Включение шифрования macOS FileVault

Система macOS использует FileVault для шифрования дисковых устройств. Сканер безопасности Ivanti® Endpoint Manager может обнаружить, включено ли шифрование FileVault на устройствах под управлением OS X. Если вы включите защиту и исправление FileVault от уязвимостей, защита FileVault будет включена, даже если это не было сделано на устройстве.

Когда вы включите FileVault с помощью Endpoint Manager, будет создана специальная зашифрованная запись базы данных инвентаризации на главном сервере, которая хранится, даже если в дальнейшем вы удалите устройство из вида Сети. Эта запись содержит ключ восстановления FileVault, который администраторы Endpoint Manager могут использовать для выключения FileVault и восстановления доступа к устройству.

Вы можете ознакомиться с дополнительной информацией в статье Сообщества Ivanti о поддержке FileVault: Как выполнить: Управление шифрованием диска FileVault.

Для включения FileVault на устройствах macOS:
  1. Если вы пока не сделали это, используйте средство исправления и проверки соответствия для загрузки определений уязвимостей Apple Mac.
  2. В средстве исправления и поверки соответствия нажмите Все типы > Сканировать (All types > Scan). В поле Поиск (Find) введите FileVault и нажмите клавишу "Ввод". Вы увидите две уязвимости FileVault, одна из которых относится к состоянию FileVault (APPLE-FileVault_DetectOnly), а другая к его активации (FileVaultActivation-xx). Переместите определение уязвимости для активации в группу Автоисправление (Autofix) или в нужную вам группу.
  3. Во время работы сканера уязвимостей и обнаружения им того, что нужно включить FileVault, для управляемого устройства будет отображен всплывающий диалог, из которого пользователи могут узнать о включении FileVault и необходимости перезагрузки устройства. После нажатия OK диалог будет закрыт, но перезагрузка должна быть выполнена вручную.
  4. После перезагрузки устройства пользователем начнется стандартный процесс OS X для активации FileVault. Пользователю будет предложено выполнить вход. Отобразится диалог с сообщением – "Ваш администратор запросил включение FileVault" (Your administrator requires that you enable FileVault). Пользователь может выбрать Отмена (Cancel) или Включить (Enable Now). После выбора Отмена буде открыт диалог входа. После выбора Включить начинается процесс шифрования. Это может занять некоторое время.

Просмотр хранилища данных клиента

Средство хранилища данных клиента (Сервис > Конфигурация > Хранилище данных клиента (Tools > Configuration > Client data storage)) позволяет вам открывать зашифрованные данные на клиентском ПК. В настоящее время программа отображает данные только для устройств macOS, на которых средство FileVault включено с помощью Endpoint Manager. Используйте это средство, если вам нужно получить ключ восстановления FileVault для устройства.

Для получения ключа восстановления FileVault:
  1. Нажмите Сервис > Конфигурация > Хранилище данных клиента (Tools > Configuration > Client data storage).
  2. В дереве Устройства дважды щелкните устройство, которое хотите просмотреть.
  3. В диалоге Данные клиента (Client data) выберите элемент FileVault2RecoveryKey и нажмите кнопку экспорта на панели инструментов.
  4. Выберите местоположение для результирующего файла XML.
  5. Откройте файл XML в редакторе и найдите элемент RecoveryKey. Соответствующее значение <string> содержит действительный ключ.