Verwalten von FileVault mit der MDM
Die vollständige Festplattenverschlüsselung mit FileVault kann in Organisationen mit einer MDM-Lösung (Mobile Device Management) verwaltet werden oder bei einigen erweiterten Implementierungen und Konfigurationen mit dem Befehlszeilenprogramm fdesetup. Die FileVault-Verwaltung mittels MDM wird als verzögerte Aktivierung bezeichnet und erfordert eine Abmelde- oder Anmeldeaktion vom Benutzer. Die MDM-Lösung kann Optionen wie die folgenden anpassen:
Wie oft ein Benutzer die Aktivierung von FileVault verzögern kann
Ob der Benutzer zusätzlich zum Anmelden auch beim Abmelden aufgefordert wird
Ob der Wiederherstellungsschlüssel dem Benutzer angezeigt wird
Welches Zertifikat verwendet wird, um den Wiederherstellungsschlüssel asymmetrisch zu verschlüsseln, um ihn der MDM-Lösung zu übergeben
Wenn es einem Benutzer möglich sein soll, den Speicher auf APFS-Volumes zu entsperren, muss der Benutzer über ein Secure Token verfügen. Auf einem Mac mit Apple Chips muss er Volume-Besitzer sein. Weitere Informationen über Secure Token und Volume-Besitz findest du unter Verwenden von Secure Token, Bootstrap Token und Volume-Eigentum in Implementierungen. Im Folgenden findest du Informationen dazu, wie und wann Benutzern in bestimmten Workflows ein Secure Token zuerkannt werden muss.
Durchsetzung von FileVault im Systemassistenten
Mit dem Schlüssel ForceEnableInSetupAssistant kann die Aktivierung von FileVault im Systemassistenten auf Mac-Computern vorausgesetzt werden. So wird gewährleistet, dass der interne Speicher von verwalteten Mac-Computern vor der Verwendung immer verschlüsselt wird. Organisationen können entscheiden, ob dem Benutzer der FileVault-Wiederherstellungsschlüssel angezeigt wird oder ob der persönliche Wiederherstellungsschlüssel hinterlegt wird. Stelle zum Verwenden dieser Funktion sicher, dass await_device_configured gesetzt ist.
Hinweis: Vor macOS 14.4 muss der im Systemassistenten interaktiv erstellte Benutzeraccount für diese Funktion eine Administratorrolle haben.
Ein Benutzer richtet einen Mac selbst ein
Wenn ein Benutzer seinen Mac selbst einrichtet, führen IT-Abteilungen keine Bereitstellungsaufgaben auf dem eigentlichen Gerät aus. Alle Richtlinien und Konfigurationen werden mittels einer MDM-Lösung oder Tools für die Konfigurationsverwaltung bereitgestellt. Der Systemassistent wird verwendet, um den ersten lokalen Administratoraccount zu erstellen, und dem Benutzer wird ein Secure Token zuerkannt. Wenn die MDM-Lösung die Funktion „Bootstrap Token“ unterstützt und den Mac während der MDM-Registrierung informiert, wird ein Bootstrap Token vom Mac generiert und in der MDM-Lösung hinterlegt.
Wird der Mac in einer MDM-Lösung registriert, darf der anfängliche Account nicht für einen lokalen Administrator, sondern muss für einen lokalen Standardbenutzer stehen. Wird der Benutzer mit MDM in einen Standardbenutzer herabgestuft, wird ihm automatisch ein Secure Token zuerkannt. Wenn der Benutzer herabgestuft wird, wird unter macOS 10.15.4 (oder neuer) automatisch ein Bootstrap Token generiert und in der MDM-Lösung hinterlegt, sofern diese Funktionalität unterstützt wird.
Wenn infolge des Einsatzes einer MDM-Lösung die Erstellung eines lokalen Benutzer-Accounts durch den Systemassistenten übersprungen wird und stattdessen ein Verzeichnisdienst mit mobilen Accounts verwendet wird, wird dem Benutzer des mobilen Accounts bei der Anmeldung ein Secure Token zuerkannt. Bei einem mobilen Account wird in macOS 10.15.4 (oder neuer), nachdem der Benutzer für Secure Token aktiviert wurde, automatisch bei der zweiten Anmeldung des Benutzers ein Bootstrap Token generiert und in der MDM-Lösung hinterlegt, sofern diese Funktionalität unterstützt wird.
Weil bei den anderen oben beschriebenen Szenarios dem ersten und primären Benutzer ein Secure Token zuerkannt wird, kann er mit der verzögerten Aktivierung für FileVault aktiviert werden. Die verzögerte Aktivierung ermöglicht es Organisationen, FileVault zu aktivieren, die eigentliche Aktivierung aber bis zu dem Zeitpunkt zu verzögern, an dem sich der Benutzer beim Mac an- oder abmeldet. Auch eine Anpassung ist möglich, wenn der Benutzer die Möglichkeit erhalten soll, die Aktivierung von FileVault zu überspringen (optional eine bestimmte Anzahl von Malen). Im Ergebnis bewirkt dies, dass der Primärbenutzer des Mac – sei es ein lokaler Benutzer eines beliebigen Typs oder ein mobiler Account – das Speichergerät entsperren kann, wenn es mittels FileVault verschlüsselt ist.
Wenn sich auf Mac-Computern, auf denen ein Bootstrap Token generiert und in einer MDM-Lösung hinterlegt wurde, ein anderer Benutzer zu einem späteren Zeitpunkt beim Mac anmeldet, wird das Bootstrap Token verwendet, um automatisch ein Secure Token zuzuerkennen. Dies bedeutet, dass der Account auch für FileVault aktiviert ist und das FileVault-Volume entsperren kann. Verwende den Befehl fdesetup remove -user, um einem Benutzer die Fähigkeit, das Speichergerät zu entsperren, zu entziehen.
Ein Mac wird durch eine Organisation bereitgestellt
Wenn ein Mac von einer Organisation bereitgestellt wird, bevor er einem Benutzer übergeben wird, richtet die IT-Abteilung das Gerät ein. Der lokale Administratoraccount, der entweder im Systemassistenten erstellt oder via MDM bereitgestellt wurde, wird zum Bereitstellen oder Einrichten des Mac verwendet und ihm wird während der Anmeldung das erste Secure Token zuerkannt. Wenn die MDM-Lösung die Funktion „Bootstrap Token“ unterstützt, wird auch während der macOS-Konfiguration ein Bootstrap Token generiert und in der MDM-Lösung hinterlegt.
Wenn der Mac bei einem Verzeichnisdienst registriert und für das Erstellen mobiler Accounts konfiguriert wird und wenn es kein Bootstrap Token gibt, werden Benutzer des Verzeichnisdienstes beim erstmaligen Anmelden nach dem Benutzernamen und dem Passwort des vorhandenen Secure Token-Administrators gefragt, damit ihrem Account ein Secure Token zuerkannt werden kann. Die Anmeldedaten eines lokalen Administrators, der aktuell für Secure Token aktiviert ist, müssen eingegeben werden. Falls Secure Token nicht erforderlich ist, kann der Benutzer auf „Umgehen“ klicken. In macOS 10.13.5 (oder neuer) kann das Secure Token-Dialogfenster komplett unterdrückt werden, wenn FileVault nicht mit mobilen Accounts verwendet wird. Um das Dialogfenster für Secure Token zu unterdrücken, muss ein in der MDM-Lösung generiertes Konfigurationsprofil für eigene Einstellungen mit den folgenden Schlüsseln und Werten angewendet werden:
Einstellung | Wert | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Schlüssel | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Wert | Ein | ||||||||||
Wenn die MDM-Lösung die Funktion „Bootstrap Token“ unterstützt und ein solches Token vom Mac generiert und in der MDM-Lösung hinterlegt wurde, wird dieses Dialogfenster für Benutzer des mobilen Accounts nicht angezeigt. Stattdessen wird ihnen während der Anmeldung automatisch ein Secure Token zuerkannt.
Werden auf dem Mac zusätzliche lokale Benutzer benötigt (anstatt Benutzeraccounts eines Verzeichnisdienstes), wird den betreffenden lokalen Benutzern automatisch ein Secure Token zuerkannt. Dazu müssen sie im Bereich „Benutzer:innen & Gruppen“ der Systemeinstellungen von macOS 13 (oder neuer) bzw. von macOS 12.0.1 (oder neuer) von einem aktuell für Secure Token aktivierten Administrator erstellt worden sein. Wenn lokale Benutzer mit dem Befehlszeilenprogramm erstellt werden, kann das Befehlszeilenprogramm sysadminctl verwendet werden und sie optional für Secure Token aktivieren. Auch wenn zum Zeitpunkt der Erstellung kein Secure Token zuerkannt wird, wird einem lokalen Benutzer, der sich bei einem Mac anmeldet, in macOS 11 (oder neuer) bei der Anmeldung ein Secure Token zuerkannt, wenn ein Bootstrap Token via MDM verfügbar ist.
Bei diesen Szenarios können die folgenden Benutzer ein mit FileVault verschlüsseltes Volume entsperren:
Der ursprüngliche lokale Administrator, der für die Bereitstellung verwendet wurde
Zusätzliche Verzeichnisdienstbenutzer denen bei der Anmeldung ein Secure Token zuerkannt wurde, entweder interaktiv mit dem Dialogfenster oder automatisch mit dem Bootstrap Token
Alle neuen lokalen Benutzer
Verwende den Befehl fdesetup remove -user, um einem Benutzer die Fähigkeit, das Speichergerät zu entsperren, zu entziehen.
Bei Verwendung eines der oben beschriebenen Arbeitsabläufe wird das Secure Token ohne zusätzliche Konfiguration oder Skripts durch macOS verwaltet; es wird zu einem Implementierungsdetail und nicht zu einem Element, das aktiv verwaltet oder bearbeitet werden muss.
Befehlszeilenprogramm fdesetup
MDM-Konfigurationen oder das Befehlszeilenprogramm fdesetup können verwendet werden, um FileVault zu konfigurieren. In macOS 10.15 (oder neuer) wird die Verwendung von fdesetup zum Aktivieren von FileVault durch Bereitstellen des Benutzernamens und des Passworts nicht mehr unterstützt und in künftigen Versionen nicht mehr erkannt. Der Befehl funktioniert weiterhin, wird aber in macOS 11 (oder neuer) und macOS 12.0.1 nicht mehr unterstützt. Daher solltest du in Betracht ziehen, die verzögerte Aktivierung mittels MDM zu verwenden. Weitere Informationen über das Befehlszeilenprogramm fdesetup werden bereitgestellt, wenn die App „Terminal“ gestartet und man fdesetup oder fdesetup help eingegeben wird.
Institutionelle oder persönliche Wiederherstellungsschlüssel
FileVault unterstützt sowohl auf CoreStorage- als auch auf APFS-Volumes die Verwendung eines institutionellen Wiederherstellungsschlüssels (Institutional Recovery Key, kurz IRK; vorher als FileVault Master-Identität bezeichnet) zum Entsperren des Volumes. Ein IRK ist für Befehlszeilenaktionen zum Entsperren eines Volumes oder zum vollständigen Deaktivieren von FileVault nützlich, sein Nutzen für Organisationen ist dagegen beschränkt, insbesondere in neueren Versionen von macOS. Auf einem Mac mit Apple Chips bieten IRKs aus den folgenden zwei Gründen keinen funktionalen Wert: Zum einen können IRKs nicht für den Zugriff auf recoveryOS verwendet werden. Zum anderen kann das Volume nicht mehr durch Verbinden mit einem anderen Mac entsperrt werden, da der Festplattenmodus nicht mehr unterstützt wird. Aus diesen und weiteren Gründen wird die Nutzung eines IRK für die institutionelle Verwaltung von FileVault auf Mac-Computern nicht mehr empfohlen. Stattdessen sollte ein persönlicher Wiederherstellungsschlüssel (Personal Recovery Key, PRK) verwendet werden. Ein PRK bietet folgende Vorteile:
Einen extrem zuverlässigen Mechanismus für die Wiederherstellung und den Zugriff auf das Betriebssystem
Individuelle Verschlüsselung pro Volume
Schlüssel kann in der MDM-Lösung hinterlegt werden
Einfache Schlüsselrotation nach der Verwendung
Ein PRK kann im recoveryOS verwendet werden oder zum direkten Starten eines verschlüsselten Mac mit macOS (erfordert macOS 12.0.1 oder neuer für einen Mac mit Apple Chips). Im recoveryOS kann der PRK genutzt werden, wenn er vom Wiederherstellungsassistenten angefordert wird, oder mit der Option „Alle Passwörter vergessen“, um Zugriff auf die Wiederherstellungsumgebung zu erhalten, wobei dann auch das Volume entsperrt wird. Bei Verwendung der Option „Alle Passwörter vergessen“ ist das Zurücksetzen eines Passworts für einen Benutzer nicht erforderlich; es kann auf die Taste zum Beenden geklickt werden, um direkt in das recoveryOS zu gelangen. Soll macOS direkt auf Intel-basierten Mac-Computern gestartet werden, klicke auf das Fragezeichen neben dem Passwortfeld und wähle dann die Option „… es mit deinem Wiederherstellungsschlüssel zurücksetzen“. Gib den PRK ein und drücke dann den Zeilenschalter oder klicke auf den Pfeil. Drücke nach dem Start von macOS im Dialogfenster zum Ändern des Passworts auf „Abbrechen“. Drücke auf einem Mac mit Apple Chips und macOS 12.0.1 (oder neuer) die Tastenkombination „Option-Umschalt-Zeilenschalter“, um das Eingabefeld für den PRK einzublenden. Drücke dann die Eingabetaste oder klicke auf den Pfeil, sodass macOS gestartet wird.
Es gibt nur einen PRK pro verschlüsseltem Volume und während der FileVault-Aktivierung via MDM kann er für den Benutzer optional ausgeblendet werden. Bei Konfiguration für die Hinterlegung in der MDM-Lösung bietet MDM einen öffentlichen Schlüssel für den Mac in Form eines Zertifikats, das dann verwendet wird, um den PRK in einem CMS-Umschlagformat asymmetrisch zu verschlüsseln. Der verschlüsselte PRK wird in der Abfrage der Sicherheitsinformationen an MDM zurückgegeben, die dann zum Anzeigen in einer Organisation entschlüsselt werden kann. Da die Verschlüsselung asymmetrisch erfolgt, ist MDM selbst möglicherweise nicht in der Lage, den PRK zu entschlüsseln (und es wären zusätzliche Schritte durch einen Administrator erforderlich). Viele MDM-Anbieter stellen jedoch die Option bereit, diese Schlüssel so zu verwalten, dass sie direkt in ihren Produkten angezeigt werden können. Die MDM-Lösung kann auch optional so oft eine Rotation der PKRs ausführen, wie es erforderlich ist, um ein hohes Sicherheitsniveau aufrechtzuerhalten – beispielsweise nachdem ein PRK verwendet wurde, um ein Volume zu entsperren.
Ein PRK kann auf Mac-Computern ohne Apple Chips im Festplattenmodus (Target Disk Mode, TDM) verwendet werden, um ein Volume zu entsperren:
1. Verbinde den Mac im Festplattenmodus mit einem anderen Mac, auf dem dieselbe oder eine neuere Version von macOS installiert ist.
2. Öffne Terminal, führe den folgenden Befehl aus und suche nach dem Namen des Volumes (normalerweise „Macintosh HD“). Es sollte wie folgt lauten: „Mount-Point: Not Mounted” und „FileVault: Yes (Locked).“ Notiere die Disk-ID des APFS-Volumes, die in etwa „disk3s2“ lautet, aber wahrscheinlich mit anderen Zahlen, z. B. „disk4s5“.
diskutil apfs list3. Führe den folgenden Befehl aus, suche den PRK-Benutzer und notiere die aufgelistete UUID:
diskutil apfs listUsers /dev/<diskXsN>4. Führe diesen Befehl aus:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Setze oder gib bei der Aufforderung zur Passworteingabe den PRK ein und drücke den Zeilenschalter. Das Volume wird im Finder aktiviert.