Cómo manejar Apple FileVault con Jamf

En los entornos laborales y educativos móviles actuales, una característica crucial de los dispositivos Apple son las tecnologías de cifrado incorporadas que protegen los datos de la organización y la privacidad del usuario.

FileVault, la solución nativa de Apple para el cifrado completo de discos en Mac, protege los archivos almacenados para evitar que los actores maliciosos accedan a los datos. Cuando está habilitado, FileVault cifra el contenido de una cuenta Mac utilizando las credenciales de los usuarios como método para bloquear y desbloquear la cuenta cuando un usuario cierra la sesión o se autentica correctamente.

Profundice más sobre los fundamentos de FileVault aquí.

Dado que existen múltiples formas de habilitar y administrar FileVault, es importante saber por dónde empezar y mantenerse al día de las nuevas funciones. En este blog nos enfocaremos en cómo habilitar el cifrado de FileVault en la Mac con Jamf Pro.

¿Por qué aprender cómo manejar FileVault?

Si está a cargo de la administración de los dispositivos Apple de una organización, ya sea con Jamf Pro, Jamf School o Jamf Now, necesita conocer y comprender las tecnologías de cifrado nativas de Apple y cómo se adaptan a sus resultados deseados para poder elegir la habilitación adecuada de flujos de trabajo y el método de implementación.

Para obtener una perspectiva general detallada, los administradores de IT deberían consultar la Introducción a la implementación de las plataformas de Apple. Para obtener información relacionada específicamente con FileVault, consulte las secciones del apartado "Garantizar la seguridad de los dispositivos".

FileVault es un aspecto vital en cualquier lista de comprobación de seguridad de macOS, tal y como recomiendan los puntos de referencia del Center for Internet Security (Centro para la Seguridad en Internet, CIS). Para saber más sobre esa lista de comprobación, tenemos un magnífico informe técnico sobre el tema.

La habilitación de FileVault con Jamf Pro hace que las Mac de su entorno requieran las credenciales de un usuario para completar el proceso de arranque. Puede utilizar Jamf para habilitar FileVault en las computadoras administradas utilizando un perfil de configuración o una configuración y política de cifrado de discos.

Bloques de construcción del cifrado de macOS

Entre las tecnologías fundamentales para comprender el cifrado de macOS y el manejo de FileVault se incluyen:

• SecureToken – Un código criptográfico asignado durante la creación de la cuenta, envuelto por la contraseña de un usuario. Se requiere para que un usuario pueda habilitar FileVault.
• Token para la secuencia de arranque– Cuando se crea o se registra un usuario SecureToken, un token adicional que se deposita en la MDM. Introducido en macOS 10.15.
• Propiedad del volumen – Específico para computadoras con Apple Silicon. Permite a los usuarios acceder a la clave de identidad del propietario almacenada en el enclave seguro. Es necesaria para funciones como las actualizaciones de software o la administración de extensiones externas heredadas.

Implementación de FileVault

La Introducción a la implementación de las plataformas de Apple incluye situaciones específicas de referencia para que pueda elegir qué flujo de trabajo de implementación es el adecuado para su organización.

El usuario configura un Mac por su cuenta

• La verdadera implementación sin contacto es el camino más directo para la habilitación de FileVault.

La Mac es aprovisionada por una organización

• Si su administrador de IT configura una nueva computadora, será el primero en obtener el token en lugar del usuario cotidiano. En este caso, debe tener en cuenta cómo afecta su implementación al estado del token.
• También hay un par de situaciones en las que si una política de Jamf se ejecuta antes de que se haya creado un usuario, podría propiciar que un usuario no deseado obtuviera el primer token.

La mejor práctica consiste en evaluar cuáles son sus objetivos y resultados para su flujo de trabajo de implementación, de modo que pueda averiguar si necesita cambiar o modificar su método de habilitación con una comprensión de quién obtiene el token cuando está manejando FileVault.

Es más fácil establecer estas prácticas en la fase inicial de una implementación que retroceder e intentar arreglarlo más tarde.

Habilitación de FileVault

Elección de un método de habilitación de FileVault

Existen tres métodos principales de habilitación que puede elegir para manejar FileVault. Puede utilizar más de uno, pero cualquier computadora debe tener como objetivo un solo método.

1. Perfil de configuración – Sencillo, se aplica universalmente a los objetivos. Con este método, las configuraciones se instalan inmediatamente.
2. Política de Jamf Pro– Permite personalizar la experiencia y la mensajería del usuario. Con este método, se instalan las configuraciones cuando la política está configurada para ejecutarse.
3. Inicio de sesión con Jamf Connect – Utilícelo solo cuando se implementen nuevas máquinas.

Los métodos de habilitación pueden ser de preferencia personal. Tanto si utiliza un perfil de configuración como si establece una política, la opción más importante es asegurarse de que la forma que ha elegido para habilitarlo también le permite el acceso de administrador a los privilegios de cifrado.

Al ejecutar macOS 14.0 o posterior, los administradores pueden habilitar automáticamente FileVault durante la creación de la cuenta de usuario en el Asistente de configuración. Este parámetro requiere que el perfil de configuración se instale como parte de una inscripción preliminar (PreStage). Esto ayuda a aumentar aún más la postura de seguridad del dispositivo, ya que FileVault se "enciende" antes de que un usuario final introduzca cualquier dato en la computadora. En esencia, los equipos de InfoSec y de cumplimiento pueden garantizar que el cifrado del disco está activado antes de que el usuario final toque la computadora.

Administración e informes en FileVault

Es fundamental saber si se ha conseguido habilitar FileVault, o saber a quién dirigirse para habilitar un dispositivo, tanto para propósitos de cumplimiento y elaboración de informes como de corrección de problemas.

El estudio de los registros individuales de las computadoras puede mostrar una gran cantidad de datos de inventario, incluyendo:

• Estado de cifrado
• Validez de la clave de recuperación
• Visualización de la clave de recuperación (con determinados niveles de acceso)
• Configuración del cifrado de disco (si está habilitado por alguna política)

Además de los campos de inventario incorporados, los administradores de IT también pueden añadir atributos personalizados y profundizar en los flujos de trabajo de implementación mediante el binario fdesetup en macOS.

Administración de la clave de recuperación

Para la administración continua de la seguridad de los dispositivos, es importante tener en cuenta cómo manejar la administración de las claves de recuperación.

Por ejemplo, un usuario que se queda sin acceso a su computadora puede necesitar restablecer su contraseña.

Una Clave Personal de Recuperación (PRK) puede ayudar, pero la mejor práctica es rotarla después de usarla por seguridad. Puede configurar políticas dentro de FileVault para rotar y emitir nuevas claves de recuperación.

Para los administradores, tener la capacidad de exportar (hacer copias de seguridad) las Claves de Recuperación Personal de FileVault es una funcionalidad increíblemente potente. A partir de Jamf Pro 10.43, el atributo Clave personal de recuperación de FileVault 2 permite a los administradores identificar y exportar todas las claves personales de recuperación de las computadoras administradas de su entorno. A continuación, puede crear una copia de seguridad de las claves para utilizarlas en caso de fallo del sistema.

Como en la mayoría de las acciones de FileVault, la decisión inicial que tome en la configuración es la más importante. Decida lo que quiere que ocurra, active el flujo de trabajo y la automatización en su MDM podrá hacer el trabajo por usted.