Gestionar FileVault con la gestión de dispositivos móviles
La encriptación total del disco con FileVault se puede gestionar en las organizaciones que utilicen una solución de gestión de dispositivos móviles (MDM) o, para algunas implementaciones y configuraciones avanzadas, con la herramienta de línea de comandos fdesetup. La gestión de FileVault mediante MDM se conoce como “activación con retraso” y requiere que el usuario cierre la sesión o la inicie. La solución MDM puede personalizar opciones como las siguientes:
Cuántas veces puede el usuario retrasar la activación de FileVault
Si pedir al usuario que cierre la sesión además de que inicie la sesión
Si mostrar al usuario una clave de recuperación
El certificado utilizado para cifrar asimétricamente la clave de recuperación para custodia a la solución de MDM
Hacer que un usuario pueda desbloquear el almacenamiento en volúmenes APFS requiere que tenga un identificador seguro y, en un Mac con chip de Apple, que tenga la propiedad del volumen. Para obtener más información sobre los identificadores seguros y la propiedad de los volúmenes, consulta Usar identificadores seguros, de arranque y de propiedad de volúmenes en las implementaciones. A continuación se ofrece información sobre cómo y cuándo se conceden a los usuarios identificadores seguros en flujos de trabajo específicos.
Imponer FileVault en el asistente de configuración
Si se usa la clave ForceEnableInSetupAssistant, puede que los ordenadores Mac tengan que activar FileVault durante el asistente de configuración. Esto garantiza que el almacenamiento interno de los ordenadores Mac gestionados esté siempre encriptado antes de usarse. Las organizaciones pueden decidir si mostrar o no la clave de recuperación de FileVault al usuario o permitir la custodia de la clave de recuperación personal. Para usar esta función, asegúrate de que await_device_configured esté configurado.
Nota: En las versiones anteriores a macOS 14.4, esta prestación requiere que la cuenta de usuario creada de manera interactiva durante el asistente de configuración tenga el rol de Administrador.
Cuando un usuario configura un Mac por su cuenta
Cuando un usuario configura un Mac por su cuenta, los departamentos de TI no realizan ninguna tarea de suministro en el dispositivo en sí. Todas las políticas y configuraciones se suministran mediante una solución MDM o herramientas de gestión de configuraciones. Asistente de Configuración sirve para crear la cuenta local inicial y el usuario recibe un identificador seguro. Si la solución MDM es compatible con la función de identificador de arranque e informa al Mac durante la inscripción MDM, el Mac genera un identificador de arranque que será custodiado por la solución MDM.
Si el Mac está inscrito en una solución MDM, la cuenta inicial puede no ser una cuenta de administrador local, sino una cuenta de usuario estándar local. Si la cuenta del usuario se cambia por otra de tipo estándar con MDM, el usuario recibe automáticamente un identificador seguro. Si se cambia la cuenta del usuario, en macOS 10.15.4 o posterior se genera automáticamente un identificador de arranque que será custodiado por la solución MDM al iniciar la sesión si dicha solución admite esta función.
Si se omite la creación de una cuenta de usuario local en Asistente de Configuración mediante MDM y en su lugar se usa un servicio de directorio con cuentas móviles, al usuario de la cuenta móvil no se le otorgará ningún identificador seguro al iniciar sesión en el Mac. Con una cuenta móvil, una vez que se active un identificador seguro para el usuario, en macOS 10.15.4 o versiones posteriores, se genera automáticamente un identificador de arranque durante el segundo inicio de sesión del usuario que será custodiado por la solución MDM si dicha solución admite esta función.
En cualquiera de los casos descritos anteriormente, dado que al primer y principal usuario se le otorga un identificador seguro, se puede activar FileVault mediante la activación con retraso. La activación con retraso permite a la organización activar FileVault, pero retrasar su activación hasta que un usuario inicie o cierre sesión en el Mac. También es posible personalizar si el usuario puede omitir la activación de FileVault (de manera opcional, un número de veces definido). El resultado final es que el usuario principal del Mac, ya sea un usuario local (del tipo que sea) o una cuenta móvil, podrá desbloquear el dispositivo de almacenamiento cuando esté encriptado con FileVault.
En ordenadores Mac en los que se generó un identificador de arranque custodiado por una solución MDM, si otro usuario inicia sesión en el Mac en una fecha u hora futuras, el identificador de arranque se utiliza para otorgar un identificador seguro. Esto significa que la cuenta también se habilita para FileVault y puede desbloquear el volumen FileVault. Si quieres quitar al usuario la capacidad de desbloquear el dispositivo de almacenamiento, utiliza el comando fdesetup remove -user.
Cuando una organización instala un Mac
Cuando una organización instala un Mac antes de entregárselo a un usuario, el departamento de TI configura el dispositivo. A la cuenta administrativa local creada en el asistente de configuración, o mediante MDM, se le proporciona el primer identificador seguro durante el inicio de sesión y se utiliza para aprovisionar o configurar el Mac. Si la solución MDM admite la función de identificador de arranque, también se genera un identificador de arranque que será custodiado por la solución MDM.
Si el Mac se conecta a un servicio de directorio y está configurado para crear cuentas móviles, y no hay ningún identificador de arranque, a los usuarios del servicio de directorio que inicien sesión por primera vez se les pedirá un nombre de usuario y contraseña de administrador para otorgar un identificador seguro a esta cuenta. Se deben introducir las credenciales de un administrador local con identificador seguro activado actualmente. Si no se requiere un identificador seguro, el usuario puede hacer clic en Omitir. En macOS 10.13.5 o posterior, si no se va a utilizar FileVault con las cuentas móviles, es posible suprimir por completo el cuadro de diálogo de identificador seguro. Para suprimir el cuadro de diálogo de identificador seguro, aplica un perfil de configuración de ajustes personalizados en la solución MDM con las claves y los valores siguientes:
Ajuste | Valor | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Dominio | com.apple.MCX | ||||||||||
Clave | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valor | Verdadero | ||||||||||
Si la solución MDM es compatible con la función de identificador de arranque y el Mac generó uno que pasó a ser custodiado por la solución MDM, los usuarios de cuentas móviles no verán este mensaje. En lugar de eso, se les otorga un identificador seguro automáticamente durante el inicio de sesión.
Si se requieren usuarios locales adicionales en el Mac en lugar de cuentas de usuario de un servicio de directorio, esos usuarios locales reciben automáticamente un identificador seguro cuando los crea un administrador autorizado de identificadores seguros actual en “Usuarios y grupos” (en Ajustes del Sistema en macOS 13 o posterior, o en Preferencias del Sistema en macOS 12.0.1 o anterior). Si se crean usuarios locales con la línea de comandos, se puede usar la herramienta de línea de comandos sysadminctl para crearlos y, opcionalmente, activarlos para usar identificadores seguros. Incluso aunque no se otorgue un identificador seguro en el momento de su creación, en macOS 11 o posterior, los usuarios locales que inicien sesión en un Mac recibirán un identificador seguro durante el inicio de sesión si la solución MDM proporciona un identificador de arranque.
En estos casos, los siguientes usuarios pueden desbloquear el volumen encriptado con FileVault:
El administrador local original usado para la instalación.
Cualquier usuario adicional del servicio de directorio al que se le haya otorgado un identificador seguro durante el proceso de inicio de sesión ya sea de forma interactiva mediante el cuadro de diálogo o automáticamente con el identificador de arranque.
Los usuarios locales nuevos.
Si quieres quitar al usuario la capacidad de desbloquear el dispositivo de almacenamiento, utiliza el comando fdesetup remove -user.
Cuando se usa alguno de los procesos de trabajo descritos arriba, el identificador seguro está gestionado por macOS sin ninguna configuración o programación adicional; se convierte en un detalle de la implementación, no en algo que haya que gestionar o manipular activamente.
Herramienta de línea de comandos fdesetup
Para configurar FileVault, se pueden usar las configuraciones de MDM o la herramienta de línea de comandos fdesetup. En macOS 10.15 o posterior, ya no está disponible el uso de fdesetup para activar FileVault introduciendo el nombre de usuario y la contraseña, método que ya no se reconocerá en una futura versión. El comando sigue funcionando pero continúa estando obsoleto en macOS 11 y macOS 12.0.1. Piensa en la posibilidad de utilizar la activación con retraso mediante MDM en su lugar. Para obtener más información sobre la herramienta de línea de comandos fdesetup, abre la app Terminal e introduce man fdesetup o fdesetup help.
Claves de recuperación institucionales y personales
FileVault, en volúmenes CoreStorage y APFS, permite utilizar una clave de recuperación institucional (IRK, que antes se conocía como “Identidad maestra de FileVault”) para desbloquear el volumen. Aunque una IRK es útil para las operaciones de línea de comandos para desbloquear un volumen o desactivar FileVault al mismo tiempo, su utilidad para las organizaciones es llimitada, sobre todo en versiones recientes de macOS. Además, en los ordenadores Mac con chip de Apple, las IRK no proporcionan ningún valor funcional por dos razones principales: En primer lugar, las IRK no se pueden usar para acceder a recoveryOS y, en segundo lugar, dado que ya no se acepta la “Modalidad de disco de destino”, el volumen no puede desbloquearse conectándolo a otro ordenador Mac. Por estos y otros motivos, ya no se recomienda usar IRK para la gestión institucional de FileVault en los ordenadores Mac. En su lugar, debería utilizarse una clave de recuperación personal (PRK). Una PRK:
proporciona un mecanismo muy sólido de recuperación y de acceso al sistema operativo,
proporciona una encriptación única por volumen,
permite la custodia por MDM,
permite una rotación de claves sencilla después de usarlas.
Una PRK se puede usar en recoveryOS o para iniciar un Mac encriptado directamente en macOS (requiere macOS 12.0.1 o posterior para los Mac con chip de Apple). En recoveryOS, la PRK se puede utilizar si lo solicita Asistente de Recuperación, o mediante la opción “¿Has olvidado todas las contraseñas?” para obtener acceso al entorno de recuperación, que después también desbloquea el volumen. Si se utiliza la opción “¿Has olvidado todas las contraseñas?”, no se requiere restablecer la contraseña para un usuario; se puede hacer clic en el botón de salida para arrancar directamente en recoveryOS. Para iniciar sesión directamente en macOS en ordenadores Mac con procesador Intel, haz clic en el signo de interrogación que aparece junto al campo de contraseña y selecciona la opción “restablecerla mediante la clave de recuperación”. Introduce la PRK y, a continuación, pulsa la tecla Intro o haz clic en la flecha. Después de arrancar macOS, pulsa Cancelar en el cuadro de diálogo de cambiar la contraseña. En un Mac con chip de Apple que use macOS 12.0.1 o posterior, presiona Opción + Mayúsculas + Retorno para mostrar el campo de entrada de la PRK y, a continuación, pulsa la tecla Intro (o haz clic en la flecha); a continuación arranca macOS.
Solo hay una PRK por volumen encriptado y, durante la activación de FileVault desde MDM, existe la opción de ocultarla al usuario. Cuando se configure para custodiarla en MDM, MDM proporciona al Mac una clave pública en forma de certificado que se utiliza para encriptar de forma asimétrica la PRK en un formato de sobre CMS. La PRK encriptada se devuelve al MDM en la consulta de información de seguridad, que después se puede desencriptar para que la organización pueda visualizarla. Dado que la encriptación es asimétrica, es posible que MDM no pueda desencriptar la PRK (y por tanto requeriría pasos adicionales de un administrador). No obstante, muchos proveedores de MDM ofrecen la opción de gestionar estas claves para poder visualizarlas directamente en sus productos. MDM también tiene la opción de rotar las claves PRK con la frecuencia que sea necesaria para contribuir a tener una configuración de seguridad potente; por ejemplo, después de usar una PRK para desbloquear un volumen.
Para desbloquear un volumen se puede usar una PRK en modalidad de disco de destino en los ordenadores Mac que no tienen chip de Apple:
1. Conecta el Mac en modo de disco de destino a otro Mac que utilice la misma versión de macOS u otra más reciente.
2. Abre el Terminal y ejecuta el comando siguiente para buscar el nombre del volumen (normalmente es “Macintosh HD”). Debería decir “Mount Point: Not Mounted” y “FileVault: Yes (Locked)”. Toma nota del ID de disco del volumen APFS para el volumen, que tiene un formato parecido a disk3s2, pero probablemente con números diferentes (por ejemplo, disk4s5).
diskutil apfs list3. Ejecuta el comando siguiente, busca el usuario de la clave de recuperación personal y, a continuación, toma nota del UUID que se indique:
diskutil apfs listUsers /dev/<diskXsN>4. Ejecuta este comando:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Cuando se te pida la contraseña, pega o introduce la PRK y, a continuación, pulsa Intro. El volumen aparece montado en el Finder.