Verwaltung von Apple FileVault mit Jamf

Holen Sie sich eine fachkundige Anleitung zur Aktivierung von FileVault, Apples nativer Lösung für die vollständige Festplattenverschlüsselung, und nutzen Sie das volle Potenzial der Fernverwaltung mit Jamf.

October 26 2023 Von

Laurie Mona

Padlock on top of computer keyboard.

In den heutigen mobilen Arbeits- und Bildungsumgebungen sind die integrierten Verschlüsselungstechnologien, die Unternehmensdaten und die Privatsphäre der Nutzer*innen schützen, ein entscheidendes Merkmal der Apple Geräte.

FileVault, die native Lösung von Apple für die vollständige Festplattenverschlüsselung auf dem Mac, schützt gespeicherte Dateien, um den Zugriff böswilliger Akteur*innen auf die Daten zu verhindern. Wenn FileVault aktiviert ist, verschlüsselt es den Inhalt eines Mac Kontos, indem es die Anmeldedaten des Benutzers/der Benutzerin als Methode zum Sperren und Entsperren des Kontos verwendet, wenn ein Benutzer/eine Benutzerin abgemeldet oder erfolgreich authentifiziert ist.

Hier erfahren Sie mehr über die Grundlagen von FileVault.

Da es mehrere Möglichkeiten gibt, FileVault zu aktivieren und zu verwalten, ist es wichtig zu wissen, wo man anfangen muss, und sich über neue Funktionen auf dem Laufenden zu halten. In diesem Blog zeigen wir Ihnen, wie Sie die FileVault Verschlüsselung auf Macs mit Jamf Pro aktivieren können.

Warum sollten Sie sich über FileVault Verwaltung informieren?

Wenn Sie für die Verwaltung der Apple Geräte einer Organisation verantwortlich sind - ob mit Jamf Pro, Jamf School oder Jamf Now - müssen Sie die nativen Apple Verschlüsselungstechnologien kennen und verstehen und wissen, wie sie zu den gewünschten Ergebnissen passen, damit Sie den geeigneten Aktivierungs-Workflow und die richtige Bereitstellungsmethode wählen können.

Für einen umfassenden Überblick sollten IT-Administrator*innen die Einführung in die Implementierung von Apple Plattformen lesen. Informationen speziell zu FileVault finden Sie in den Abschnitten unter der Überschrift „Gerätesicherheit gewährleisten”.

FileVault ist ein wichtiger Aspekt auf jeder macOS Sicherheits-Checkliste, wie in den Benchmarks des Center for Internet Security (CIS) empfohlen. Wenn Sie mehr über diese Checkliste erfahren möchten, haben wir ein hervorragendes Whitepaper zu diesem Thema.

Wenn Sie FileVault mit Jamf Pro aktivieren, benötigen die Macs in Ihrer Umgebung die Anmeldeinformationen eines Benutzers/einer Benutzerin, um den Startvorgang abzuschließen. Sie können Jamf verwenden, um FileVault auf verwalteten Computern zu aktivieren, indem Sie entweder ein Konfigurationsprofil oder eine Festplattenverschlüsselungskonfiguration und -richtlinie verwenden.

macOS Verschlüsselungsbausteine

Zu den Technologien, die für das Verständnis der macOS Verschlüsselung und der FileVault Verwaltung entscheidend sind, gehören:

  • SecureToken - Ein kryptografischer Schlüssel, der bei der Kontoerstellung zugewiesen wird und mit dem Kennwort eines Benutzers/einer Benutzerin verschlüsselt ist. Erforderlich für einen Benutzer/eine Benutzerin, um FileVault fähig zu sein.
  • Bootstrap Token - Wenn ein SecureToken Benutzer/eine SecureToken Benutzerin erstellt wird oder sich anmeldet, wird ein zusätzliches Token für MDM hinterlegt. Eingeführt in macOS 10.15.
  • Volume Ownership - Speziell für Computer mit Apple Silicon. Ermöglicht Benutzer*innen den Zugriff auf den Identitätsschlüssel des Eigentümers, der in der sicheren Enklave gespeichert ist. Erforderlich für Funktionen wie Software-Aktualisierungen und die Verwaltung älterer externer Erweiterungen.

Bereitstellen von FileVault

Die Einführung in die Implementierung von Apple Plattformen enthält spezifische Szenarien als Referenz, sodass Sie entscheiden können, welcher Bereitstellungsablauf für Ihr Unternehmen der richtige ist.

Benutzer*in richtet einen Mac selbst ein

  • Eine echte Zero-Touch-Bereitstellung ist der einfachste Weg zur Aktivierung von FileVault.

Der Mac wird von einer Organisation bereitgestellt

  • Wenn Ihr IT-Administrator/Ihre IT-Administratorin einen neuen Computer einrichtet, ist er der erste, der das Token erhält, und nicht der alltägliche Benutzer/die alltägliche Benutzerin. In diesem Fall müssen Sie berücksichtigen, wie sich Ihr Einsatz auf den Token-Status auswirkt.
  • Es gibt auch einige Szenarien, in denen, wenn eine Jamf Richtlinie vor der Erstellung eines Benutzers/einer Benutzerin ausgeführt wird, dies dazu führen könnte, dass ein unbeabsichtigter Benutzer/eine unbeabsichtigte Benutzerin das erste Token erhält.

Es empfiehlt sich, die Ziele und Ergebnisse Ihres Bereitstellungs-Workflows zu bewerten, damit Sie herausfinden können, ob Sie Ihre Befähigungsmethode ändern oder modifizieren müssen, um zu verstehen, wer das Token erhält, wenn Sie FileVault verwalten.

Es ist einfacher, diese Praktiken am Anfang einer Implementierung zu etablieren, als später zu versuchen, sie zu korrigieren.

Aktivieren von FileVault

Auswahl einer FileVault Aktivierungsmethode

Für die Verwaltung von FileVault können Sie zwischen drei Hauptaktivierungsmethoden wählen. Sie können mehr als eine Methode verwenden, aber jeder Computer sollte mit nur einer Methode angepeilt werden.

  1. Konfigurationsprofil - Unkompliziert, gilt universell für alle Ziele. Bei dieser Methode werden die Einstellungen sofort installiert.
  2. Jamf Pro Policy - Ermöglicht individuelle Benutzererfahrung und Nachrichtenübermittlung. Bei dieser Methode werden die Einstellungen installiert, wenn die Richtlinie zur Ausführung konfiguriert wird.
  3. Jamf Connect Login - Verwenden Sie dies nur für neue Rechner, die bereitgestellt werden.

Die Aktivierungsmethoden können eine persönliche Vorliebe sein. Unabhängig davon, ob Sie ein Konfigurationsprofil verwenden oder eine Richtlinie einrichten, müssen Sie vor allem sicherstellen, dass die von Ihnen gewählte Aktivierungsmethode Ihnen auch den Administratorzugriff auf kryptografische Berechtigungen ermöglicht.

Unter macOS 14.0 oder höherkönnen Administrator*innen FileVault automatisch während der Erstellung eines Benutzerkontos im Einrichtungsassistenten aktivieren. Diese Einstellung setzt voraus, dass das Konfigurationsprofil als Teil einer PreStage-Registrierung installiert wird. Dies trägt dazu bei, die Sicherheit des Geräts weiter zu erhöhen, da FileVault aktiviert wird, bevor ein Endbenutzer/eine Endbenutzerin Daten auf dem Computer speichert. Im Wesentlichen können InfoSec- und Compliance-Teams sicherstellen, dass die Festplattenverschlüsselung aktiviert ist, bevor der Endbenutzer/die Endbenutzerin den Computer berührt.

Verwaltung und Berichterstattung in FileVault

Zu wissen, ob Sie FileVault erfolgreich aktiviert haben, oder zu wissen, an wen Sie sich wenden müssen, um ein Gerät zu aktivieren, ist sowohl für die Compliance und die Erstellung von Berichten als auch für die Behebung von Mängeln wichtig.

Ein Blick auf die einzelnen Computerdatensätze kann eine Fülle von Bestandsdaten aufzeigen, darunter:

  • Status der Verschlüsselung
  • Gültigkeit des Wiederherstellungsschlüssels
  • Einsicht in den Wiederherstellungsschlüssel (mit bestimmten Zugriffsebenen)
  • Konfiguration der Festplattenverschlüsselung (falls per Richtlinie aktiviert)

Neben den integrierten Inventarfeldern können IT-Administrator*innen auch benutzerdefinierte Attribute hinzufügen und mit der fdesetup-Binärdatei unter macOS tiefer in die Bereitstellungsworkflows eintauchen.

Wiederherstellung Schlüsselverwaltung

Für die laufende Verwaltung der Gerätesicherheit ist es wichtig zu überlegen, wie die Verwaltung der Wiederherstellungsschlüssel gehandhabt werden soll.

Ein Benutzer/eine Benutzerin, der sich aus seinem Computer ausgesperrt hat, muss beispielsweise sein/ihr Passwort zurücksetzen.

Ein persönlicher Wiederherstellungsschlüssel (Personal Recovery Key, PRK) kann helfen, aber es empfiehlt sich, ihn nach der Verwendung aus Sicherheitsgründen zu wechseln. Sie können in FileVault Richtlinien zum Rotieren und Ausgeben neuer Wiederherstellungsschlüssel einrichten.

Für Administrator*innen ist die Möglichkeit, die FileVault Personal Recovery Keys zu exportieren (zu sichern), eine unglaublich leistungsstarke Funktion. Ab Jamf Pro 10.43, können Administrator*innen mit dem FileVault 2 Personal Recovery Key Attribute alle persönlichen Wiederherstellungsschlüssel für verwaltete Computer in Ihrer Umgebung identifizieren und exportieren. Sie können dann eine Sicherungskopie der Schlüssel erstellen, die Sie im Falle eines Systemausfalls verwenden können.

Wie bei den meisten FileVault-Aktionen ist die erste Entscheidung, die Sie bei der Einrichtung treffen, die wichtigste. Entscheiden Sie, was passieren soll, aktivieren Sie den Workflow, und die Automatisierung in Ihrem MDM kann die Arbeit für Sie erledigen.

Starten Sie noch heute mit Jamf Pro, um das Beste aus Ihrer Apple Geräteverwaltung herauszuholen.

Abonnieren Sie den Jamf Blog

Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.