Використання токенів безпеки та самозавантаження, а також прав власності на том у розгортаннях
Токен безпеки
В Apple File System (APFS) на Mac із macOS 10.13 або новіших змінено спосіб, у який генеруються ключі шифрування FileVault. У попередніх версіях macOS на томах CoreStorage створення ключів, що застосовувалися для шифрування за допомогою FileVault, відбувалося під час увімкнення користувачем чи організацією функції FileVault на Mac. У комп’ютерах Mac із томами APFS ключі шифрування генеруються або під час створення користувача, задання пароля або під час першої авторизації користувача на Mac. Таке застосування ключів шифрування, їх час генерації та спосіб зберігання є частиною функції, відомої як токен безпеки. Токен безпеки є чимось на кшталт ізольованої версії ключа шифрування ключів (KEK), яку захищено паролем користувача.
Під час розгортання FileVault на APFS користувач може й далі:
Використовуйте наявні інструменти й процеси, як‑от персональний ключ відновлення (PRK), який можна зберегти в службі керування пристроями для депонування
Створювати та використовувати корпоративні ключі відновлення (IRK)
Відкладати ввімкнення FileVault до входу або виходу користувача на Mac
На Mac із macOS 11 або новіших перший користувач Mac, для якого буде налаштовано початковий пароль, отримує токен безпеки. Подекуди це може бути небажано, адже призначення першого токена безпеки потребує входу користувача в обліковий запис. Щоб запобігти цьому, додайте до програмно створеного атрибута користувача AuthenticationAuthority рядок ;DisabledTags;SecureToken, перш ніж налаштувати пароль користувача:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Токен самозавантаження
На Mac із macOS 10.15 або новіших можна використовувати токен самозавантаження не лише для надання токенів безпеки обліковим записам користувачів. На компʼютерах Mac із Apple silicon, якщо він доступний і керується службою керування пристроями, можна використовувати токен самозавантаження для:
Нагляд
Підтримка від розробників служби керування пристроями
На Mac із macOS 10.15.4 або новіших токен самозавантаження створюється та депонується в службу керування пристроями, коли користувач, для якого ввімкнуто токен безпеки, уперше входить у систему. Крім того, за потреби токен самозавантаження можна генерувати й депонувати в службі за допомогою інструмента командного рядка profiles.
На Mac із macOS 11 або новіших можна використовувати токен самозавантаження не лише для надання токенів безпеки обліковим записам користувачів. На компʼютерах Mac із Apple silicon, якщо він доступний і керується службою керування пристроями, можна використовувати токен самозавантаження для:
Авторизації інсталювання оновлень ПЗ.
Безшумної авторизації команди керування пристроєм «Стерти весь вміст і параметри» (macOS 12.0.1 або новіша).
Створення нових користувачів, коли вони вперше входять у систему за допомогою SSO платформи (macOS 13 або новіша).
Володіння томом
На комп’ютерах Mac із процесором Apple silicon вводиться концепція права власності на том. Поняття права власності на том в організаційному контексті не пов’язане з юридичними правами власності чи ланцюгом відповідальності на Mac. Натомість його можна вільно визначити як користувача, який першим конфігурував Mac для персонального використання та інших додаткових користувачів. Ви маєте бути власником тому, щоб вносити зміни в політику безпеки запуску для певних інсталяцій macOS, схвалювати інсталювання оновлень програмного забезпечення та вдосконалень macOS, ініціювати команду «Стерти весь вміст і параметри на цьому Mac» тощо. Політика безпеки запуску визначає обмеження щодо дозволених до завантаження версій macOS, а також як і чи взагалі може здійснюватися завантаження сторонніх розширень ядра та керування ними.
Користувач, який першим заявить про своє право власності на Mac, конфігурувавши його для використання, отримує токен безпеки на Mac із процесором Apple, і стає першим власником тому. Коли токен самозавантаження доступний і використовується, він також стає власником тому й потім надає статус власника тому додатковим обліковим записам разом із токенами безпеки. Оскільки і перший отримувач токена безпеки, і токена самозавантаження стають власниками тому, а також зважаючи на здатність токена самозавантаження надавати токени безпеки додатковим користувачам (і, таким чином, статус власника тому), право власності на том не потребує постійного керування чи опрацювання в організації. Крім того, попередні особливості надання токенів безпеки й керування ними мають загалом відповідати статусу права власності на том.
Можна бути власником тому й не бути адміністратором, однак певні дії потребують наявності обох статусів. Наприклад, щоб змінити параметри безпеки запуску, потрібно бути і адміністратором, і власником тому, а схвалювати оновлення програмного забезпечення дозволено стандартним користувачам і для цього потрібне лише право власності.
Щоб переглянути поточний список власників тому на комп’ютері Mac із процесором Apple silicon, запустіть цю команду:
sudo diskutil apfs listUsers /Зазначені в результаті виконання команди diskutil GUID типу «Local Open Directory User» співвідносяться з атрибутами GeneratedUID записів про користувачів в Open Directory. Щоб знайти користувача за GeneratedUID, скористайтеся цією командою:
dscl . -search /Users GeneratedUID <GUID>Щоб побачити імена користувачів і GUID одночасно, можна скористатися цією командою:
sudo fdesetup list -extendedПраво власності має криптографічний захист у Secure Enclave. Більше інформації наведено в цих статтях:
Використання інструментів командного рядка
Ви можете керувати токенами самозавантаження й токенами безпеки за допомогою інструментів командного рядка. Зазвичай macOS генерує токен самозавантаження і депонує його в службу керування пристроями під час налаштування macOS, коли служба повідомляє комп’ютеру Mac, що підтримує цю функцію. Однак токен самозавантаження можна також згенерувати на Mac, який уже розгорнуто. На Mac із macOS 10.15.4 або новіших версіях macOS токен самозавантаження генерується та депонується в службі під час першого входу будь-якого користувача з увімкненим токеном безпеки (якщо служба підтримує цю функцію). Це зменшує потребу в інструменті командного рядка profiles після налаштування пристрою, коли необхідно генерувати й депонувати токен самозавантаження в службі.
Інструмент командного рядка profiles має низку опцій для взаємодії з токеном самозавантаження:
sudo profiles install -type bootstraptoken: ця команда генерує новий токен самозавантаження й депонує його в службу керування пристроями. Щоб згенерувати токен самозавантаження, ця команда має отримати інформацію про наявного адміністратора з токеном безпеки. Крім того, служба має підтримувати цю функцію.sudo profiles remove -type bootstraptoken: ця команда вилучає наявний токен самозавантаження на Mac і в службі керування пристроями.sudo profiles status -type bootstraptoken: ця команда звітує, чи підтримує служба керування пристроями функцію токена самозавантаження, а також про поточний стан цього токена на Mac.sudo profiles validate -type bootstraptoken: ця команда звітує, чи підтримує служба керування пристроями функцію токена самозавантаження, а також про поточний стан цього токена на Mac.
Інструмент командного рядка «sysadminctl»
Щоб змінювати стан токена безпеки для облікових записів користувачів на комп’ютері Mac, можна використовувати інструмент командного рядка sysadminctl. Цим способом слід послуговуватися уважно й лише за нагальної потреби. Щоб змінити статус токена безпеки для користувача за допомогою команди sysadminctl, щоразу потрібно вказувати ім’я користувача й пароль поточного адміністратора з токеном безпеки. Це слід робити або інтерактивно, або за допомогою відповідних позначок до команди. Команда sysadminctl і меню «Системні параметри» (macOS 13 або новіша) або «Параметри системи» (macOS 12.0.1 або старіші версії) запобігають видаленню останнього адміністратора чи користувача з токеном безпеки на Mac. Якщо створення додаткових локальних користувачів заскриптовано за допомогою sysadminctl і потрібно, щоб вони отримали токен безпеки, необхідно надати облікові дані поточного адміністратора з токеном безпеки або за допомогою інтерактивної опції чи напряму за допомогою позначок -adminUser і -adminPassword до команди sysadminctl.
На Mac із macOS 11 чи новіших, якщо macOS не надає токен безпеки під час створення, а в службі керування пристроями доступний токен самозавантаження, токен безпеки надається локальному користувачу під час входу в систему. Введіть sysadminctl -h, щоб отримати додаткові вказівки із застосування.