Korzystanie z FileVault i kart inteligentnych w systemie macOS
Na komputerze Mac z układem scalonym Apple oraz systemem macOS 11 lub nowszym funkcja logowania za pomocą FileVault może korzystać z metod uwierzytelniania obsługiwanych przez system macOS, które obejmują wbudowaną obsługę uwierzytelniania za pomocą kart inteligentnych zgodnych z CCID i PIV.
Uniwersalne logowanie za pomocą karty inteligentnej umożliwia również pomyślne uwierzytelnienie za pomocą FileVault, aby automatycznie zalogować się do systemu. Obsługą kart inteligentnych przez FileVault można zarządzać za pomocą narzędzia wiersza polecenia zabezpieczeń.
Aby się zalogować, użyj uwierzytelniania hasła dla FileVault i karty inteligentnej
Na Macu z układem zabezpieczającym Apple T2 i systemem macOS 10.14 lub nowszym odblokowanie FileVault umożliwia logowanie. Jednak FileVault na tych komputerach nie obejmuje obsługi kart inteligentnych. Aby ułatwić logowanie za pomocą karty inteligentnej, na każdym komputerze należy uruchomić następujące polecenie:
sudo defaults write /Library/Preferences/com.apple.loginwindow DisableFDEAutoLogin -bool YES
Po ponownym uruchomieniu komputera Mac system macOS obsługuje odblokowywanie FileVault za pomocą hasła, a następnie wyświetla monit o uwierzytelnienie karty inteligentnej w oknie logowania. Tym ustawieniem można również zarządzać przy użyciu zarządzanych preferencji w rozwiązaniu do zarządzania urządzeniami mobilnymi (MDM).
Używanie trybu recoveryOS do usunięcia połączenia karty inteligentnej z FileVault
W przypadku Maca z systemem macOS 11 lub nowszym opcja odzyskiwania karty inteligentnej jest dostępna w trybie recoveryOS (jeśli włączona jest opcja „Wymuszaj kartę inteligentną”). W przypadku zgubienia lub uszkodzenia karty inteligentnej użytkownika, może on tymczasowo zastąpić wymuszanie kart inteligentnych uwierzytelnianiem za pośrednictwem administratora lokalnego. Aby to zrobić, użytkownik musi uruchomić komputer Mac w trybie recoveryOS, uwierzytelnić się, a następnie uruchomić następujące polecenie:
security filevault skip-sc-enforcement <data volume UUID> <operation>
Użytkownik zostanie następnie proszony o hasło administratora. Jeśli logowanie będzie pomyślne, wymuszanie kart inteligentnych jest pomijane tylko dla jednego logowania. Użytkownik może następnie rozparować i sparować nową kartę inteligentną, aby wznowić normalne operacje na karcie inteligentnej.