La forma en que implemente el esquema de cifrado de disco completo de Apple afectará a la forma en que los usuarios finales utilizan su hardware y a la forma en que el departamento de TI gestiona estos dispositivos. He aquí tres consejos para automatizar la implementación de FileVault 2.
FileVault 2 de Apple: una solución total de cifrado de discos: los ordenadores MacOS vienen con un software de cifrado de discos integrado, pero no confíe sólo en él para protegerle.
FileVault 2 de Apple cifra todo el disco, de modo que todos los datos que contiene (a pesar del número de usuarios con los que se comparte) se codifican esencialmente para todos, excepto para las personas que tienen las credenciales para desbloquear el disco y descifrar los datos. Por diseño, FileVault concede esta autorización sólo a la cuenta que habilita esta función; otras pueden añadirse a la lista habilitada más adelante.
Más información sobre Apple
Esta implementación proporciona al usuario principal (es decir, al usuario que habilita FileVault inicialmente) un mayor control, permitiendo a esa persona desbloquear el disco, descifrar los datos e incluso eliminar FileVault por completo. El usuario principal también recibirá la clave de recuperación personal; si se pierde el acceso a la cuenta, esa persona puede desbloquear el disco para restaurar el acceso a los datos. Una advertencia: Todo esto depende de un solo usuario, ya que normalmente no se permite la gestión centralizada de los usuarios para desbloquear el disco; el departamento de TI puede o no tener acceso al dispositivo para su gestión y, lo que es peor, no existe ningún método para contabilizar las claves de recuperación generadas para cada dispositivo de la organización.
Afortunadamente, Apple ha incluido una forma basada en la línea de comandos para tener su pastel y comérselo también, permitiendo la administración de claves de recuperación, configuraciones de cuentas de usuario para desbloquear los discos y la capacidad de administrar los dispositivos de forma continua sin comprometer los datos de los usuarios ni su confidencialidad. Conozca tres maneras de automatizar una implementación de FileVault, incluidos pequeños ajustes para adaptarse mejor a las necesidades de su organización.
Nota: Este artículo se incluye en la descarga gratuita en PDF de Apple FileVault 2: Consejos para profesionales de TI.
Requisitos
- Ordenador o servidor administrativo Mac con macOS Yosemite o posterior instalado
- Ordenador(es) cliente Mac con macOS Yosemite o posterior(s) instalado(s)
- Credenciales administrativas
- Red conmutada (opcional, aunque muy recomendable si se despliega a través de la red)
Cómo automatizar FileVault con una clave de recuperación personal para un único usuario
fdesetup enable -user UserName -outputplist > /path/to/share/filename.plist
Este método esencialmente habilitará la encriptación, agregará al usuario indicado como una cuenta autorizada para desbloquear el disco y generará una clave de recuperación personal que se escribe en un archivo.plist en una ubicación centralizada para su protección.
Cómo automatizar FileVault con claves de recuperación personal para varios usuarios
fdesetup enable -inputplist < /path/to/share/filename.plist -outputlist > /path/to/share/filename.plist
El método para añadir varios usuarios mientras se habilita FileVault es casi idéntico al comando de usuario único, excepto que el Administrador crea un archivo.plist con un formato especial (que se encuentra a continuación) que incluye los nombres de usuario y las contraseñas de todas las cuentas que se añadirán a la lista de usuarios autorizados de FileVault.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-///Apple//DTD PLIST 1.0///ES" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict><key>Username</key><string>username</string><key>Password</key><string>password</cadena><clave>>Usuarios adicionales</clave><array> <dicto> <clave>nombredeusuario</clave> <clave> <clave> <clave> <clave>>cadena>nombredeusuario</cuerda> <clave>Contraseña</clave> <clave> <clave> <clave> <clave> <clave>Usuario</clave> <clave> <clave> cadenausername</string> <key>Password</key> <string>password</string> </dict></array></dict></plist>
Nota: Aunque este método permite la adición de múltiples usuarios, lo hace requiriendo que los nombres de usuario y las contraseñas de las cuentas se almacenen en texto plano, lo cual es una mala práctica de seguridad. Por lo tanto, use esto bajo su propio riesgo.
fdesetup add -usertoadd UserName
Si varios usuarios de un dispositivo deben estar autorizados a desbloquear un disco cifrado, el uso del parámetro -usertoadd seguido del nombre de cuenta del usuario añadirá esa cuenta a la lista de usuarios autorizados.
VER: Política de cifrado (Tech Pro Research)
Cómo automatizar FileVault con una clave de recuperación institucional
fdesetup enable -keychain -norecoverykey
Si el seguimiento de varias claves crea demasiada sobrecarga administrativa al gestionar FileVault, la implementación de una clave institucional que aproveche el Keychain proporcionará el mismo nivel de recuperabilidad al tiempo que facilita la gestión.
Para que esta implementación funcione, el comando sólo necesita ejecutarse en un equipo, preferiblemente en una estación administrativa para que cree el archivo FileVaultMaster.keychain en la aplicación Keychain. Una vez creado, siga los pasos descritos por Apple en su excelente redacción para configurar el llavero. A continuación, impleméntelo utilizando su método favorito en cada Mac de su entorno y ejecute el siguiente comando para activar FileVault. La clave de recuperación debe detectarse en el llavero de su institución.
habilitar fdesetup
Nota: Una vez activado FileVault, cada dispositivo cliente debe reiniciarse para que los cambios surtan efecto e inicien el proceso de cifrado. Añadiendo el parámetro -forestestart al final de cada uno de los comandos listados arriba, se activará cada dispositivo para reiniciar y completar el proceso.
Boletín semanal de Apple
Ya sea que necesites consejos sobre iPhone y Mac o noticias de Apple específicas de la empresa, nosotros te cubrimos. Entregado los martes