Cifrado FileVault de Mac

Esta función está disponible en las ediciones Professional, Free y Trial de MDM.

Introducción

En la mayoría de las organizaciones es obligatorio cifrar la información almacenada en las computadoras de los empleados. El cifrado garantiza que solo los usuarios autorizados puedan acceder a la información de estos equipos. Los usuarios se autentican con sus credenciales de inicio de sesión, que a su vez descifran la información para acceder.

Filevault es la herramienta preferida para cifrar los datos en máquinas mac. Proporciona dos métodos para cifrar los datos en los sistemas.

  1. Cifrado con contraseña de iCloud
  2. Cifrado mediante clave de recuperación institucional

Cifrado con Mobile Device Manager Plus

Aunque los usuarios pueden cifrar manualmente sus sistemas, siempre se recomienda utilizar una solución de gestión de dispositivos para cifrar los sistemas gestionados. Esto asegura la uniformidad en el proceso de encriptación utilizado y también que todos los usuarios hayan encriptado sus dispositivos. El uso de Mobile Device Manager Plus para realizar el cifrado FileVault en máquinas Mac también tiene los siguientes beneficios

Con Mobile Device Manager Plus, un sistema Mac se puede cifrar mediante cualquiera de los siguientes métodos

  1. Clave de recuperación personal
  2. Clave de recuperación institucional
  3. Clave de recuperación personal e institucional 

Cifrado con clave de recuperación personal

Filevault permite a los usuarios generar una clave de recuperación personal que se puede utilizar para acceder a sus datos cifrados además de sus credenciales de inicio de sesión. Si el usuario olvida su contraseña de inicio de sesión, se le pedirá que ingrese esta clave de recuperación generada para descifrar su sistema.

Mobile Device Manager Plus admite el cifrado mediante una clave de recuperación. La clave de recuperación generada durante el cifrado se puede publicar en el servidor de Mobile Device Manager Plus. Esto garantiza que los usuarios puedan solicitar a los administradores de TI de su organización que les proporcionen la clave de recuperación para acceder a sus datos. Dado que la clave de recuperación personal es específica para los usuarios, esto también evita cualquier uso no autorizado de la clave de recuperación.

Siga los pasos que se dan aquí para cifrar los datos con la clave de recuperación personal. 

  1. En la consola MDM, navegue a  Device Mgmt -> Apple profile
  2. Ingrese un nombre para el perfil y seleccione  Cifrado FileVault
  3. Habilite la opción para usar la clave de recuperación personal para cifrar los sistemas mac del usuario.
  4. Puede optar por mostrar la clave generada al usuario para que pueda anotarla.
  5. Guarde y publique el perfil.
  6. Luego, puede distribuir este perfil a grupos o dispositivos.

Cifrado mediante clave de recuperación institucional

Las organizaciones también pueden optar por utilizar una única clave o un certificado para cifrar los sistemas mac de los empleados. Para utilizar un certificado para cifrar los sistemas, el administrador primero debe crear el certificado y cargarlo en el servidor MDM.

Para utilizar la clave de recuperación institucional para cifrar los sistemas, el administrador debe realizar los siguientes pasos

  1. Crea un certificado para cifrado
  2. Subiendo certificado a Mobile Device Manager Plus

Creando certificado

Esta sección explica los pasos para crear y exportar la clave de recuperación institucional.

  1. En una computadora de administrador, abra Terminal y ejecute el siguiente comando: sudo security create-filevaultmaster-keychain /Library/Keychains/FileVaultMaster.keychain
  2. Ingrese la contraseña / credencial de inicio de sesión.
  3. Cree una contraseña para el nuevo llavero cuando se le solicite. Esta contraseña se utilizará para acceder al certificado de llavero creado en los siguientes pasos. Se crea un llavero FileVaultMaster.keychain en la siguiente ubicación / Biblioteca / Llaveros /
  4. Deberá desbloquear el llavero para copiar o editar el llavero creado. Ingrese el siguiente comando en la terminal para desbloquear el llavero -desbloqueo de seguridad-llavero / Biblioteca/Keychains/FileVaultMaster.keychain
  5. Ingrese la contraseña del llavero creada anteriormente para desbloquear el llavero.
  6. Abra el acceso al llavero.
  7. En la barra de menú, elija Archivo-> Agregar llavero
  8.  
  9. Presione  Cmd + arriba para moverse hacia arriba en la jerarquía de carpetas. Continúe hasta llegar a la última página, seleccione el disco y luego navegue hasta / Library / Keychains / para encontrar el llavero creado.
  10.  
  11. Seleccione el archivo FileVaultMaster.keychain ubicado en esta carpeta.
  12. Seleccione FileVaultMaster debajo del encabezado Llaveros en la barra lateral, y luego seleccione Todos los elementos debajo del encabezado Categoría en la barra lateral.
  13. Verifique que haya una clave privada asociada con el certificado. Seleccione el certificado y la clave privada.
  14. En la barra de menú, elija Archivo -> Exportar elementos y guarde los elementos como un archivo .p12 .
  15. El archivo .p12 es un paquete que contiene tanto la clave de recuperación de FileVault como la clave privada .
  16. Cree y verifique otra contraseña para proteger el archivo y luego haga clic en Aceptar .
  17. Se le pedirá que ingrese esta contraseña cuando cargue la clave de recuperación.
  18. Elimina el llavero que creaste.
  19. Salga del acceso al llavero.

La clave de recuperación de FileVault y la clave privada se guardan como un archivo .p12 en la ubicación que especificó. Este archivo se puede utilizar para cifrar las computadoras del usuario.

Cargar el certificado en Mobile Device Manager Plus

Una vez que se crea el certificado requerido, el administrador debe cargar este certificado en la consola de Mobile Device Manager Plus y distribuirlo a los sistemas que se van a cifrar. Siga los pasos que se indican a continuación para cargar y distribuir la clave de recuperación institucional.

  1. En la consola MDM, navegue a  Administración de dispositivos -> Perfiles
  2. Seleccione  Apple en el cuadro desplegable que aparece al hacer clic en  Crear perfil .
  3. Haga clic en  Cifrado FileVault .
  4. Seleccione el certificado de clave de recuperación institucional como método de cifrado
  5. Busque y cargue el certificado de archivo .p12 creado. Guarde y publique el perfil.

Este perfil se puede distribuir a los grupos y dispositivos necesarios.

Cifrado con la clave de recuperación personal e institucional

Mobile Device Manager Plus también permite al administrador cifrar los sistemas utilizando una clave de recuperación personal y la clave de recuperación institucional. Esto es útil cuando los datos se van a descifrar, el usuario puede elegir qué método utilizar para descifrar sus datos.

Pasos para encriptar usando clave de recuperación personal e institucional.

  1. En la consola MDM, navegue a  Administración de dispositivos -> Perfiles
  2. Seleccione  Apple en el cuadro desplegable que aparece al hacer clic en  Crear perfil .
  3. Haga clic en  Cifrado FileVault .
  4. Seleccione la clave de recuperación personal e institucional como método de cifrado
  5. Cargue el certificado y, si es necesario, permita que los usuarios accedan a la clave de recuperación personal.
  6. Guarde y publique el perfil.
  7.  
  8. Distribuya el perfil a los grupos y dispositivos necesarios.

Descifrar sistemas mac cuando los usuarios olvidan sus contraseñas

Si un usuario olvida sus contraseñas, el usuario puede comunicarse con el administrador para descifrar sus sistemas. El administrador puede verificar el método de cifrado utilizado para cifrar el sistema navegando a Inventario, seleccionando el nombre del dispositivo y haciendo clic en la pestaña Cifrado FileVault. Según el tipo de cifrado utilizado, el administrador tiene dos opciones para descifrar el sistema.

  1.  Clave de recuperación personal : si el usuario tiene la clave de recuperación a mano, puede ingresar esta clave en la página de inicio de sesión cuando se le solicite. También pueden obtener esta clave del servidor Mobile Device Manager Plus desde la página donde están disponibles los detalles del método de cifrado. Una vez que se ingresa la clave de recuperación, se le pedirá al usuario que establezca una nueva contraseña.
  2. Clave de recuperación institucional: si se utiliza la clave de recuperación institucional, el sistema no se puede descifrar directamente, el usuario solo puede recuperar los archivos cifrados. A continuación, será necesario limpiar el sistema y restaurar los archivos en el sistema. El administrador puede acceder al certificado utilizado para el cifrado navegando a Inventario -> Nombre del dispositivo -> Cifrado FileVault. Descarga el certificado. Para descifrar el sistema que está cifrado con la clave de recuperación institucional, el administrador debe seguir los pasos que se detallan a continuación:

Conversión de p12 a formato de llavero

  1. En una máquina mac, navegue hasta AccesoLlaveros
  2. Cree un nuevo llavero navegando a  Archivo-> Nuevo llavero
  3. Ingrese  FileVaultMaster  como el nombre del llavero y asegúrelo con una contraseña
  4. Seleccione el llavero creado y vaya a  Archivo-> Importar elementos
  5. Seleccione el certificado .p12 descargado de Mobile Device Manager Plus
  6. Ingrese la contraseña para el certificado especificado durante la descarga desde Mobile Device Manager Plus

Desbloquee un volumen cifrado con Filevault 2 con una clave de recuperación institucional

Requisitos
Pasos
  1. En el sistema del administrador, donde se almacena el llavero creado originalmente (clave de recuperación institucional). Copie  FileVaultMaster.keychain-db junto con la clave privada a una unidad externa o unidad USB
  2. Arranque la máquina que debe ser descifrada, en modo de recuperación, manteniendo presionado command-R mientras se inicia.
  3. Para desbloquear el llavero

  4. Conecte el USB o la unidad externa con el llavero FileVaultMaster al dispositivo que desea descifrar. Una vez en modo de recuperación, la unidad debería montarse automáticamente. También puede montarlo usando la Utilidad de Discos.
  5. Abra Terminal navegando a Utilidades-> Terminal
  6. Desbloquee el llavero en la Terminal, ejecutando el comando security unlock-keychain /Volumes/[nameofdrive]/[path]/FileVaultMaster.keychain . Cuando se le solicite, ingrese la contraseña que se utilizó para crear el llavero.
  7.  
  8. Al ingresar la contraseña correcta, se desbloqueará el llavero.

    Desbloquea el volumen cifrado

    Es posible que los dispositivos MacOS que ejecutan macOS High Sierra (10.13) se hayan actualizado al nuevo APFS de Apple. Siga los pasos a continuación para desbloquear el volumen cifrado

  1. Si su dispositivo usa APFS, busque la función del disco APFS usando diskutil apfs list.
  2. Desbloquee el volumen cifrado mediante diskutil apfs unlockVolume [rol de disco APFS] -recoverykeychain /Volumes/[nameofdrive]/FileVaultMaster.keychain
  3. Ahora puede navegar por los directorios de la unidad desbloqueada o puede descifrar la unidad y apagarla.
  4. Luego puede descifrar los archivos usando diskutil apfs decryptVolume / dev / [rol de disco APFS] Puede verificar el progreso ejecutando diskutil apfs list nuevamente.

Si todavía está utilizando la versión de mac anterior a 10.13, siga los pasos que se indican a continuación para desbloquear y descifrar el volumen

  1.  Si su dispositivo usa macOS Extended (HFS +), busque los volúmenes de CoreStorage (UUID) mediante  diskutil cs list
  2. Busque el UUID de volumen lógico de la unidad cifrada, ejecutando el comando  diskutil corestorage list
  3. Desbloquee el volumen con diskutil corestorage unlockVolume [UUID] -recoveryKeyChain /Volumes/[nameofdrive]/[path]/FileVaultMaster.keychain
  4. El volumen debería desbloquearse y montarse, ahora puede recuperar los archivos.
  5. Descifre los archivos usando  diskutil corestorage revert [UUID] -recoveryKeychain /Volumes/[nameofdrive]/[path]/FileVaultMaster.keychain

Consejos para solucionar problemas




Vea también : Asociación de perfiles a grupos , Asociación de perfiles a dispositivos , Gestión de aplicaciones , Distribuir aplicaciones a dispositivos , Distribuir aplicaciones a grupos
Copyright © 2021, Zoho Corp . Todos los derechos reservados.
ManageEngine