Gestire FileVault in macOS
Sui dispositivi con macOS, le organizzazione possono gestire FileVault tramite SecureToken o token Bootstrap.
Utilizzare SecureToken
Apple File System (APFS) in macOS 10.13 o versione successiva modifica il modo in cui vengono generate le chiavi di codifica di FileVault. Nelle versioni precedenti di macOS sui volumi CoreStorage, le chiavi usate nel processo di codifica di FileVault venivano create quando un utente o un’organizzazione attivava FileVault su un Mac. Sui dispositivi con macOS sui volumi APFS, le chiavi vengono generate durante la creazione dell’utente, durante l’impostazione della prima password utente o durante il primo login di un utente del Mac. Questa implementazione delle chiavi di codifica, il momento in cui vengono generate e il modo in cui vengono archiviate fanno parte di una funzionalità chiamata Secure Token. In particolare, un token Secure è una versione cifrata di una KEK (Key Encryption Key) protetta da una password utente.
Durante il deployment di FileVault sull’APFS, l’utente può continuare a:
Usare i processi e gli strumenti esistenti, come l’escrow di una chiave di recupero personale (PRK) su un servizio di gestione dei dispositivi.
Ritardare l’abilitazione di FileVault fino al login o logout di un utente sul Mac.
Creare e usare una chiave di recupero istituzionale (IRK).
In macOS 11, quando si imposta la password iniziale per il primo utente del Mac, a tale utente viene fornito un token Secure. In alcune situazioni, tale comportamento potrebbe non essere desiderato, poiché in precedenza, per fornire il primo token Secure, era necessario accedere all’account utente. Per impedirlo, aggiungi ;DisabledTags;SecureToken all’attributo utente creato in automatico AuthenticationAuthority prima di impostare la password, come mostrato di seguito.
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Utilizzare il token Bootstrap
macOS 10.15 ha introdotto il token Bootstrap, per contribuire a dare un token Secure sia agli account mobili che all’account facoltativo di amministratore creato durante la registrazione del dispositivo (“amministratore gestito”). L’uso della funzionalità del token Bootstrap di macOS 10.15 o versioni successive richiede:
Registrazione del Mac in un servizio di gestione dei dispositivi Apple School Manager o Apple Business Manager, operazione che rende il Mac supervisionato.
Supporto per lo sviluppo del servizio di gestione dei dispositivi.
In macOS 10.15.4 o versioni successive, un token Bootstrap viene generato e viene depositato presso un servizio di gestione dei dispositivi al primo accesso da parte di qualsiasi utente abilitato all’utilizzo del token Secure, se il servizio di gestione dei dispositivi supporta tale funzionalità. Un token Bootstrap può essere generato e depositato presso il servizio di gestione dei dispositivi anche utilizzando lo strumento a riga di comando profiles, se necessario.
In macOS 11 o versioni successive, il token Bootstrap:
Può fornire un token Secure a qualsiasi utente che accede a un Mac, inclusi gli account utente locali.
Sui Mac dotati di chip Apple, un token Bootstrap può essere usato per autorizzare l’installazione delle estensioni del kernel e degli aggiornamenti software quando sono gestiti tramite un servizio di gestione dei dispositivi.
Chiavi di recupero istituzionali e personali
FileVault, su volumi sia CoreStorag che APFS, supporta l’uso di una chiave di recupero istituzionale (precedentemente conosciuta come identità master di FileVault) per sbloccare il volume. Sebbene una chiave di recupero istituzionale sia utile per le operazioni da riga di comando al fine di sbloccare un volume o disattivare del tutto FileVault, la sua utilità per le organizzazioni è limitata, specialmente nelle versioni più recenti di macOS. Inoltre, sui Mac dotati di chip Apple, la chiave di recupero istituzionale non ha valore a livello funzionale, per due principali motivi: le chiavi di recupero istituzionali non possono essere usate per accedere a recoveryOS e, dato che la modalità disco di destinazione non è più supportata, il volume non può essere sboccato mediante il collegamento a un altro Mac.
Importante: per queste e altre ragioni, l’uso delle chiavi di recupero istituzionali non è più consigliato per la gestione istituzionale di FileVault sui computer Mac. È preferibile utilizzare piuttosto una chiave di recupero personale (PRK).
Sbloccare FileVault usando SSH
Sui Mac con chip Apple e con macOS 26 o versioni successive, FileVault può essere sbloccato via SSH dopo un riavvio, se il login remoto è attivo ed è disponibile una connessione di rete.