Používanie secure tokenov, bootstrap tokenov a vlastníctva oddielov pri nasadzovaní
Secure token
Súborový systém Apple (APFS) na Macu so systémom macOS 10.13 alebo novším mení spôsob, akým sú generované šifrovacie kľúče FileVaultu. V predchádzajúcich verziách systému macOS s oddielmi CoreStorage sa kľúče používané v procese šifrovania FileVaultu vytvorili vtedy, keď užívateľ alebo organizácia zapli na Macu FileVault. Na počítačoch Mac s oddielmi APFS sa šifrovacie kľúče generujú buď počas vytvárania užívateľa, nastavovania prvého hesla užívateľa alebo počas prvého prihlásenia užívateľa daného Macu. Táto implementácia šifrovacích kľúčov, ako aj to, kedy sú generované a ako sú uchovávané, sú súčasťou funkcie známej ako secure token. Secure Token je konkrétne zabalená verzia kľúča na šifrovanie kľúčov (Key Encryption Key, KEK) chránená užívateľským heslom.
Pri nasadzovaní FileVaultu na APFS môže užívateľ aj naďalej:
používať existujúce nástroje a procesy, ako napríklad osobný kľúč obnovy (PRK, Personal Recovery Key), ktorý je možné uchovávať so službou správy zariadení,
vytvárať a používať inštitucionálny kľúč obnovy (IRK, Institutional Recovery Key),
odložiť zapnutie FileVaultu, až kým sa užívateľ neprihlási do Macu alebo sa z neho neodhlási.
Na Macu so systémom macOS 11 alebo novším má nastavenie počiatočného hesla pre úplne prvého užívateľa Macu za následok, že sa tomuto užívateľovi udelí bezpečnostný token. Pri niektorých postupoch to však nemusí byť žiaduce, keďže predtým by udelenie prvého secure tokenu vyžadovalo prihlásenie týmto užívateľom. Ak tomu chcete zabrániť, je nutné ešte pred nastavením hesla užívateľa pridať k programovo vytváranému atribútu užívateľa AuthenticationAuthority položku ;DisabledTags;SecureToken, ako je uvedené nižšie:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrap Token
Na Macu so systémom macOS 10.15 alebo novším môžete použiť bootstrap token aj na viac ako len udeľovanie bezpečnostných tokenov existujúcim užívateľským účtom. Na počítačoch Mac s Apple čipom (ak je k dispozícii, keď sa spravuje pomocou služby správy zariadení) môžete bootstrap token používať na:
Dohľad
Podpora vývojára služby správy zariadení
Pre Mac so systémom macOS 10.15.4 alebo novším, keď sa užívateľ s aktivovaným bezpečnostným tokenom prihlási po prvýkrát, systém macOS vygeneruje bootstrap token a uschová ho do služby správy zariadení. V prípade potreby môžete vygenerovať aj bootstrap token a uschovať ho do služby pomocou nástroja príkazového riadka profiles.
Na Macu so systémom macOS 11 alebo novším môžete použiť bootstrap token aj na viac ako len udeľovanie bezpečnostných tokenov existujúcim užívateľským účtom. Na počítačoch Mac s Apple čipom (ak je k dispozícii, keď sa spravuje pomocou služby správy zariadení) môžete bootstrap token používať na:
autorizáciu inštalácie softvérových aktualizácií.
bezobslužnú autorizáciu príkazu Vymazať celý obsah a nastavenia v službe správy zariadení (macOS 12.0.1 alebo novší),
vytváranie nových užívateľov, keď sa po prvýkrát prihlásia pomocou jednorazového prihlásenia na platforme (macOS 13 alebo novší),
Vlastníctvo oddielov
Počítače Mac s Apple čipom prichádzajú s koncepciou vlastníctva oddielov. V kontexte organizácie pojem vlastníctvo oddielu nesúvisí so skutočným právnym vlastníctvom Macu ani s jeho evidovaným vlastníckym reťazcom. Vlastníka oddielu možno voľne definovať ako užívateľa, ktorý si Mac ako prvý „privlastnil“ tým, že ho nakonfiguroval pre svoje vlastné použitie, alebo ľubovoľného ďalšieho užívateľa. Nikto iný ako vlastník oddielu nemôže meniť pravidlá zabezpečeného spúšťania konkrétnej inštalácie systému macOS, autorizovať inštaláciu aktualizácií a upgradov softvéru macOS, spustiť na Macu príkaz Vymazať celý obsah a nastavenia a vykonávať ďalšie aktivity. Bezpečnostné pravidlá spúšťania definujú obmedzenia ohľadom toho, ktoré verzie macOS je možné spúšťať, ako aj to, ako a či je možné načítavať a spravovať systémové rozšírenia kernelu od tretích strán.
Užívateľovi, ktorý si ako prvý „privlastní“ Mac tým, že ho nakonfiguruje pre svoje použitie, sa na Macu s čipom Apple udelí secure token a stáva sa prvým vlastníkom oddielu. Keď je dostupný a používa sa bootstrap token, stáva sa zároveň vlastníkom oddielu a následne udeľuje stav vlastníctva oddielu ďalším účtom, hneď ako im udelí secure tokeny. Vzhľadom na to, že prvý užívateľ, ktorému je udelený secure alebo bootstrap token, sa stáva vlastníkom oddielu a že bootstrap token prepožičiava možnosť udeľovať secure tokeny ďalším užívateľom (ktorí sa potom tiež stávajú vlastníkmi oddielu), organizácia spravidla nemusí vlastníctvo oddielov aktívne spravovať ani s ním nijako manipulovať. Už zavedené opatrenia súvisiace so správou a udelením secure tokenov by vo všeobecnosti mali pokrývať aj štatút vlastníctva oddielov.
Vlastník oddielu nemusí byť zároveň správcom, pri vykonávaní niektorých úloh sa ale kontrolujú obe roly. Napríklad úprava bezpečnostných nastavení spúšťania vyžaduje byť správcom a zároveň vlastníkom oddielu, zatiaľ čo autorizáciu aktualizácií softvéru môžu vykonávať aj štandardní užívatelia a vyžaduje sa len vlastníctvo oddielu.
Ak chcete zobraziť aktuálne zoznam vlastníkov oddielov na počítači Mac s Apple čipom, môžete spustiť tento príkaz:
sudo diskutil apfs listUsers /Globálne unikátne identifikátory GUID uvedené vo výstupe príkazu diskutil typu „Lokálny užívateľ Open Directory“ referujú na atribúty GeneratedUID užívateľských záznamov v Open Directory. Ak chcete vyhľadať užívateľa pomocou GeneratedUID, použite tento príkaz:
dscl . -search /Users GeneratedUID <GUID>Na zobrazenie užívateľských mien spolu s GUID môžete použiť aj nasledujúci príkaz:
sudo fdesetup list -extendedVlastníctvo podporuje kryptografia chránená v Secure Enclave. Ďalšie informácie nájdete v témach:
Používanie nástroja príkazového riadka
Bootstrap tokeny a secure tokeny možno spravovať pomocou nástrojov príkazového riadka. Obvykle systém macOS vygeneruje bootstrap token a uschová ho do služby správy zariadení počas procesu nastavenia systému macOS po tom, ako služba oznámi Macu, že podporuje túto funkciu. Bootstrap token však môžete vygenerovať aj na nasadenom Macu. Pre Mac so systémom macOS 10.15.4 alebo novším systém macOS vygeneruje a uschová bootstrap token do služby pri prvom prihlásení ľubovoľného užívateľa, ktorý má povolený secure token (ak služba podporuje túto funkcie). Týmto spôsobom sa znižuje potreba použitia nástroja príkazového riadka profiles na generovanie kľúča bootstrap token a jeho uschovanie v službe správy zariadení po nastavení zariadenia.
Nástroj príkazového riadka profiles má niekoľko možností interakcie s kľúčom bootstrap token:
sudo profiles install -type bootstraptoken: Tento príkaz vygeneruje nový kľúč bootstrap token a uschová ho v službe správy zariadení. Tento príkaz vyžaduje na počiatočné vygenerovanie bootstrap tokena informácie o existujúcom správcovi secure tokena a služba musí podporovať túto funkciu.sudo profiles remove -type bootstraptoken: Odstráni existujúci bootstrap token na Macu a služby správy zariadení.sudo profiles status -type bootstraptoken: Zobrazí informáciu o tom, či služba správy zariadení podporuje funkciu bootstrap token a aký je aktuálny stav kľúča bootstrap token na Macu.sudo profiles validate -type bootstraptoken: Zobrazí informáciu o tom, či služba správy zariadení podporuje funkciu bootstrap token a aký je aktuálny stav kľúča bootstrap token na Macu.
Nástroj príkazového riadka sysadminctl
Pomocou nástroja príkazového riadka sysadminctl možno konkrétne meniť stav kľúča secure tokenu pre užívateľské účty na počítačoch Mac. Tento krok by sa však mal vykonávať opatrne a len vtedy, keď je to potrebné. Pri zmene stavu kľúča secure token užívateľa pomocou nástroja sysadminctl sa vždy vyžaduje užívateľské meno a heslo existujúceho správcu s aktivovaným kľúčom secure token, a to buď interaktívne, alebo cez príslušné prepínače v príkaze. Nástroj sysadminctl aj Systémové nastavenia (macOS 13 alebo novší aj macOS 12.0.1 alebo starší) bránia na Macu vymazaniu posledného správcu alebo užívateľa s aktivovaným kľúčom secure token. Ak sa vytvorenie ďalších lokálnych užívateľov skriptuje pomocou nástroja sysadminctl, na aktiváciu kľúča secure token pre daných užívateľov sa vyžaduje zadanie prihlasovacích údajov aktuálneho správcu s aktivovaným kľúčom SecureToken, a to buď pomocou interaktívnej možnosti, alebo priamo pomocou prepínačov -adminUser a -adminPassword pomocou nástroja sysadminctl.
Na Macu so systémom macOS 11 alebo novším platí, že ak macOS neudelí secure token pri vytvorení a bootstrap token je k dispozícii zo služby správy zariadení, secure token sa udelí lokálnemu užívateľovi pri jeho prihlásení. Ďalšie pokyny o používaní zobrazíte zadaním príkazu sysadminctl -h.