple Chip dazu genutzt werden, Kernel-Erweiterungen und Softwareaktualisierungen zu autorisieren, wenn die Verwaltung mittels eines Gerätemanagementdienstes erfolgt.
Institutionelle und persönliche Wiederherstellungsschlüssel
FileVault unterstützt sowohl auf CoreStorage- als auch auf APFS-Volumes die Verwendung eines institutionellen Wiederherstellungsschlüssels (Institutional Recovery Key, kurz IRK; vorher als FileVault Master-Identität bezeichnet) zum Entsperren des Volumes. Ein IRK ist für Befehlszeilenaktionen zum Entsperren eines Volumes oder zum vollständigen Deaktivieren von FileVault nützlich, sein Nutzen für Organisationen ist dagegen beschränkt, insbesondere in neueren Versionen von macOS. Auf einem Mac mit Apple Chips bieten IRKs aus den folgenden zwei Gründen keinen funktionalen Wert: IRKs können nicht für den Zugriff auf recoveryOS verwendet werden. Außerdem kann das Volume nicht mehr durch Verbinden mit einem anderen Mac entsperrt werden, da der Festplattenmodus nicht mehr unterstützt wird.
Wichtig: Aus diesen und weiteren Gründen wird die Nutzung eines IRK für die institutionelle Verwaltung von FileVault auf Mac-Computern nicht mehr empfohlen. Stattdessen sollte ein persönlicher Wiederherstellungsschlüssel (Personal Recovery Key, PRK) verwendet werden.
FileVault mit SSH entsperren
Auf einem Mac mit Apple Chip mit macOS 26 (oder neuer) kann FileVault über SSH nach einem Neustart entsperrt werden, wenn „Entfernte Anmeldung“ aktiviert ist und eine Netzwerkverbindung verfügbar ist.