Utiliser les jetons sécurisés, les jetons dʼamorçage, et la propriété de volume pour les déploiements

Jeton sécurisé

Le format Apple File System (APFS) sous macOS 10.13 ou ultérieur modifie la génération des clés de chiffrement FileVault. Dans les précédentes versions de macOS sur les volumes CoreStorage, les clés utilisées pour l’opération de chiffrement FileVault étaient créées lorsqu’un utilisateur ou une organisation activait FileVault sur un Mac. Dans macOS sur les volumes APFS, les clés de chiffrement sont générées lors de la création d’un utilisateur, lors de la configuration du mot de passe du premier utilisateur ou durant la première ouverture de session par un utilisateur sur le Mac. Cette mise en œuvre des clés de chiffrement, le moment de leur création et leur type de stockage sont encadrés par une fonctionnalité connue sous le nom de jeton sécurisé. Un jeton sécurisé est en réalité une version ajustée d’une clé de chiffrement de clés (KEK) protégée par le mot de passe d’un utilisateur.

Lors du déploiement de FileVault sur un volume APFS, l’utilisateur peut continuer à :

• utiliser les outils et opérations existants, tels qu’une clé de secours personnelle (PRK) qui peut être stockée à l’aide d’une solution de gestion d’appareils mobiles (MDM) pour l’autorité de séquestre ;

• créer et utiliser une clé de secours institutionnelle (IRK) ;

• reporter l’activation de FileVault jusqu’à l’ouverture ou à la fermeture d’une session par un utilisateur sur le Mac.

À partir de macOS 11 ou ultérieur, lors de la configuration du mot de passe initial pour le tout premier utilisateur sur le Mac, celui-ci se voit attribuer un jeton sécurisé. Dans certains cas, ce comportement peut ne pas être celui souhaité, étant donné qu’auparavant, l’attribution du premier jeton sécurisé nécessitait l’ouverture de la session du compte utilisateur. Pour empêcher cela de se produire, ajoutez ;DisabledTags;SecureToken à l’attribut AuthenticationAuthority de l’utilisateur créé par programmation avant de configurer le mot de passe de l’utilisateur, comme indiqué ci-dessous :

Jeton d’amorçage

Sous macOS 10.15 ou ultérieur, un jeton d’amorçage sert à l’attribution d’un jeton sécurisé à la fois aux comptes macOS et au compte administrateur facultatif créé à l’inscription de l’appareil (« administrateur géré »). Sous macOS 11 ou ultérieur, le jeton d’amorçage peut attribuer un jeton sécurisé à n’importe quel utilisateur qui ouvre une session sur un ordinateur Mac, y compris en ce qui concerne les comptes utilisateur locaux. L’utilisation de la fonctionnalité de jeton d’amorçage de macOS 10.15 ou ultérieur nécessite :

• Supervision

• Prise en charge par un fournisseur MDM

Imaginez que votre solution MDM prenne en charge les jetons d’amorçage. Sous macOS 10.15.4 ou ultérieur, lorsqu’un utilisateur est doté d’un jeton sécurisé ouvre une session pour la première fois, un jeton d’amorçage est généré et envoyé à l’autorité de séquestre de la solution MDM. Un jeton d’amorçage peut également être généré et envoyé à lʼautorité de séquestre de la solution MDM à l’aide de l’outil de ligne de commande profiles, si besoin.

Sous macOS 11 ou ultérieur, le jeton d’amorçage peut également être utilisé à d’autres fins que la simple attribution de jetons sécurisés à des comptes utilisateur. Sur un Mac doté d’une puce Apple, le jeton d’amorçage, si disponible, peut être utilisé pour autoriser l’installation d’extensions du noyau et de mises à jour de logiciels lorsque celui-ci est géré à l’aide d’une solution MDM. Le jeton d’amorçage est également utilisé pour autoriser silencieusement une commande « Effacer lʼintégralité du contenu et des réglages » lorsque celle-ci est déclenchée via la solution MDM, sous macOS 12.0.1 ou ultérieur.

Propriété de volume

Les ordinateurs Mac dotés dʼune puce Apple introduisent le concept de propriété de volume. La propriété de volume est un contexte relatif à une organisation qui nʼest lié à aucune propriété légale ou chaîne de responsabilité du Mac. À lʼinverse, la propriété de volume peut être librement définie comme lʼutilisateur qui a été le premier à utiliser un Mac et à le configurer pour sa propre utilisation, ainsi que tout autre utilisateur. Seuls les propriétaires de volume peuvent effectuer des modifications concernant le règlement de sécurité au démarrage dʼune installation spécifique de macOS, autoriser lʼinstallation de mises à jour et de mises à niveau de logiciels macOS, lancer une opération « Effacer lʼintégralité du contenu et des réglages sur le Mac », et plus encore. Le règlement de sécurité au démarrage définit les restrictions concernant les versions de macOS qui peuvent démarrer, ainsi que la manière dont les extensions du noyau (kexts) tierces peuvent être chargées ou gérées, le cas échéant.

Le premier utilisateur à avoir revendiqué la propriété d’un Mac en le configurant pour sa propre utilisation se voit attribuer un jeton sécurisé sur un Mac doté dʼune puce Apple et devient le premier propriétaire du volume. Lorsquʼun jeton dʼamorçage est disponible et en service, il devient également propriétaire du volume et peut accorder le statut de propriétaire du volume à dʼautres comptes en leur accordant des jetons sécurisés. Étant donné que le premier utilisateur à qui l’on accorde un jeton sécurisé et le jeton d’amorçage deviennent tous deux des propriétaires de volume, ainsi que la capacité du jeton d’amorçage à accorder des jetons sécurisés à d’autres utilisateurs (et donc le statut de propriétaire de volume également), la propriété de volume ne devrait pas être quelque chose qui doit être activement géré ou manipulé dans une organisation. Les considérations précédentes pour la gestion et l’octroi de jetons sécurisés devraient généralement s’aligner sur le statut de propriété de volume également.

Il est possible dʼêtre propriétaire de volume sans être administrateur, mais certaines tâches nécessitent de vérifier la propriété des deux statuts. Par exemple, la modification des réglages de sécurité au démarrage nécessite à la fois le statut dʼadministrateur et de propriétaire du volume, tandis que lʼautorisation de mises à jour de logiciels est autorisée par les utilisateurs standard et ne requiert que la propriété.

Pour afficher la liste actuelle des propriétaires de volume sur un ordinateur Mac doté dʼune puce Apple, vous pouvez exécuter la commande suivante :

Les GUID répertoriés dans le résultat de la commande diskutil de type « Utilisateur Open Directory local » correspondent aux attributs GeneratedUID des fiches dʼutilisateur dans Open Directory. Pour trouver un utilisateur par GeneratedUID, utilisez la commande suivante :

Vous pouvez également utiliser la commande suivante pour afficher les noms dʼutilisateur et les GUID ensemble :

La propriété est assurée par un chiffrement protégé dans Secure Enclave. Pour en savoir plus, consultez :

• Apple Platform Security: Contents of a LocalPolicy file for a Mac with Apple silicon (en anglais)

• Apple Platform Security: LocalPolicy signing-key creation and management (en anglais)

Utilisation de l’outil de ligne de commande

Des outils de ligne de commande sont disponibles pour la gestion du jeton d’amorçage et du jeton sécurisé. Le jeton d’amorçage est généralement généré sur le Mac et envoyé à lʼautorité de séquestre de la solution MDM pendant le processus de configuration de macOS après que la solution MDM ait indiqué au Mac qu’elle prend en charge la fonctionnalité. Cependant, un jeton d’amorçage peut également être généré sur un Mac ayant déjà été déployé. Sous macOS 10.15.4 ou ultérieur, un jeton d’amorçage est généré et envoyé à lʼautorité de séquestre de la solution MDM lors de la première ouverture de session de n’importe quel utilisateur doté d’un jeton sécurisé si la solution MDM prend en charge la fonctionnalité. Ceci réduit la nécessité d’utiliser l’outil de ligne de commande profiles après la configuration de l’appareil pour générer et envoyer un jeton d’amorçage à lʼautorité de séquestre de la solution MDM.

L’outil de ligne de commande profiles dispose d’un certain nombre d’options pour l’interaction avec le jeton d’amorçage :

• sudo profiles install -type bootstraptoken : Cette commande génère un nouveau jeton d’amorçage et lʼenvoie à lʼautorité de séquestre de la solution MDM. Cette commande nécessite des informations d’administrateur du jeton sécurisé existant pour générer initialement le jeton d’amorçage et la solution MDM doit prendre en charge la fonctionnalité.

• sudo profiles remove -type bootstraptoken : Supprime le jeton d’amorçage existant sur le Mac et la solution MDM.

• sudo profiles status -type bootstraptoken : Rapporte si la solution MDM prend en charge la fonctionnalité de jeton d’amorçage et quel est l’état actuel du jeton d’amorçage sur le Mac.

• sudo profiles validate -type bootstraptoken : Rapporte si la solution MDM prend en charge la fonctionnalité de jeton d’amorçage et quel est l’état actuel du jeton d’amorçage sur le Mac.

Outil de ligne de commande sysadminctl

L’outil de ligne de commande sysadminctl peut être utilisé dans le but précis de modifier l’état du jeton sécurisé de comptes utilisateur sur un Mac. Cette commande doit être utilisée avec prudence et uniquement en cas de nécessité. L’utilisation de la commande sysadminctl afin de modifier l’état du jeton sécurisé d’un utilisateur nécessite toujours de fournir le nom d’utilisateur et le mot de passe d’un administrateur disposant d’un jeton sécurisé, que ce soit de façon interactive ou par l’intermédiaire des indicateurs appropriés dans la commande. La commande sysadminctl et « Réglages Système » (macOS 13 ou ultérieur) ou « Préférences Système » (macOS 12.0.1 ou antérieur) empêchent la suppression du dernier utilisateur administrateur ou du dernier utilisateur doté d’un jeton sécurisé sur un Mac. Si le script pour la création d’utilisateurs locaux supplémentaires est rédigé avec sysadminctl, pour que ces utilisateurs puissent recevoir un jeton sécurisé, les identifiants d’un administrateur existant disposant d’un jeton sécurisé doivent être fournis, soit à l’aide de l’option interactive, soit directement avec les indicateurs -adminUser et -adminPassword avec sysadminctl. S’il ne se voit pas attribuer un jeton sécurisé au moment de la création, sous macOS 11 ou ultérieur, un utilisateur local qui ouvre une session sur un Mac reçoit un jeton sécurisé lors de l’ouverture de session si un jeton d’amorçage est mis à disposition par une solution MDM. Utilisez sysadminctl -h pour obtenir des instructions d’utilisation supplémentaires.