Escrow Buddy es una utilidad ligera diseñada para guardar de forma segura las claves de recuperación de FileVault en tu MDM. Al gestionar dispositivos macOS con Applivery, el uso de Escrow Buddy simplifica el cumplimiento de las políticas de cifrado de disco y garantiza que las claves de recuperación se almacenen de manera segura y estén accesibles cuando se necesiten.
En esta guía, te explicaremos los pasos para desplegar Escrow Buddy mediante Applivery, configurar su comportamiento usando un perfil de configuración personalizado y verificar que las claves se almacenen correctamente en tu instancia de MDM.
Requisitos #
Antes de desplegar Cortex XDR en dispositivos macOS mediante Applivery, asegúrate de contar con lo siguiente:
-
Paquete de Escrow Buddy (
.pkg). -
Script de post-instalación.
-
Configuración de FileVault habilitada en la política del dispositvo.
-
Script de rotación de clave de recuperación de FileVault.
-
1 licencia de Applivery para la Distribución de Apps.
Preparar Escrow Buddy #
Para desplegar Escrow Buddy usando Applivery, deberás subir el paquete comprimido de la app (.zip) a tu sección de Distribución de Apps y configurarlo con un script de post-instalación.
Primero, descarga el instalador .pkg de Escrow Buddy desde el repositorio de GitHub.
Una vez descargado, comprime el archivo .pkg haciendo clic derecho sobre él y seleccionando Comprimir, lo que generará el archivo .zip necesario para Applivery.
A continuación, inicia sesión en el panel de Applivery y navega hasta la sección de Distribución de Apps. Desde allí, sigue los pasos descritos en nuestra documentación:
Cubir el Script de rotación de clave de recuperación de FileVault a Applivery #
Para asegurar que la clave de recuperación de FileVault se almacene correctamente y siga siendo válida con el tiempo, recomendamos utilizar un script de monitoreo que se ejecute regularmente, como cada 7 días. Este script, al aplicarse a la política y programarse adecuadamente, ayudará a detectar cualquier problema con la clave de FileVault actual.
Si se identifica un problema, el script eliminará automáticamente la clave inválida, generará una nueva y la almacenará de forma segura en el inventario de dispositivos dentro de Applivery.
Una vez en el panel de Applivery, dirígete a la sección Gestión de Dispositivos y selecciona Recursos (1). Selecciona la sección Scripts (2) desde el menú lateral izquierdo y haz clic en el botón (3).
Copia el script bash proporcionado y haz click en el botón (4) bajo el nombre Script de Rotación de Clave de FileVault.
#!/bin/bash
defaults write /Library/Preferences/com.netflix.Escrow-Buddy.plist GenerateNewKey -bool true
exit 0
Configurar tu política de Escrow Buddy #
Ahora, dirígete a la sección Gestión de Dispositivos y selecciona Políticas (5). Elige la política donde deseas desplegar la aplicación. Desde el menú lateral, selecciona la sección Apps (6) y haz clic en el botón (7).
En la vista modal, navega a la pestaña Applivery (8) para continuar con el proceso de configuración.
Establece la plataforma como macOS (9), elige Tu Workspace (10) como origen de la app, y busca la aplicación Escrow Buddy que creaste previamente en el menú desplegable (11). Para la selección del build, elige Last (12) para asegurarte de que siempre se despliegue la versión más reciente.
Continúa al siguiente paso y selecciona Instalación forzosa (13) como modo de instalación. En la sección de Configuración, selecciona Post-instalación (14) y pega tu script.
Script #
#!/bin/bash
APP_NAME="Escrow Buddy.app"
APP_BUNDLE_ID="com.netflix.Escrow-Buddy"
APP_PATH="/Applications/${APP_NAME}"
# Create the app structure with appropriate permissions
sudo mkdir -p "${APP_PATH}/Contents/MacOS"
sudo mkdir -p "${APP_PATH}/Contents/Resources"
# Verify if the structure was created successfully
if [[ ! -d "${APP_PATH}/Contents/MacOS" ]]; then
echo "Error: Could not create the application structure"
exit 1
fi
# Create Info.plist file
sudo tee "${APP_PATH}/Contents/Info.plist" > /dev/null <<EOF
<?xml version="1.0.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0.0">
<dict>
<key>CFBundleIdentifier</key>
<string>${APP_BUNDLE_ID}</string>
<key>CFBundleName</key>
<string>Escrow Buddy</string>
<key>CFBundleVersion</key>
<string>1.0.0</string>
<key>CFBundleShortVersionString</key>
<string>1.0.0</string>
<key>CFBundleExecutable</key>
<string>EscrowSecurityAlert</string>
</dict>
</plist>
EOF
# Create an empty executable with appropriate permissions
sudo touch "${APP_PATH}/Contents/MacOS/${APP_NAME}"
sudo chmod +x "${APP_PATH}/Contents/MacOS/${APP_NAME}"
# Verify that the app exists
ls -ld "${APP_PATH}"
Finalmente, haz clic en para aplicar y guardar la configuración de tu política.
Configurar FileVault #
A continuación, debemos configurar la política para habilitar FileVault en los dispositivos. Para ello, sigue los pasos descritos en nuestra documentación en la sección Gestión de la clave de recuperación – Auto.
Una vez que FileVault esté habilitado correctamente, es importante añadir el Script de Rotación de Clave de FileVault, tal y como se explicó en los pasos anteriores de este artículo, para asegurar que cualquier clave de recuperación de FileVault inválida o ausente sea detectada y corregida automáticamente. Esto garantiza que Applivery siempre conserve una clave válida y almacenada de cada dispositivo.
Para añadir el script, navega a la sección Scripts (15) desde el menú lateral izquierdo. Haz clic en el botón (16).
Luego, busca y selecciona el Script de Rotación de Clave de FileVault (17) que subiste previamente. Para el método de ejecución, se recomienda elegir Bucle (18) y establecer el intervalo de repetición de acuerdo con las necesidades de tu organización (por ejemplo, cada 7 días).
Finalmente, haz clic en (19) para incluir el script en la política y .
