Mac FileVault 加密

此功能可用于 Professional、Free 和 Trial 版的 MDM。

多数组织要求对员工电脑中存储的信息进行加密。加密确保这些电脑上的信息只能被授权用户访问。用户通过其登录凭证进行身份验证，进而解密信息进行访问。

FileVault 是在 Mac 机器上加密数据的首选工具。它提供两种系统数据加密方法。

使用 iCloud 密码加密
使用机构恢复密钥加密

使用 Endpoint Central 加密

虽然用户可以手动加密他们的系统，但建议始终使用设备管理解决方案加密管理的系统。这确保了加密流程的一致性，并且确保所有用户都已加密其设备。使用 Endpoint Central 对 Mac 机器执行 FileVault 加密还有以下优点：

一次性设置- 您只需创建并分发配置文件到组一次，所有设备均会被加密。
无用户依赖- 管理员创建并应用配置文件后，下次设备登录时即开始加密过程，无需用户干预。
强制加密- 组织管理员可以确保在所有所需系统上使用所需的加密方法强制执行加密。
密钥存储在服务器- 用户无需负责记住个人恢复密钥，以防忘记密码。
简化设置流程- 用户只需选择加密方法，启用并上传证书，即完成设置过程。

使用 Endpoint Central，Mac 系统可以通过以下任一方法加密：

个人恢复密钥
机构恢复密钥
个人和机构恢复密钥

使用个人恢复密钥加密

FileVault 允许用户生成个人恢复密钥，除登录凭证外，可用此密钥访问加密数据。若用户忘记登录密码，将提示输入此恢复密钥以解密系统。

Endpoint Central 支持使用恢复密钥加密。加密期间生成的恢复密钥可上传至 Endpoint Central 服务器，确保用户可请求组织 IT 管理员提供恢复密钥访问数据。由于个人恢复密钥针对用户特定，防止任何未授权使用该密钥。

按照此处步骤使用个人恢复密钥加密数据。

在 Endpoint Central 控制台，导航至Device Mgmt -> Apple profile
输入配置文件名称并选择FileVault Encryption
启用使用个人恢复密钥加密用户的 Mac 系统选项。
可选择向用户显示生成的密钥，方便其记录。
保存并发布配置文件。
然后可将此配置文件关联到组或设备.

管理员在设置 FileVault 时可能遇到以下情况：

情况 1：

FileVault 状态：已禁用。
重启设备，或请求用户注销以管理 FileVault。

如果已将 FileVault 配置文件分发至设备，但 Endpoint Central 服务器显示 FileVault 状态为 已禁用，表示 FileVault 尚未被 MDM 管理。要使用 Endpoint Central 管理设备上的 FileVault 加密，请执行以下步骤：

远程重启设备，路径为 Inventory> Devices> Actions> Restart。

（或者）

通知用户重启设备。

（或者）

请求用户注销设备。

用户重新登录设备时，将提示输入用户名和密码。解锁设备后，MDM 会自动启动设备扫描，获取 FileVault 恢复密钥，从而管理设备上的 FileVault。

情况 2：

FileVault 状态：已禁用。

当设备上的 FileVault 加密已禁用且未分发 FileVault 配置文件时，将显示此状态。要启用并管理 FileVault 加密，需创建 FileVault 配置文件并启用设备的恢复密钥。

轮换 FileVault 恢复密钥：

为确保用户数据、文件及设备驱动器中的重要信息安全，MDM 还允许管理员更新 FileVault 恢复密钥，这防止重复使用相同或旧的恢复密钥。按以下步骤轮换/更新 FileVault 恢复密钥：

在 Inventory 标签中，点击 Devices 并选择已分发 FileVault 加密配置文件的 macOS 设备。
选中设备后，点击 Security Settings。 若已启用 FileVault，点击 Actions 并选择 Rotate Recovery Key。
弹出窗口显示，点击 Rotate Key 更新 Endpoint Central 服务器上的 FileVault 恢复密钥。

更新后的恢复密钥及更新时间将显示。

情况 3：

管理已在设备上启用的 FileVault：

FileVault 状态：已启用。
密钥不可用。导入个人恢复密钥并分发 FileVault 配置文件至设备。

在某些情况下，FileVault 可能通过其他或之前的 M 解决方案，或用户自行启用。要使用 Endpoint Central 管理设备上的 FileVault，请执行以下步骤：

从设备导入 现有的 FileVault 恢复密钥。
恢复密钥导入 Endpoint Central 服务器后，向设备分发 FileVault 加密配置文件。
密钥导入后，分发 FileVault 加密配置文件至设备。
从服务器重启设备，或者通知用户重启或注销设备。

用户使用其用户名和密码登录设备后，MDM 会自动启动设备扫描。扫描完成后，即可接收更新的 FileVault 恢复密钥，便于 MDM 管理设备上的 FileVault。

导入个人恢复密钥：

若 FileVault 通过另一个 Endpoint Central 方案启用，个人恢复密钥可能未在 Endpoint Central 服务器上可用。需导入密钥使其可用。

要为单个设备导入个人恢复密钥，导航至 Inventory> Devices > Device details> Security Settings> Existing FileVault recovery key。

若为批量设备导入个人恢复密钥，导航至 Inventory 并点击 Devices 标签。
选择 批量编辑设备详情中，点击浏览并上传 包含已输入现有 FileVault 恢复密钥详情的 CSV 文件。

密钥导入后，创建并分发 FileVault 加密配置文件至设备。

使用机构恢复密钥加密

组织也可选择仅用单一密钥或证书加密员工的 Mac 系统。要使用证书加密系统，管理员必须先创建证书并上传至 Endpoint Central 服务器。

要使用机构恢复密钥加密系统，管理员需执行以下步骤：

创建加密证书
将证书上传至 Endpoint Central

创建证书

本节说明创建并导出机构恢复密钥的步骤 -

在管理员电脑上，打开终端并执行以下命令： sudo security create-filevaultmaster-keychain /Library/Keychains/FileVaultMaster.keychain
输入登录密码/凭证。
系统提示时，为新钥匙串创建密码。此密码用于访问接下来步骤中创建的钥匙串证书。创建了钥匙串 FileVaultMaster.keychain ，位于以下位置： /Library/Keychains/
复制或编辑创建的钥匙串前，需先解锁钥匙串。终端中输入以下命令解锁钥匙串 -security unlock-keychain /Library/Keychains/FileVaultMaster.keychain
输入先前创建的钥匙串密码以解锁钥匙串。
打开钥匙串访问。
从菜单栏选择 文件 -> 添加钥匙串
按Cmd+向上箭头 在文件夹层级中向上移动，直到到达最后一页，选择磁盘，然后导航到
选择该文件 FileVaultMaster.keychain 位于此文件夹中。
选择 FileVaultMaster 在 钥匙串 侧边栏标题下，然后选择 所有项目 在分类侧边栏标题。
确认证书关联有私钥。选择证书和私钥，
从菜单栏选择 文件 -> 导出项目， 并保存为 .p12 文件。.
.p12 文件包含 FileVault 恢复密钥 和私钥.
创建并确认另一个密码以保护文件，然后点击确定.
上传恢复密钥时，系统会提示 输入此密码。 删除您创建的钥匙串。
退出钥匙串访问。
FileVault 恢复密钥和私钥已保存为指定位置的 .p12 文件。此文件可用于加密用户电脑。

在 Endpoint Central 上传证书

创建所需证书后，管理员需将该证书上传至 Endpoint Central 控制台并分发到需加密的系统。按以下步骤上传并分发机构恢复密钥。

Device Management -> Profiles

在 Endpoint Central 控制台，导航至选择
选择Apple ，从点击创建配置文件.
出现的下拉菜单中选择。 FileVault 加密.
选择 机构恢复密钥 证书作为加密方法
浏览并上传创建的 .p12 文件证书。保存并发布配置文件。

然后该配置文件可分发给所需的组和设备。

使用个人和机构恢复密钥进行加密

Endpoint Central 还允许管理员使用个人恢复密钥和机构恢复密钥同时加密系统。当需要解密数据时，用户可以选择使用哪种方法来解密其数据。

使用个人和机构恢复密钥加密的步骤。

在 Endpoint Central 控制台，导航至选择
选择 Apple ，从点击创建配置文件.
点击 FileVault Encryption.
选择 个人和机构恢复密钥 作为加密方法
上传证书，并在需要时允许用户访问个人恢复密钥。
保存并发布配置文件。
将配置文件分发给所需的组和设备。

当用户忘记密码时解密 mac 系统

如果用户忘记密码，用户可以联系管理员解密其系统。管理员可以通过导航至 Inventory，选择设备名称并点击 FileVault Encryption 标签页，查看用于加密系统的加密方法。根据所用的加密类型，管理员有两种解密系统的选项。

个人恢复密钥- 如果用户手头有恢复密钥，可在提示时于登录页面输入该密钥。也可从 Endpoint Central 服务器的加密方法详情页面获取此密钥。输入恢复密钥后，系统将要求用户设置新密码。
机构恢复密钥- 如果使用机构恢复密钥，则系统无法直接解密，用户只能检索加密文件。系统随后必须被抹除并将文件恢复至系统中。管理员可以通过导航至 Inventory ->设备名称 -> FileVault Encryption 访问用于加密的证书。下载证书。要解密使用机构恢复密钥加密的系统，管理员需遵循以下步骤-

将 p12 转换为钥匙串格式

在 Mac 机器上，导航至 钥匙串访问
通过导航至 文件->新建钥匙串
输入 FileVaultMaster 作为钥匙串名称，并使用密码保护
选择创建的钥匙串，导航至 文件->导入项目
选择该文件 .p12 证书 从 Endpoint Central 下载
输入下载 Endpoint Central 时指定的证书密码

使用机构恢复密钥解锁 FileVault 2 加密的卷

要求

运行 macOS 10.9 或更高版本
外置硬盘或 USB 驱动器

步骤

在管理员系统中，存储原始创建的钥匙串（机构恢复密钥）。复制 FileVaultMaster.keychain-db 及私钥到外置硬盘或 USB 驱动器
启动需解密的机器，按住 command-R 进入恢复模式。

解锁钥匙串

将含有 FileVaultMaster 钥匙串的 USB 或外置驱动器插入需解密设备。进入恢复模式后，驱动器应自动挂载。也可使用磁盘工具挂载。
通过导航打开终端 实用工具->终端
在终端中运行命令解锁钥匙串 security unlock-keychain /Volumes/[驱动器名称]/[路径]/FileVaultMaster.keychain。提示时输入创建钥匙串时使用的密码。
输入正确密码将解锁钥匙串。

解锁加密卷

运行 macOS High Sierra (10.13) 的设备可能已升级到 Apple 的新 APFS。请按下列步骤解锁加密卷

若设备使用 APFS，使用命令 diskutil apfs list 查找 APFS 磁盘角色。
使用命令 diskutil apfs unlockVolume [APFS 磁盘角色] -recoverykeychain /Volumes/[驱动器名称]/FileVaultMaster.keychain 解锁加密卷
现在可以浏览已解锁驱动器的目录，或解密驱动器并关闭加密。
可使用命令 diskutil apfs decryptVolume /dev/[APFS 磁盘角色] 解密文件，使用命令 diskutil apfs list 再次检查进度。

如果您仍使用低于 10.13 版本的 mac，请按照以下步骤解锁和解密卷

如果设备使用 macOS Extended (HFS+)，使用命令 diskutil cs list
通过运行命令查找加密驱动器的逻辑卷 UUID diskutil corestorage list
使用命令解锁卷 diskutil corestorage unlockVolume [UUID] -recoveryKeyChain /Volumes/[驱动器名称]/[路径]/FileVaultMaster.keychain
卷应解锁并挂载，现在可以检索文件。
使用命令解密文件diskutil corestorage revert [UUID] -recoveryKeychain /Volumes/[驱动器名称]/[路径]/FileVaultMaster.keychain

故障排除提示

您的计算机启用 FileVault 时出现问题。请使用系统偏好设置中的“安全性与隐私”查看或更改 FileVault 设置。
当为移动账户或没有服务器令牌的用户账户配置 FileVault 时，会显示此消息。要检查特定账户是否拥有服务器令牌，请在 Mac 机器上打开终端并输入以下命令：
sysadminctl -secureTokenStatus username_goes_here
要为特定账户添加服务器令牌，请使用：
sysadminctl -secureTokenOn username_which_needs_secure_token_goes_here -password password_goes_here