MacFileVault加密

此功能在MDM的专业版、免费版和试用版中可用。

概述

在大多数组织中,对存储在员工计算机中的信息进行加密是强制性的。加密确保这些计算机上的信息只能由授权用户访问。用户使用登录凭证对自己进行身份验证,而登录凭证又对信息进行解密以供访问。

FileVault是mac计算机上加密数据的首选工具。它提供了两种加密系统数据的方法。

  1. 使用iCloud密码加密
  2. 使用机构恢复密钥加密

使用Mobile Device Manager Plus加密

尽管用户可以手动加密系统,但始终建议使用设备管理解决方案加密被管系统。这确保了加密过程的一致性,也确保了所有用户都对他们的设备进行了加密。使用Mobile Device Manager Plus在Mac计算机上执行FileVault加密还有以下好处:

使用Mobile Device Manager Plus,可以使用以下方法对Mac系统进行加密:

  1. 个人恢复密钥
  2. 机构恢复密钥
  3. 个人和机构恢复密钥

使用个人恢复密钥加密

FileVault允许用户生成个人恢复密钥,该密钥除了用于登录凭证外,还可用于访问加密数据。如果用户忘记了登录密码,系统将提示他输入生成的恢复密钥来解密系统。

Mobile Device Manager Plus支持使用恢复密钥进行加密。加密过程中生成的恢复密钥可以导入到Mobile Device Manager Plus服务器。这确保用户可以请求其组织的IT管理员为他们提供恢复密钥以访问数据。由于个人恢复密钥是特定于用户的,这也可以防止未经授权使用恢复密钥。

按照这里给出的步骤使用个人恢复密钥加密数据。

  1. 打开MDM控制台,导航到设备管理 > 配置文件 > macOS配置文件。
  2. 为配置文件命名并选择FileVault加密。
  3. 选择个人恢复密钥,加密用户的macOS设备。
  4. 你可以选择向用户显示生成的密钥,以便记录。
  5. 保存并发布配置文件。
  6. 将此配置文件与组或设备关联。

以下是管理员在设置FileVault时可能遇到的一些场景:

场景 1:

FileVault状态:禁用。

要管理FileVault,重新启动设备,或者请求用户退出。

如果设备上已经分发了FileVault配置文件,但MDM服务器上的FileVault状态显示为“禁用”,说明FileVault仍未被MDM管理。使用Mobile Device Manager Plus管理设备上的FileVault加密的步骤如下:

用户重新登录设备后,系统将提示输入用户名和密码。设备解锁后,MDM将自动启动设备扫描,获取FileVault恢复密钥,管理设备上的FileVault。

场景 2:

FileVault状态:禁用。

当设备上已禁用FileVault加密,且未向设备分发FileVault配置文件时,会显示此状态。 要启用和管理FileVault加密,请创建FileVault配置文件,并为设备启用恢复密钥。

轮换FileVault恢复密钥:

为了增强设备驱动器上用户数据、文件和所有重要信息的安全性,MDM还允许管理员更新FileVault恢复密钥,相同/旧的恢复密钥不能被再次使用。 轮换/更新FileVault恢复密钥的步骤如下:

  1. 打开资产清单选项卡,点击设备,选择已分发FileVault加密配置文件的macOS设备。
  2. 点击安全设置。如果FileVault已启用,点击动作,选择轮换恢复密钥。
  3. 在弹出窗口中,点击轮换密钥,更新MDM服务器上的FileVault恢复密钥。

轮换的恢复密钥将与更新的日期和时间一起显示。

场景 3:

管理设备上已经启用的FileVault:

FileVault状态:启用。

密钥不可用。导入个人恢复密钥并将FileVault配置文件分发到设备。

在某些情况下,FileVault可能已经通过不同的/以前的MDM解决方案在设备上启用,或者由用户自己启用。使用Mobile Device Manager Plus管理设备上的FileVault的步骤如下:

  1. 从设备上导入已有的FileVault恢复密钥。
  2. 将恢复密钥导入MDM服务器后,向设备分发FileVault加密配置文件。
  3. 导入密钥后,向设备分发FileVault加密文件。
  4. 从服务器重新启动设备,或者通知用户重新启动设备,或者退出设备。

用户使用用户名和密码登录设备后,MDM将自动启动设备扫描。扫描完成后,将收到更新的FileVault恢复密钥,以便MDM管理设备上的FileVault。

导入个人恢复密钥:

如果其他MDM解决方案启用了设备上的FileVault,那么MDM服务器上可能没有个人恢复密钥。要使密钥在MDM服务器上可用,需要导入密钥。

要为单个设备导入个人恢复密钥,导航到资产清单> 设备 > 设备详情> 安全设置> 现有的FileVault恢复密钥。

导入恢复密钥后,创建FileVault加密配置文件并分发到设备上。

使用机构恢复密钥加密

组织也可以选择只使用一个密钥或证书来加密员工的Mac系统。要使用证书加密系统,管理员必须首先创建证书并将其上传到MDM服务器。

要使用机构恢复密钥加密系统,管理员必须执行以下步骤:

  1. 创建用于加密的证书。
  2. 将证书上传到Mobile Device Manager Plus。

创建证书

此部分说明创建和导出机构恢复密钥的步骤。

  1. 在管理员计算机上,打开终端并执行以下命令:sudo security create-filevaultmaster-keychain /Library/Keychains/FileVaultMaster.keychain
  2. 输入登录密码/凭证。
  3. 当出现提示时,为新密钥链创建密码。此密码将用于访问在接下来的几个步骤中创建的密钥链证书。密钥链FileVaultMaster.keychain在以下位置创建/Library/Keychains/
  4. 您必须解锁密钥链才能复制或编辑创建的密钥链。在终端中输入以下命令以解锁密钥链 - security unlock-keychain /Library/Keychains/FileVaultMaster.keychain
  5. 输入之前创建的密钥链密码解锁密钥链。
  6. 打开Keychain Access。
  7. 从菜单栏中,选择文件 -> 添加密钥链
  8. Cmd+up在文件夹层次结构中向上移动,直到到达最后一页,选择磁盘,然后导航至/Library/Keychains/以找到创建的密钥链。
  9. 选择位于此文件夹中的FileVaultMaster.keychain文件。
  10. 在侧栏的密钥链标题下选择FileVaultMaster,然后在侧栏的类别标题下选择所有项目
  11. 验证个人密钥是否与证书关联。选择证书和个人密钥。
  12. 从菜单栏中,选择文件 -> 导出项目,并将项目保存为.p12文件
  13. .p12文件是包含FileVault恢复密钥私人密钥的包。
  14. 创建并验证另一个密码以保护该文件,然后点击OK
  15. 上传恢复密钥时,系统将提示您输入此密码
  16. 删除您已创建的密钥链。
  17. 退出Keychain Access。

FileVault恢复密钥和私人密钥将作为.p12文件保存在您指定的位置。此文件可用于加密用户的计算机。

在Mobile Device Manager Plus中上传证书

创建所需的证书后,管理员必须将此证书上传到Mobile Device Manager Plus控制台,并将其分发到要加密的系统。请按照以下步骤上传并分发机构恢复密钥。

  1. 在MDM控制台上,导航至设备管理 -> 配置文件
  2. 从点击创建配置文件时出现的下拉框中选择Apple
  3. 点击FileVault加密
  4. 选择机构恢复密钥证书作为加密方法。
  5. 浏览并上传创建的.p12文件证书。保存并发布配置文件。

然后可以将此配置文件分发到所需的组和设备。

使用个人和机构恢复密钥加密

Mobile Device Manager Plus还允许管理员使用个人恢复密钥和机构恢复密钥加密系统。当要解密数据时,这是很有用的,用户可以选择使用哪种方法来解密数据。

使用个人和机构恢复密钥加密的步骤:

  1. 在MDM控制台上,导航至设备管理 -> 配置文件
  2. 从点击创建配置文件时出现的下拉框中选择Apple
  3. 点击FileVault加密
  4. 选择个人和机构恢复密钥作为加密方法。
  5. 上传证书,如果需要,允许用户访问个人恢复密钥。
  6. 保存并发布配置文件。
  7.  
  8. 将配置文件分发到组和设备。

当用户忘记密码时解密Mac系统

如果用户忘记了密码,他可以联系管理员来解密系统。管理员可以通过导航至“资产清单”、选择设备名称并点击“FileVault加密”页签来检查用于加密系统的加密方法。根据使用的加密类型,管理员有两个选项来解密系统。

  1. 个人恢复密钥 - 如果用户手边有恢复密钥,他们可以在出现提示时在登录页面中输入该密钥。他们还可以从提供加密方法详细信息的页面中从Mobile Device Manager Plus服务器获取该密钥。输入恢复密钥后,将要求用户设置新密码。
  2. 机构恢复密钥 - 如果使用机构恢复密钥,则无法直接解密系统,用户只能检索加密文件,然后,必须擦除系统并将文件还原到系统中。管理员可以通过导航至资产清单 -> 设备名称 -> FileVault加密来访问用于加密的证书。下载证书。要解密使用机构恢复密钥加密的系统,管理员必须执行以下步骤:

将p12转换为密钥链格式

  1. 在Mac计算机上,导航至Keychain Access
  2. 通过导航至文件 -> 新密钥链创建新密钥链。
  3. 输入FileVaultMaster作为密钥链的名称,并使用密码保护它。
  4. 选择创建的密钥链并导航至文件 -> 导入项目
  5. 选择从Mobile Device Manager Plus下载的.p12证书
  6. 输入从Mobile Device Manager Plus下载时指定的证书的密码。

使用机构恢复密钥解锁FileVault 2加密卷

要求
步骤
  1. 在管理员系统上,存储最初创建的密钥链(机构恢复密钥)的地方,将FileVaultMaster.keychain-db与私人密钥一起复制到外部驱动或USB驱动。
  2. 启动时按住command-R,以恢复模式下引导须解密的计算机。
  3. 解锁密钥链

  4. 将带有FileVaultMaster密钥链的USB或外部驱动插入要解密的设备。一旦进入恢复模式,驱动将自动装载。您也可以使用磁盘实用程序装载它。
  5. 通过导航至实用程序 -> 终端打开终端。
  6. 通过运行命令security unlock-keychain /Volumes/[nameofdrive]/[path]/FileVaultMaster.keychain,在终端中解锁密钥链。当出现提示时,输入用于创建密钥链的密码。
  7. 输入正确的密码将解锁密钥链。

    解锁加密卷

    运行MacOS High Sierra(10.13)的MacOS设备可能已升级到Apple的新APFS。按照以下步骤解锁加密卷:

  1. 如果您的设备正在使用APFS,请使用diskutil apfs list查找APFS磁盘角色。
  2. 通过使用diskutil apfs unlockVolume [APFS disk role] -recoverykeychain /Volumes/[nameofdrive]/FileVaultMaster.keychain解锁加密卷。
  3. 现在您可以浏览已解锁驱动的目录,也可以解密驱动并关闭。
  4. 然后您可以使用diskutil apfs decryptVolume /dev/[APFS disk role]解密文件。您可以通过再次运行diskutil apfs list来检查进度。

如果您仍在使用低于10.13的mac版本,请按照以下步骤解锁和解密卷:

  1. 如果您的设备使用的是macOS Extended(HFS+),请使用diskutil cs list查找CoreStorage卷(UUID)。
  2. 通过运行命令diskutil corestorage list查找加密驱动的逻辑卷UUID。
  3. 使用diskutil corestorage unlockVolume [UUID] -recoveryKeyChain /Volumes/[nameofdrive]/[path]/FileVaultMaster.keychain解锁卷。
  4. 卷应解锁并挂载,您现在可以检索文件。
  5. 使用diskutil corestorage revert [UUID] -recoveryKeychain /Volumes/[nameofdrive]/[path]/FileVaultMaster.keychain解密文件。

故障排除提示




版权所有 © 2023, 卓豪(中国)技术有限公司。保留一切权利。
ManageEngine卓豪 - IT管理 新体验