FileVault, disponible en macOS 10.3 y versiones posteriores, cifra todo el disco para proteger tus datos y evitar el acceso no autorizado en tu Mac.
Una vez activado, necesitarás una Contraseña o Clave de recuperación para acceder a tu dispositivo, garantizando que tus datos permanezcan seguros e inaccesibles sin la autenticación adecuada. FileVault también cifra automáticamente todos los archivos nuevos, proporcionando una protección continua.
Activar FileVault es una configuración útil para proteger tus datos en caso de que tu Mac se pierda o dañe.
Una vez configurada, eliminar la política o desasociar los dispositivos no desactivará FileVault.
Con Applivery, tienes dos opciones para la gestión de claves de recuperación (pudiendo elegir cómo se cifra y recupera la clave de recuperación):
Auto (recomendado): Applivery gestionará los certificados necesarios. La clave de recuperación se mostrará en los ajustes del dispositivo.
Manual: Deberás subir la clave pública. Más adelante, puedes descargar la clave de recuperación cifrada y descifrarla en tu dispositivo usando la clave privada.
Gestión de clave de recuperación - Auto
Una vez en el panel de Applivery, navega a cualquiera de tus Políticas 1 o crea una nueva.
En el menú lateral izquierdo, navega a la opción + Añadir configuración y selecciona FileVault 2.
En el menú Principal, deberás Activar FileVault y seleccionar la opción Diferir, que pospone la activación de FileVault hasta que el usuario cierre sesión. Además, marca las opciones Usar clave de recuperación y Mostrar clave de recuperación para mostrarla más adelante.
En el menú Opciones, selecciona No permitir deshabilitar FDE para evitar que se desactive FileVault.
En el menú Recuperación, deja seleccionada la opción Auto. Applivery gestionará los certificados necesarios y la clave de recuperación se mostrará en los Ajustes del dispositivo.
Después de guardar y actualizar la política, el usuario deberá cerrar sesión. Al siguiente inicio de sesión, aparecerán los formularios de activación de FileVault.
En el panel de Applivery, dirígete a cualquiera de tus Dispositivos, seleccionando el que deseas para obtener la clave de recuperación.
Ve a la pestaña Ajustes 3 y selecciona FileVault 4 en el menú lateral izquierdo. Haz clic en el botón Revelar 5 para recuperar la clave de recuperación.
Gestión de clave de recuperación - Manual
Para cifrar la clave de recuperación, debe crearse y subirse a Applivery un certificado de cifrado.
En un ordenador macOS (10.8+), abre el Terminal y ejecuta el comando:
openssl req -x509 -nodes -newkey rsa:2048 -keyout private.pem -out public.der -days 365 -outform der
Esto generará una clave pública en formato .der.
Después de crear el certificado, dirígete a Recursos 6 y selecciona Certificados 7 en el menú lateral izquierdo. Haz clic en + Subir certificado 8.
Aparecerá una vista modal que te permite subir el certificado recién creado haciendo clic en el botón Seleccionar archivo 9 y cargándolo desde tu unidad.
Deberás realizar las mismas configuraciones que hiciste en el modo Auto para los menús Principal y Opciones. Solo se modificarán los ajustes del menú de recuperación.
Esta vez, seleccionarás Manual para la gestión de claves de recuperación. En el campo UUID del payload del certificado de cifrado 10, cargarás el certificado subido anteriormente en la sección Certificados.
Describe el campo Ubicación para indicar dónde se almacena la clave de recuperación, asegurándote de que los usuarios sepan dónde encontrarla.
Para el campo Clave del dispositivo, introduce una cadena (texto de ayuda) para los usuarios que puedan haber olvidado su contraseña. Los administradores del sitio pueden usar esta clave para localizar la clave depositada para el dispositivo específico.
Después de guardar y actualizar la política en el terminal, el usuario deberá cerrar sesión.
Al siguiente inicio de sesión, aparecerán los formularios de activación de FileVault. Una vez completados, envía un comando Actualizar estado y tendrás la clave cifrada disponible en el dispositivo bajo el campo FDE Personal Recovery Key CMS.
Una vez aplicada la política, los usuarios no podrán modificar los ajustes de FileVault en Preferencias del Sistema > Seguridad y privacidad > FileVault. Los ajustes configurados en la política se aplicarán.
Aplicar otra política de FileVault a un dispositivo ya cifrado no tiene ningún efecto.
Por último, navega a cualquiera de tus Dispositivos. Ve a la sección Ajustes, selecciona FileVault en el menú lateral izquierdo y haz clic en el botón Descargar archivo cifrado.
Se descargará un archivo .dat y deberás ejecutar el siguiente comando para descifrar la clave:
openssl cms -decrypt -in recovery.dat -inform DER -inkey filevault_privateKey.pem
La clave de recuperación de FileVault no puede recuperarse si el dispositivo fue cifrado antes de inscribirse o antes de aplicarle una política de FileVault.
Resolución de problemas
Caracteres extraños o ilegibles al mostrar la clave de recuperación de FileVault
Si la clave de recuperación de FileVault se muestra con caracteres extraños o ilegibles, generalmente significa que el dispositivo ya estaba cifrado antes de inscribirse en Applivery. En este escenario, Applivery está recuperando la clave de recuperación cifrada anteriormente, no una recién generada.
Para resolver este problema, sigue estos pasos:
Pide al usuario que desactive manualmente FileVault en el dispositivo yendo a Ajustes del sistema > Privacidad y seguridad > FileVault > Desactivar. Esta acción debe realizarla un usuario administrador en el Mac.
Una vez desactivado FileVault, pide al usuario que inicie sesión de nuevo en el dispositivo.
Tras el siguiente inicio de sesión, FileVault generará una nueva clave de recuperación que será correctamente gestionada y mostrada por Applivery sin problemas de formato.
Este proceso garantiza que la clave de recuperación se regenere bajo la gestión de Applivery y pueda visualizarse y almacenarse correctamente para futuros escenarios de recuperación.