FileVault, disponible en macOS 10.3 y versiones posteriores, cifra todo tu disco para salvaguardar tus datos y evitar accesos no autorizados en tu Mac.
Una vez activado, necesitarás una contraseña o clave de recuperación para acceder a tu dispositivo, lo que garantiza que tus datos permanezcan seguros e inaccesibles sin la autenticación adecuada. FileVault también cifra automáticamente todos los archivos nuevos, proporcionando una protección continua.
Activar FileVault es una configuración útil para proteger tus datos en caso de que tu Mac se pierda o se dañe.
Una vez configurado, la eliminación de la política o la disociación de dispositivos no desactivará FileVault.
Paso 1 - Creación de un certificado para el cifrado de la clave de recuperación de FileVault #
Para cifrar la clave de recuperación, debe crearse un certificado de cifrado y cargarse en Applivery.
En un ordenador macOS (10.8+), abre la Terminal y ejecuta el comando:
openssl req -x509 -nodes -newkey rsa:2048 -keyout private.pem -out public.der -days 365 -outform der
Esto generará una clave pública en formato .der.
Después de crear el certificado, dirígete al panel de control de Applivery y navega hasta Gestión de Dispositivos > Recursos (1), luego navega hasta la sección Certificados (2) y haz clic en (3).
Aparecerá una vista modal que te permitirá cargar el certificado recién creado haciendo clic en el botón (4) y cargarlo desde tu unidad.
Paso 2 - Configurar la política #
Ahora es el momento de empezar a configurar tu política de FileVault.
¡Comencemos!
Paso 2.1 - Custodia de la clave de recuperación #
En la sección Gestión de Dispositivos, selecciona Políticas (5). Elige la política en la que deseas integrar FileVault.
En el menú de la izquierda, selecciona la opción + Añadir configuración (6) y, a continuación, escribe FileVault en la barra de búsqueda (7).
En este paso inicial, configuraremos la Custodia de la Clave de Recuperación de FileVault (8), ya que funciona cifrando la clave de recuperación personal con un certificado de firma conocido (en nuestro caso, el generado en el paso anterior).
En el campo UUID de la carga útil del certificado de cifrado, deberás cargar el certificado que cargaste previamente en la sección de Certificados.
Describe brevemente dónde está almacenada la clave de recuperación en el campo Ubicación, para que los usuarios sepan dónde encontrarla.
En el campo Clave del dispositivo, introduce una cadena de texto (texto de ayuda) para los usuarios que puedan haber olvidado su contraseña. Los administradores pueden utilizar esta clave para localizar la clave en custodia para el equipo específico. Esta clave sustituye a la clave RecordNumber utilizada en el mecanismo de custodia anterior. Si no hay clave, se utiliza en su lugar el número de serie del dispositivo.
Paso 2.2 - Activar o desactivar FileVault en tu Mac #
Tienes la opción de permitir que tus usuarios finales activen o desactiven FileVault en sus dispositivos asignados al trabajo.
Una vez más, desde el menú de la izquierda, ve a la sección + Añadir configuración (9), introduce FileVault en la barra de búsqueda (10) y selecciona Opciones de FileVault (11).
Marca la opción No permitir desactivar FDE para evitar que los usuarios finales desactiven el cifrado FileVault en el dispositivo.
Marque también la opción No permitir habilitar FDE para evitar la activación de FileVault.
Paso 2.3 - Configuración de FileVault #
Por último, tendrás que configurar FileVault.
Dirígete a la opción + Añadir configuración, escribe FileVault en la barra de búsqueda y selecciona FileVault.
Tendrás que activar FileVault en los dispositivos Mac y marcar el campo Aplazar, que retrasa la activación de FileVault hasta que el usuario cierre la sesión. Además, asegúrate de marcar Mostrar clave de recuperación para mostrarla.
Paso 3 - Qué ocurre en el dispositivo #
Después de guardar y actualizar la política en el terminal, el usuario deberá desconectarse.
En el siguiente inicio de sesión, aparecerán los formularios de activación de FileVault. Una vez completado, envía un comando de Actualizar estado, y entonces tendrás la clave encriptada disponible en el dispositivo bajo el campo FDE Personal Recovery Key CMS.
Una vez aplicada la política, los usuarios no podrán modificar la configuración de FileVault en Preferencias del sistema > Seguridad y privacidad > FileVault. Se aplicarán los ajustes configurados en la política.
La aplicación de otra política de FileVault a un dispositivo ya cifrado no tiene ningún efecto.
Paso 4 - Recuperación de la clave de recuperación #
Para obtener la clave, hay que utilizar la clave privada. Deberás crear un archivo recovery.b64 que contenga el contenido del panel en Security Info > FDE Personal Recovery Key CMS:
cat recovery.b64 | base64 -D > recovery.dat
Para después utilizar el siguiente comando para descifrar la clave:
openssl cms -decrypt -in recovery.dat -inform DER -inkey filevault_privateKey.pem
La clave de recuperación de FileVault no se puede recuperar si el dispositivo se cifró antes de la inscripción o antes de que se le aplicara una política de FileVault.
