Gerenciamento do FileVault no macOS
Em dispositivos com macOS, organizações podem usar um SecureToken ou Bootstrap Token para gerenciar o FileVault.
Uso do Secure Token
O Apple File System (APFS) no macOS 10.13 ou posterior altera a forma como as chaves de criptografia do FileVault são geradas. Nas versões anteriores do macOS em volumes CoreStorage, as chaves usadas no processo de criptografia do FileVault eram criadas quando um usuário ou organização ativava o FileVault em um Mac. Em volumes APFS de dispositivos com macOS, as chaves são geradas durante a criação do usuário (o que define a primeira senha do usuário) ou durante o primeiro início de sessão realizado por um usuário do Mac. Essa implementação das chaves de criptografia, o momento em que são geradas e a forma como são armazenadas fazem parte de um recurso conhecido como Secure Token. Especificamente, um Secure Token é uma versão embalada de uma chave de criptografia de chaves (KEK) protegida pela senha do usuário.
Ao implantar o FileVault no APFS, o usuário pode continuar a:
Usar as ferramentas e processos existentes, como uma chave reserva pessoal (PRK) que pode ser armazenada em um serviço de gerenciamento de dispositivos para guarda
Adiar a ativação do FileVault até que um usuário inicie ou encerre uma sessão no Mac
Criar e usar uma chave de recuperação institucional (IRK)
No macOS 11, a definição da senha inicial do primeiro usuário do Mac resulta na concessão de um Secure Token a esse usuário. Em alguns fluxos de trabalho, esse pode não ser o comportamento desejado, já que, como visto, seria necessário o início de sessão na conta do usuário para conceder o primeiro Secure Token. Para evitar que isso aconteça, adicione ;DisabledTags;SecureToken ao atributo AuthenticationAuthority do usuário programado antes de definir a senha dele, conforme mostrado abaixo:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Uso do Bootstrap Token
O macOS 10.15 apresentou um novo recurso, o Bootstrap Token, para ajudar na concessão de um Secure Token tanto para contas móveis quanto para a conta opcional de administrador criada no registro do dispositivo (“administrador gerenciado”). O uso do recurso de Bootstrap Token do macOS 10.15 ou posterior requer:
Registro do Mac num serviço de gerenciamento de dispositivos via Apple School Manager ou Apple Business Manager, o que torna o Mac supervisionado
Compatibilidade com o serviço de gerenciamento de dispositivos para desenvolvimento
No macOS 10.15.4 ou posterior, um Bootstrap Token é gerado e guardado no serviço de gerenciamento de dispositivos quando qualquer usuário que tenha um Secure Token ativado inicia a sessão pela primeira vez, caso o serviço de gerenciamento de dispositivos seja compatível com o recurso. Também é possível gerar e guardar um Bootstrap Token no serviço de gerenciamento de dispositivos ao usar a ferramenta de linha de comando profiles, se necessário.
No macOS 11 ou posterior, um Bootstrap Token:
Pode conceder um Secure Token a qualquer usuário que inicie a sessão em um computador Mac, incluindo contas de usuário locais.
Em um Mac com Apple Silicon, também é possível usar um Bootstrap Token para autorizar a instalação de extensões do kernel e de atualizações de software quando ele é gerenciado por um serviço de gerenciamento de dispositivos.
Chaves de recuperação pessoais em comparação com as institucionais
O FileVault nos volumes CoreStorage e APFS é compatível com o uso de uma chave de recuperação institucional (IRK, anteriormente conhecida como uma identidade Mestre do FileVault) para desbloquear o volume. Apesar da IRK ser útil em operações de linha de comando para desbloquear um volume ou desativar o FileVault, sua utilidade para as organizações é limitada, especialmente em versões recentes do macOS. Em um Mac com Apple Silicon, as IRKs não oferecem valor funcional por duas razões principais: não é possível usar as IRKs para acessar o recoveryOS e, como o modo disco de destino não é mais compatível, não é possível desbloquear o volume pela conexão a outro Mac.
Importante: Por essas e outras razões, o uso de IRKs não é mais recomendado para gerenciamento institucional do FileVault em computadores Mac. Em vez disso, uma chave reserva pessoal (PRK) deve ser usada.
Uso de SSH para desbloquear o FileVault
Em um Mac com Apple Silicon e macOS 26 ou posterior, é possível desbloquear o FileVault via SSH após reiniciar se o Acesso Remoto estiver ativado e houver uma conexão de rede disponível.