Управление FileVault в macOS
На устройствах с macOS организации могут управлять FileVault с помощью безопасного токена или токена инициализации.
Использование безопасного токена
В файловой системе Apple (APFS) в macOS 10.13 и новее используется новый способ генерирования ключей шифрования FileVault. В предыдущих версиях macOS в томах CoreStorage создание ключей, используемых в процессе шифрования FileVault, происходило, когда пользователь или организация включали FileVault на Mac. На устройствах с macOS на томах APFS ключи генерируются при создании пользователя (когда устанавливается пароль первого пользователя) либо при первом входе пользователя на Mac. Такая реализация ключей шифрования, время их создания и способ хранения составляют часть функции, называемой безопасный токен. Безопасный токен является обернутой версией ключа шифрования ключа (KEK), защищенной паролем пользователя.
При развертывании FileVault в APFS пользователь сохраняет следующие возможности:
использование существующих инструментов и процессов, таких как личный ключ восстановления (PRK), который может быть сохранен в сервисе управления устройствами;
перенос включения FileVault на момент входа пользователя в систему или выхода из системы Mac;
создание и использование корпоративного ключа восстановления (IRK).
В macOS 11 при задании первоначального пароля первого пользователя на Mac этому пользователю предоставляется безопасный токен. В некоторых сценариях это может быть нежелательным, так как ранее для предоставления безопасного токена требовалось бы войти в аккаунт пользователя. Чтобы исключить это, добавьте параметр ;DisabledTags;SecureToken в атрибут AuthenticationAuthority пользователя, прежде чем задавать пароль пользователя, как показано ниже.
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Использование токена инициализации
В macOS 10.15 представлен токен инициализации. Он помогает предоставлять безопасные токены как для мобильных аккаунтов, так и для дополнительного аккаунта администратора, созданного при регистрации устройства («управляемый администратор»). Для использования функции токена инициализации в macOS 10.15 или новее необходимо следующее:
Mac должен быть зарегистрирован в системе управления устройствами через Apple School Manager или Apple Business Manager, что делает этот Mac контролируемым;
разработчик должен поддерживать сервис управления устройствами.
В macOS 10.15.4 и новее сгенерированный токен инициализации передается в сервис управления устройствами при первом входе любого пользователя, чей безопасный токен включен (если сервис управления устройствами поддерживает эту функцию). Также можно при необходимости сгенерировать токен инициализации и передать его для хранения в сервис управления устройствами с помощью инструмента командной строки profiles.
В macOS 11 и новее с помощью токена инициализации можно:
предоставить безопасный токен любому пользователю, выполняющему вход на Mac, в том числе аккаунтам локальных пользователей;
на Mac с чипом Apple с помощью токена инициализации авторизовать установку расширений ядра и обновлений ПО, если этот Mac управляется через сервис управления устройствами.
Сравнение корпоративных и личных ключей восстановления
Для разблокировки томов CoreStorage и APFS FileVault поддерживает использование корпоративного ключа восстановления — IRK (ранее известного под названием идентификатора FileVault Master). С помощью ключа IRK удобно разблокировать том или полностью выключить FileVault посредством командной строки, но полезность этого ключа для организаций ограничена, особенно в новейших версиях macOS. На Mac с чипом Apple ключи IRK не имеют никакой функциональной ценности по двум причинам: с помощью ключей IRK нельзя получить доступ к recoveryOS, а режим внешнего диска более не поддерживается, поэтому теперь невозможно разблокировать том, подключив его к другому Mac.
Важно! Вследствие этих и других причин использование ключей IRK для корпоративного управления FileVault на компьютерах Mac более не рекомендуется. Вместо этого следует использовать личный ключ восстановления (PRK).
Разблокировка FileVault с помощью SSH
На Mac с чипом Apple и macOS 26 или новее можно разблокировать FileVault по SSH после перезагрузки, если включен удаленный вход и доступно сетевое соединение.