FileVault, disponible en macOS 10.3 y versiones posteriores, cifra todo tu disco para salvaguardar tus datos y evitar accesos no autorizados en tu Mac.
Una vez activado, necesitarás una contraseña o clave de recuperación para acceder a tu dispositivo, lo que garantiza que tus datos permanezcan seguros e inaccesibles sin la autenticación adecuada. FileVault también cifra automáticamente todos los archivos nuevos, proporcionando una protección continua.
Activar FileVault es una configuración útil para proteger tus datos en caso de que tu Mac se pierda o se dañe.
Una vez configurado, la eliminación de la política o la disociación de dispositivos no desactivará FileVault.
Con Applivery, tienes dos opciones para la gestión de la clave de recuperación (poder elegir cómo se cifra y recupera la clave de recuperación):
- Auto (recomendado): Applivery gestionará los certificados necesarios. La clave de recuperación aparecerá en la sección de ajustes del dispositivo.
- Manual: Deberás cargar la clave pública. Más tarde, puedes descargar la clave de recuperación cifrada y descifrarla en tu dispositivo utilizando la clave privada.
Gestión de la clave de recuperación - Auto #
Dirígete a la sección Gestión de Dispositivos y selecciona Políticas (1). Elige la política en la que deseas integrar FileVault.
En el menú lateral izquierdo, desplázate hasta la opción + Añadir configuración (2) y escribe FileVault en la barra de búsqueda (3); y, a continuación, (4) esta configuración.
En el menú Main (5), deberás Activar (6) FileVault en dispositivos Mac y seleccionar la opción Aplazar (7), que pospone la activación de FileVault hasta que el usuario cierre la sesión. Además, puedes marcar la opción Mostrar clave de recuperación (8) para mostrarla más tarde.
En el menú Options (9), selecciona No permitir desactivar FDE (10) para evitar que se desactive FileVault.
En el menú Recovery (11), mantén seleccionada la opción Auto (12). Applivery se encargará de los certificados necesarios y la clave de recuperación aparecerá en la sección de ajustes del dispositivo.
Tras guardar y actualizar la política, el usuario deberá cerrar la sesión. En el siguiente inicio de sesión, aparecerán los formularios de activación de FileVault.
En el panel de control de Applivery, navega hasta la sección Dispositivos (13) y selecciona el dispositivo del que deseas obtener la clave de recuperación.
Dirígete a la sección de Ajustes (14) > FileVault (15) y haz clic en el botón (16) para recuperar la clave de recuperación de tu dispositivo.
Gestión de la clave de recuperación - Manual #
Paso 1 - Creación de un certificado para el cifrado de la clave de recuperación de FileVault #
Para cifrar la clave de recuperación, debe crearse un certificado de cifrado y cargarse en Applivery.
En un ordenador macOS (10.8+), abre la Terminal y ejecuta el comando:
openssl req -x509 -nodes -newkey rsa:2048 -keyout private.pem -out public.der -days 365 -outform der
Esto generará una clave pública en formato .der.
Después de crear el certificado, dirígete al panel de control de Applivery y navega hasta Gestión de Dispositivos > Recursos (1), luego navega hasta la sección Certificados (2) y haz clic en (3).
Aparecerá una vista modal que te permitirá cargar el certificado recién creado haciendo clic en el botón (4) y cargarlo desde tu unidad.
Paso 2 - Configurar la política #
Ahora es el momento de empezar a configurar tu política de FileVault.
Deberás realizar las mismas configuraciones que realizaste en el modo Auto para los menús Main y Options. Sólo se modificarán las configuraciones del menú Recovery.
Esta vez, seleccionarás Manual (5) para la gestión de la clave de recuperación. En el campo UUID de la carga útil del certificado de cifrado (6), cargarás el certificado previamente cargado en la sección Certificados.
Describe el campo Ubicación (7) para indicar dónde se almacena la clave de recuperación, asegurándote de que los usuarios saben dónde encontrarla.
En el campo Clave de dispositivo (8), introduce un texto (texto de ayuda) para los usuarios que hayan olvidado su contraseña. Los administradores pueden utilizar esta clave para localizar la clave en custodia para el dispositivo específico. Esta clave sustituye a la clave RecordNumber utilizada en el mecanismo de custodia anterior. Si no hay clave, se utiliza en su lugar el número de serie del dispositivo.
Paso 3 - Qué ocurre en el dispositivo #
Después de guardar y actualizar la política en el terminal, el usuario deberá desconectarse.
En el siguiente inicio de sesión, aparecerán los formularios de activación de FileVault. Una vez completado, envía un comando de Actualizar estado, y entonces tendrás la clave encriptada disponible en el dispositivo bajo el campo FDE Personal Recovery Key CMS.
Una vez aplicada la política, los usuarios no podrán modificar la configuración de FileVault en Preferencias del sistema > Seguridad y privacidad > FileVault. Se aplicarán los ajustes configurados en la política.
La aplicación de otra política de FileVault a un dispositivo ya cifrado no tiene ningún efecto.
Paso 4 - Recuperación de la clave de recuperación #
Se descargará un archivo .dat y deberás ejecutar el siguiente comando para descifrar la clave:
openssl cms -decrypt -in recovery.dat -inform DER -inkey filevault_privateKey.pem
La clave de recuperación de FileVault no se puede recuperar si el dispositivo se cifró antes de la inscripción o antes de que se le aplicara una política de FileVault.
