Escrow Buddy es una utilidad ligera diseñada para custodiar de forma segura las claves de recuperación de FileVault en tu MDM. Al gestionar dispositivos macOS con Applivery, usar Escrow Buddy simplifica el cumplimiento de las políticas de cifrado de disco y garantiza que las claves de recuperación estén almacenadas de forma segura y accesibles cuando sea necesario.
Requisitos
Antes de desplegar Escrow Buddy en dispositivos macOS a través de Applivery, asegúrate de tener lo siguiente:
Paquete de Escrow Buddy (
.pkg).Script post-instalación.
FileVault activado en la política de dispositivo.
Script de rotación de claves de recuperación de FileVault.
1 licencia de Applivery para Distribución de Apps.
Configuración de Escrow Buddy
Para desplegar Escrow Buddy usando Applivery, deberás cargar el paquete de app comprimido (.zip) a tu sección de Gestión de Apps y configurarlo con un script post-instalación.
Primero, descarga el instalador .pkg de Escrow Buddy desde el repositorio de GitHub.
Una vez descargado, comprime el archivo .pkg haciendo clic derecho sobre él y seleccionando Comprimir, lo que generará un archivo .zip.
A continuación, inicia sesión en el panel de Applivery y navega a la sección Gestión de Apps. Desde allí, sigue los pasos de nuestra documentación:
Para garantizar que la clave de recuperación de FileVault se custodia correctamente y sigue siendo válida con el tiempo, recomendamos usar un script de monitoreo que se ejecute con regularidad, por ejemplo una vez cada 7 días. Este script, cuando se aplica a la política y se programa en consecuencia, ayudará a detectar cualquier problema con la clave de FileVault actual. Si se identifica un problema, el script eliminará automáticamente la clave no válida, generará una nueva y la custodiará de forma segura en el inventario del dispositivo dentro de Applivery.
A continuación, dirígete a la sección Gestión de Dispositivos y selecciona Recursos 1. Selecciona la sección Scripts 2 desde el menú lateral izquierdo y haz clic en el botón + Crear Script 3.
Copia el script bash proporcionado y créalo 4 como Script de rotación de clave FileVault.
#!/bin/bash
defaults write /Library/Preferences/com.netflix.Escrow-Buddy.plist GenerateNewKey -bool true
exit 0
Ahora, dirígete a cualquiera de tus Políticas 1 o crea una nueva. En el menú lateral izquierdo, selecciona la sección Apps 2 y haz clic en el botón + Añadir App 3.
En la vista modal, navega a la pestaña Applivery. Configura la plataforma como macOS, elige Tu Workspace como origen de la app y busca la app Escrow Buddy que creaste anteriormente. Para la selección de build, elige Último para asegurarte de que siempre se despliega la versión más reciente.
Continúa al siguiente paso y selecciona Instalación forzosa como modo de instalación. En la sección Configuración, selecciona Post-install y pega tu script.
#!/bin/bash
APP_NAME="Escrow Buddy.app"
APP_BUNDLE_ID="com.netflix.Escrow-Buddy"
APP_PATH="/Applications/${APP_NAME}"
# Create the app structure with appropriate permissions
sudo mkdir -p "${APP_PATH}/Contents/MacOS"
sudo mkdir -p "${APP_PATH}/Contents/Resources"
# Verify if the structure was created successfully
if [[ ! -d "${APP_PATH}/Contents/MacOS" ]]; then
echo "Error: Could not create the application structure"
exit 1
fi
# Create Info.plist file
sudo tee "${APP_PATH}/Contents/Info.plist" > /dev/null <
CFBundleIdentifier
${APP_BUNDLE_ID}
CFBundleName
Escrow Buddy
CFBundleVersion
1.0.0
CFBundleShortVersionString
1.0.0
CFBundleExecutable
EscrowSecurityAlert
EOF
# Create an empty executable with appropriate permissions
sudo touch "${APP_PATH}/Contents/MacOS/${APP_NAME}"
sudo chmod +x "${APP_PATH}/Contents/MacOS/${APP_NAME}"
# Verify that the app exists
ls -ld "${APP_PATH}"
A continuación, debemos configurar la política para activar FileVault en los dispositivos. Para ello, sigue los pasos de nuestra documentación en la sección Gestión de clave de recuperación – Auto.
Una vez que FileVault esté correctamente activado, es importante añadir el Script de rotación de clave FileVault para garantizar que cualquier clave de recuperación de FileVault no válida o faltante sea detectada y corregida automáticamente. Esto garantiza que Applivery siempre conserve una clave válida y custodiada para cada dispositivo.
Para añadir el script, navega a Scripts desde el menú lateral izquierdo y haz clic en el botón + Añadir Script. Luego busca y selecciona el Script de rotación de clave FileVault que se subió anteriormente a la sección Recursos. Para el método de ejecución, recomendamos elegir Loop y establecer el intervalo de repetición según las necesidades de tu organización (por ejemplo, cada 7 días).
Por último, haz clic en Añadir para incluir el script en la política y Guardar cambios para desplegarlo.