FileVault Aktivierung mit Jamf Connect

Sie können mit Jamf Connect auf den Computern FileVault sowohl für lokale Administratoraccounts als auch für normale lokale Accounts aktivieren. Sie haben auch die Möglichkeit, den persönlichen Wiederherstellungsschlüssel des Benutzers unter einem vorgegebenen Dateipfad zu speichern.

Die folgenden Erwägungen in Hinblick auf Sicherheit und Benutzererlebnis sollten bei der Verwendung von Jamf Connect mit FileVault auf den Computern berücksichtigt werden:

  • Schutzmaßnahmen für Benutzerdaten in macOS ab Version 10.15: Um sicherzustellen, dass FileVault aktiviert ist und Benutzer mit Jamf Connect nicht aus ihren Computern ausgesperrt werden, muss auf Computern mit macOS ab Version 10.15 ein Konfigurationsprofil für die Richtliniensteuerung in der Systemeinstellung „Sicherheit“ (PPPC-Profil) installiert werden. Sie können diese Konfiguration aus dem GitHub-Repository von Jamf herunterladen oder das Profil mit Jamf Pro konfigurieren und bereitstellen.

  • Ungewolltes Übergehen von Jamf Connect: Wenn Jamf Connect auf einem Computer installiert ist, kann das Anmeldefenster von Jamf Connect aufgrund des Standardverhaltens von macOS bei der automatischen Anmeldung mit FileVault möglicherweise nicht geladen werden.

  • Zusätzliche Anmeldeaufforderung für Benutzer: Wenn FileVault auf einem Computer aktiviert ist, wird vor dem Start des macOS Betriebssystems über eine erweiterbare Firmware-Schnittstelle (Extensible Firmware Interface, EFI) ein Anmeldebildschirm angezeigt. Dieser Anmeldebildschirm ist entweder auf EFI-Ebene oder in einem speziellen Bootloader bei Mac Computern mit dem T2 Chip integriert. Der Benutzer muss zunächst sein FileVault Passwort eingeben, um das Startvolume zu entsperren und macOS zu starten. Nach dem Entsperren wird das Passwort des Benutzers von FileVault an die loginwindow Anwendung für macOS übergeben. Daraufhin wird der Benutzer automatisch angemeldet und Finder wird geladen.

Konfigurieren einer Payload für die Richtliniensteuerung in der Systemeinstellung „Sicherheit“ auf macOS ab Version 10.15

Um die FileVault Einstellungen auf macOS ab Version 10.15 zu aktivieren, müssen Sie ein Konfigurationsprofil installieren, das die Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“ (Privacy Preferences Policy Control, PPPC) auf den Computern konfiguriert. Sie können das Profil manuell in eine MDM-Lösung hochladen oder es in Jamf Pro konfigurieren und bereitstellen:

Manuelles Hochladen der PPPC-Einstellungen

Sie können eine .mobileconfig-Datei direkt in Ihre MDM-Lösung hochladen oder lokal installieren.

Informationen zum Beziehen dieses Konfigurationsprofils zum Hochladen finden Sie im GitHub-Repository von Jamf: https://github.com/jamf/Jamf-Connect-Resources/blob/master/Jamf-Connect-PPPC-FileVault.mobileconfig

Konfigurieren und Bereitstellen der PPPC-Einstellungen mit Jamf Pro

Gehen Sie wie folgt vor, um die Einstellungen der Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“mit Jamf Pro zu konfigurieren und bereitszustellen:

  1. Klicken Sie in Jamf Pro in der oberen rechten Ecke auf Einstellungen.

  2. Klicken Sie im Abschnitt „Computerverwaltung“ auf Sicherheit .

  3. Klicken Sie auf Bearbeiten.

  4. Wählen Sie das Markierfeld Jamf Connect im Abschnitt „Automatically install Privacy Preferences Policy Control (Richtliniensteuerung in der Systemeinstellung "Sicherheit“ automatisch installieren)“ der Profileinstellungen.

  5. Klicken Sie auf Speichern.

Deaktivieren der automatischen Anmeldung mit FileVault

Damit Jamf Connect Login auf Computern, auf denen FileVault aktiviert ist, während des Anmeldevorgangs bei macOS nicht ausgelassen wird, können Sie die automatische Anmeldung auf eine der folgenden Art und Weisen deaktivieren.

  • Aktivieren Sie die Einstellung Netzwerkauthentifizierung erforderlich (DenyLocal) im Konfigurationsprofil für das Jamf Connect Anmeldefenster; diese erzwingt, dass das Jamf Connect Anmeldefenster beim Anmeldevorgang angezeigt und vom Benutzer ausgefüllt wird.

  • Laden Sie mithilfe der Payload „Benutzerdefinierte Einstellungen“ in Ihrer MDM-Lösung die folgende PLIST-Datei hoch. Achten Sie darauf, die folgende Einstellungsdomäne anzugeben: com.apple.loginwindow

    <?xml version="1.0" encoding="UTF-8"?>  
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
    <key>DisableFDEAutoLogin</key>
    <true/>
    </dict>
    </plist>

Das nachstehende Diagramm zeigt, wie diese Einstellungen sicherstellen, dass das Jamf Connect Anmeldefenster beim Anmeldevorgang nicht ausgelassen wird:

images/download/attachments/81923507/image.png

Benutzererlebnis und Sicherheit

Sicherheitsmaßnahmen wie FileVault und Mehrfaktorauthentifizierung (MFA) können die Sicherheit eines Mac wesentlich verbessern. Administratoren sollten im Sinne eines positiven Benutzererlebnisses jedoch nur die in ihrer Umgebung wirklich erforderlichen Sicherheitsfunktionen aktivieren. Der übermäßige Einsatz von Sicherheitsfeatures in Kombination mit Jamf Connect kann dazu führen, dass der Benutzer beim Anmelden am Computer mehrfach Anmeldedaten eingeben muss, um Zugriff auf einen Mac zu erhalten, und sich während der Benutzung wiederholt bei Jamf Connect Sync oder Jamf Connect Verify authentifizieren muss.

Das nachstehende Diagramm ist ein Beispiel dafür, wie zu viele Sicherheitsmaßnahmen beim Anmeldevorgang zu einem negativen Benutzererlebnis führen können.

images/download/attachments/81550545/Screen_Shot_2020-09-30_at_10.36.26_PM.png

Aktivieren von FileVault für normale lokale Accounts

Hinweis: Unter macOS ab Version 11 ist die Local Administrator Password Solution (Lösung mit lokalem Administratorpasswort) (LAPSUser) nicht erforderlich, um FileVault für Standardaccounts zu aktivieren.

Wenn Sie mit Jamf Connect unter macOS 10.15 einen normalen lokalen Account mit aktiviertem FileVault erstellen möchten, müssen Sie die Einstellung Local Administrator Password Solution (Lösung mit lokalem Administratorpasswort) (LAPSUser) verwenden. Diese Einstellung wählt ein zufälliges Passwort für einen bereits vorhandenen lokalen Administratoraccount, benutzt das Passwort, um FileVault zu aktivieren und einen persönlichen Wiederherstellungsschlüssel zu erstellen, und wiederverwendet sodann den persönlichen Wiederherstellungsschlüssel als lokales Administratorpasswort. Dies führt dazu, dass sowohl der konfigurierte LAPS-Administratoraccount als auch der normale Benutzeraccount für FileVault aktiviert ist.

Berücksichtigen Sie dabei Folgendes:

  • Der erste für FileVault aktivierte Benutzeraccount auf einem Computer kann kein normaler Benutzeraccount sein. Für diese Methode muss auf dem Computer ein lokaler Administratoraccount eingerichtet sein.

  • Nur der zuerst erstellte normale Account erhält ein sicheres Token.

Einstellungen für FileVault

Domäne: com.jamf.connect.login

Beschreibung: Zum Konfigurieren der Aktivierung von FileVault mit Jamf Connect.

Schlüssel

Beschreibung

Beispiel

EnableFDE

FileVault aktivieren

Bei der Einstellung „true“ wird FileVault für den ersten Benutzer aktiviert, der sich an einem Computer anmeldet.

<key>EnableFDE</key>

<false/>

EnableFDERecoveryKey

FileVault Wiederherstellungsschlüssel speichern

Bei der Einstellung „true“ wird der persönliche Wiederherstellungsschlüssel (PRK) unter /var/db/NoMADFDE gespeichert, sofern kein anderer Speicherort angegeben ist.

<key>EnableFDERecoveryKey</key>

<false/>

EnableFDERecoveryKeyPath

Dateipfad für Wiederherstellungsschlüssel festlegen

Gibt einen benutzerdefinierten Dateipfad für den persönlichen Wiederherstellungsschlüssel an, der anstelle der Standardeinstellung /var/db/NoMADFDE benutzt werden soll.

<key>EnableFDERecoveryKeyPath</key>

<string>/usr/local/filevault</string>

LAPSUser

LAPS-Benutzer

Ein bestehender lokaler Administratoraccount, dessen Passwort von Jamf Connect in den persönlichen Wiederherstellungsschlüssel geändert werden kann.

Diese Einstellung wird von Jamf Connect nur verwendet, um FileVault für Standardaccounts auf macOS 10.15.x zu aktivieren.

<key>LAPSUser</key>

<string>AdminUser</string>

Weiterführende Informationen

Weitere Informationen über die Verwaltung der Authentifizierung mit Jamf Connect finden Sie unter Einschränkungen für Netzwerkauthentifizierung und lokale Authentifizierung.

Weitere Informationen über die macOS Sicherheit finden Sie im Benutzerhandbuch Sicherheit der Apple Plattformen.

Weiterführende Informationen über Schutzmaßnahmen für Benutzerdaten und FileVault finden Sie in den folgenden Artikeln in der Informationsdatenbank:

Weiterführende Informationen zur Verwaltung von FileVault mit Jamf Pro finden Sie in der Anleitung Administering FileVault on macOS 10.14 or Later with Jamf Pro (Verwalten von FileVault auf Computern mit macOS ab Version 10.14 mit Jamf Pro).

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen     Sicherheit
© copyright 2002-2020 Jamf. Alle Rechte vorbehalten.