Používání zabezpečených a bootstrapových tokenů a vlastnictví svazků v nasazených systémech
Zabezpečený token
Souborový systém APFS (Apple File System) na Macích se systémem macOS 10.13 nebo novějším mění způsob generování šifrovacích klíčů pro FileVault. V předchozích verzích systému macOS ve svazcích CoreStorage se klíče používané k šifrování FileVaultu vytvářely v okamžiku, kdy uživatel nebo organizace FileVault na Macu zapnuli. Na Macích se svazky APFS se šifrovací klíče generují při vytvoření uživatelského účtu, při prvním nastavení jeho hesla anebo během prvního přihlášení uživatele k Macu. Tato implementace šifrovacích klíčů, určování okamžiku jejich vytvoření i způsob jejich ukládání jsou součástí funkce nazývané secure token (zabezpečený token). Přesněji řečeno, zabezpečený token je zapouzdřená verze klíče KEK (Key Encryption Key) chráněná uživatelským heslem.
Při nasazení FileVaultu ve svazku APFS může uživatel i nadále:
používat stávající nástroje a procesy, například osobní obnovovací klíč (PRK), který můžete uložit do úschovy ve službě správy zařízení,
vytvářet a používat instituční klíče pro obnovení (IRK),
odložit aktivaci FileVaultu, dokud se uživatel nepřihlásí k Macu nebo se od něj neodhlásí.
Na Macích se systémem macOS 11 nebo novějším je důsledkem nastavení počátečního hesla pro úplně prvního uživatele na Macu to, že je tomuto uživateli přidělen zabezpečený token. V některých sledech úloh to však nemusí být žádoucím chováním, protože přidělení prvního zabezpečeného tokenu by nejprve vyžadovalo přihlášení k uživatelskému účtu. Chcete‑li tomu zabránit, je nutné ještě před nastavením hesla uživatele přidat k programově vytvářenému atributu uživatele AuthenticationAuthority položku ;DisabledTags;SecureToken, jak je předvedeno níže:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrapový token
Na Macích se systémem macOS 10.5 nebo novějším můžete bootstrapové tokeny kromě přidělování zabezpečených tokenů existujícím uživatelským účtům používat i k dalším akcím. Na počítačích Mac s čipy Apple můžete bootstrapový token – pokud je dostupný a spravuje ho služba správy zařízení – používat k následujícím účelům:
dohled nad zařízením,
podpora poskytovaná vývojářem služby správy zařízení.
Na Macích se systémem macOS 10.15.4 nebo novějším tento systém vygeneruje bootstrapový token a předá ho do úschovy službě správy zařízení při prvním přihlášení uživatele s aktivovaným zabezpečeným tokenem. Kromě toho můžete také bootstrapový token vygenerovat a předat službě do úschovy pomocí nástroje příkazového řádku profiles.
Na Macích se systémem macOS 11 nebo novějším můžete bootstrapové tokeny kromě přidělování zabezpečených tokenů existujícím uživatelským účtům používat i k dalším akcím. Na počítačích Mac s čipy Apple můžete bootstrapový token – pokud je dostupný a spravuje ho služba správy zařízení – používat pro:
Autorizaci instalace aktualizací softwaru.
Bezobslužnou autorizaci příkazu správy zařízení Smazat data a nastavení (vyžaduje macOS 12.0.1 nebo novější).
Vytváření nových uživatelů při jejich prvním přihlášení prostřednictvím SSO na platformě (macOS 13 a novější).
Vlastnictví svazků
U počítačů Mac s čipy Apple je nově zaveden princip vlastnictví svazků. V kontextu organizace pojem vlastnictví svazku nesouvisí se skutečným právním vlastnictvím Macu ani s jeho evidovaným dodavatelským a vlastnickým řetězcem. Vlastníka svazku lze zhruba definovat jako uživatele, který si Mac jako první „přivlastnil“ tím, že ho nakonfiguroval pro své vlastní použití, nebo libovolného dalšího uživatele. Nikdo jiný než vlastník svazku nemůže měnit zásady zabezpečeného spouštění konkrétní instalace systému macOS, autorizovat instalaci aktualizací a upgradů softwaru macOS, spustit na Macu příkaz „Smazat data a nastavení“ a provádět další aktivity. Zásady zabezpečeného spouštění definují omezení ohledně toho, které verze macOS lze zavést, a také toho, zda a jaká rozšíření kernelu třetích stran lze do počítače zavést nebo v něm spravovat.
Uživateli, který si jako první „přivlastní“ Mac tím, že ho nakonfiguruje pro své použití, je na Macích s čipy Apple udělen zabezpečený token a stává se prvním vlastníkem svazku. Je‑li k dispozici aktivní bootstrapový token, stává se také vlastníkem svazku a následně může udělovat status vlastnictví svazku dalším účtům tím, že jim uděluje zabezpečené tokeny. Vzhledem k tomu, že první uživatel, kterému je udělen zabezpečený nebo bootstrapový token, se stává vlastníkem svazku a že bootstrapový token propůjčuje možnost udělovat zabezpečené tokeny dalším uživatelům (kteří se potom také stávají vlastníky svazku), organizace zpravidla nemusí vlastnictví svazků aktivně spravovat ani s ním nijak manipulovat. Již zavedená opatření související se správou a udělováním zabezpečených tokenů by obecně měla pokrývat i status vlastnictví svazků.
Vlastník svazku nemusí být současně správcem, při provádění některých úloh se ale kontrolují obě role. Příklad: K úpravám konfigurace zabezpečeného spouštění je nutné být jak správcem, tak také vlastníkem svazku; oproti tomu autorizaci softwarových aktualizací mohou provádět standardní uživatelé a vyžaduje pouze status vlastnictví.
Aktuální seznam vlastníků svazku můžete na počítačích Mac s čipy Apple zobrazit pomocí následujícího příkazu:
sudo diskutil apfs listUsers /Položky GUID ve výstupu příkazu diskutil typu „Local Open Directory User“ odpovídají atributům GeneratedUID uživatelských záznamů v Open Directory. Uživatele můžete vyhledat podle GeneratedUID pomocí následujícího příkazu:
dscl . -search /Users GeneratedUID <GUID>Můžete uživatelská jména spolu s položkami GUID zobrazit také následujícím příkazem:
sudo fdesetup list -extendedÚdaje o vlastnictví jsou zálohovány s použitím šifrování v modulu Secure Enclave. Další informace získáte zde:
Používání nástrojů příkazového řádku
Pro správu bootstrapových a zabezpečených tokenů jsou k dispozici nástroje příkazového řádku. Systém macOS zpravidla bootstrapový token generuje a svěřuje do úschovy službě správy zařízení v průběhu úvodní instalace systému macOS poté, co služba správy zařízení informuje Mac, že tuto funkci podporuje. Můžete ho však vygenerovat i na nasazeném Macu. Na Macích se systémem macOS 10.15.4 nebo novějším tento systém generuje bootstrapový token a předává ho službě správy zařízení do úschovy při prvním přihlášení jakéhokoli uživatele s aktivovaným zabezpečeným tokenem (pokud služba správy zařízení tuto funkci podporuje). Po počátečním nastavení zařízení tedy není třeba generovat bootstrapový token a předávat ho službě do úschovy pomocí nástroje příkazového řádku profiles.
V nástroji příkazového řádku profiles je pro práci s bootstrapovými tokeny k dispozici několik voleb:
sudo profiles install -type bootstraptoken: Tento příkaz vygeneruje nový bootstrapový token a předá ho do úschovy službě správy zařízení. Pro prvotní vygenerování bootstrapového tokenu tento příkaz vyžaduje informace o existujícím správci se zabezpečeným tokenem; služba navíc musí tuto funkci podporovat.sudo profiles remove -type bootstraptoken: Odstraní existující bootstrapový token z Macu i ze služby správy zařízení.sudo profiles status -type bootstraptoken: Vrátí informace o tom, jestli služba správy zařízení podporuje bootstrapové tokeny a jaký je aktuální stav bootstrapového tokenu na Macu.sudo profiles validate -type bootstraptoken: Vrátí informace o tom, jestli služba správy zařízení podporuje bootstrapové tokeny a jaký je aktuální stav bootstrapového tokenu na Macu.
Nástroj příkazového řádku sysadminctl
Pomocí nástroje příkazového řádku sysadminctl lze individuálně měnit stav zabezpečeného tokenu pro uživatelské účty na počítačích Mac. Takové změny je však třeba provádět opatrně a jen tehdy, je‑li to nutné. Při změně stavu zabezpečeného tokenu u uživatele pomocí nástroje sysadminctl je vždy vyžadováno uživatelské jméno a heslo stávajícího správce s aktivním zabezpečeným tokenem, které je možné zadat interaktivně nebo pomocí příslušných parametrů příkazu. Nástroj sysadminctl a Nastavení systému (macOS 13 a novější) nebo Předvolby systému (macOS 12.0.1 a starší) brání smazání posledního správce nebo uživatele s aktivovaným zabezpečeným tokenem na Macu. Aby bylo možné aktivovat zabezpečený token pro další místní uživatele vytvořené skriptem využívajícím nástroj sysadminctl, je nutné zadat ověřovací údaje aktuálního správce s aktivovaným zabezpečeným tokenem, a to buď interaktivně, nebo přímo pomocí atributů -adminUser a -adminPassword příkazu sysadminctl.
Pokud na Macích se systémem macOS 11 nebo novějším macOS nepřidělí zabezpečený token při vytvoření a pokud je ve službě správy zařízení k dispozici bootstrapový token, přidělí systém zabezpečený token místnímu uživateli při přihlášení. Další pokyny k použití zobrazíte zadáním příkazu sysadminctl -h.