macOS’te FileVault’u yönetme
macOS yüklü aygıtlarda kuruluşlar, FileVault’u SecureToken veya Ön Yükleme (Bootstrap) Jetonu kullanarak yönetebilir.
Güvenli Jeton’u kullanma
macOS 10.13 veya daha yenisindeki Apple File System (APFS), FileVault şifreleme anahtarlarının oluşturulma şeklini değiştirir. CoreStorage disk bölümlerinde bulunan önceki macOS sürümlerinde, FileVault şifreleme işleminde kullanılan anahtarlar, kullanıcı veya kuruluş Mac’te FileVault’u açtığında yaratılırdı. APFS disk bölümlerinde macOS yüklü aygıtlarda bu anahtarlar; kullanıcı yaratılırken, ilk kullanıcının parolası ayarlanırken veya kullanıcının Mac’te ilk oturum açışında oluşturulur. Şifreleme anahtarlarının tüm uygulamaları (ne zaman oluşturulduğu ve nasıl saklandığı) Güvenli Jeton olarak bilinen bir özelliğin bir parçasıdır. Tam olarak, Güvenli Jeton, kullanıcı parolası tarafından korunan anahtar şifreleme anahtarının (KEK) paketlenmiş bir sürümüdür.
APFS üzerinde FileVault dağıtımında kullanıcı:
Emanet için aygıt yönetimi servisi ile saklanabilen kişisel kurtarma anahtarı (PRK) gibi var olan araçları ve işlemleri kullanmayı sürdürebilir
Kullanıcı Mac’te oturum açıncaya veya oturumunu kapatıncaya dek FileVault’un etkinleştirilmesini ertelemeyi sürdürebilir
Kurumsal kurtarma anahtarı (IRK) yaratıp kullanmayı sürdürebilir
macOS 11’de Mac’teki ilk kullanıcının başlangıç parolası ayarlandığında o kullanıcıya güvenli bir jeton verilir. Daha önce olduğu gibi ilk güvenli jetonun verilmesiyle kullanıcı hesabının oturum açması gerektiğinden bazı iş akışlarında istenen davranış bu olmayabilir. Bunun olmasını engellemek için kullanıcı parolasını ayarlamadan önce kullanıcının program aracılığıyla yaratılan AuthenticationAuthority özelliğine aşağıda gösterildiği şekilde ;DisabledTags;SecureToken kodunu ekleyin:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Ön Yükleme (Bootstrap) Jetonu’nu kullanma
macOS 10.15, hem taşınabilir hesaplara hem de isteğe bağlı olarak aygıt kaydında yaratılan yönetici hesabına (“yönetilen yönetici”) güvenli jeton vermeyle ilgili yardımcı olması için Ön Yükleme (Bootstrap) Jetonu’nu sunar. macOS 10.15 veya daha yenisinin Ön Yükleme (Bootstrap) Jetonu özelliğini kullanmak için şunlar gerekir:
Mac’in Apple Okul Yönetimi veya Apple İşletme Yönetimi kullanılarak aygıt yönetimi servisine kaydettirilmesi ile denetlenip yönetilen yapılması
Aygıt yönetimi servisi geliştirici desteği
macOS 10.15.4 veya daha yenisinde, aygıt yönetimi servisi Ön Yükleme (Bootstrap) Jetonu özelliğini destekliyorsa Güvenli Jeton özellikli herhangi bir kullanıcının ilk oturum açışında bir Ön Yükleme (Bootstrap) Jetonu oluşturulur ve aygıt yönetimi servisine emanet edilir. Ön Yükleme (Bootstrap) Jetonu, gerekirse profiles komut satırı aracı kullanılarak da oluşturulup aygıt yönetimi servisine emanet edilebilir.
macOS 11 veya daha yenisinde Ön Yükleme (Bootstrap) Jetonu:
Yerel kullanıcı hesapları da dahil olmak üzere bir Mac bilgisayarında oturum açan herhangi bir kullanıcıya Güvenli Jeton verebilir.
Apple Silicon yongalı bir Mac’te, Ön Yükleme (Bootstrap) Jetonu, aygıt yönetimi servisi kullanılarak yönetilen çekirdek genişletmelerinin ve yazılım güncellemelerinin yüklenmesini yetkilendirmek için kullanılabilir.
Kurumsal - kişisel kurtarma anahtarları
Hem CoreStorage ve APFS disk bölümlerindeki FileVault, disk bölümünün kilidini açmak için bir kurumsal kurtarma anahtarı (IRK, önceki adıyla FileVault Master kimliği) kullanmayı destekler. IRK bir disk bölümünün kilidini açmak veya FileVault’u tamamen kapatmak amacıyla komut satırı işlemleri için yararlı olsa da, kuruluşlar için özellikle macOS’in son sürümlerinde kullanımı sınırlıdır. Apple Silicon yongalı bir Mac’te, IRK’ler iki nedenden ötürü hiçbir işlevsel değer sağlamaz: IRK’ler recoveryOS’e erişmek için kullanılamaz ve hedef disk modu artık desteklenmediğinden disk bölümünün kilidi başka bir Mac’e bağlanarak açılamaz.
Önemli: Bu nedenlerden ve daha fazlasından dolayı IRK kullanımı artık Mac bilgisayarlarında FileVault’un kurumsal yönetimi için önerilmez. Onun yerine kişisel kurtarma anahtarı (PRK) kullanılmalıdır.
SSH kullanarak FileVault’un kilidini açma
macOS 26 veya daha yenisi yüklü, Apple Silicon yongalı bir Mac’te, Uzaktan Oturum Açma açılmışsa ve ağ bağlantısı varsa yeniden başlatmadan sonra FileVault’un kilidi SSH üzerinden açılabilir.