Bevor Sie die FileVault Festplattenverschlüsselung aktivieren, wählen Sie den Typ des Wiederherstellungsschlüssels, den Sie zur Wiederherstellung verschlüsselter Daten verwenden möchten. Es gibt zwei Arten von Wiederherstellungsschlüsseln:
- Persönlich (auch als „Individuell“ bezeichnet)
- Hiermit wird für jeden Computer ein eindeutiger alphanumerischer Wiederherstellungsschlüssel verwendet. Der persönliche Wiederherstellungsschlüssel wird bei der FileVault Verschlüsselung auf dem Computer generiert und anschließend zur verschlüsselten Speicherung an die Jamf Pro Datenbank gesendet. Persönliche Wiederherstellungsschlüssel können als Passphrase dienen, um den verschlüsselten Datenträger zu entsperren oder zu entschlüsseln.
- Organisationsweit
Verwendet einen gemeinsamen Wiederherstellungsschlüssel, der ein Schlüsselpaar aus privatem und öffentlichem Schlüssel enthält. Bei Verwendung eines solchen müssen Sie zunächst einen Wiederherstellungsschlüssel mithilfe der Schlüsselbundverwaltung erstellen und zur verschlüsselten Speicherung zu Jamf Pro hochladen. Organisationsweite Wiederherstellungsschlüssel können auf mehreren Computern verwendet werden, um den verschlüsselten Datenträger zu entsperren oder zu entschlüsseln. Jamf empfiehlt daher, den organisationsweiten Wiederherstellungsschlüssel an einem besonders sicheren Ort aufzubewahren.
Warning:Organisationsweite Wiederherstellungsschlüssel stellen ein größeres Sicherheitsproblem dar, da sie für mehrere Computer verwendet werden können. Ihre Funktionalität ist auf Mac Computern mit Apple Silicon auch stärker eingeschränkt, und Apple empfiehlt sie im Allgemeinen nicht mehr für die organisationsweite Verwaltung. Für die meisten Umgebungen empfiehlt Jamf die Verwendung persönlicher Wiederherstellungsschlüssel.
Sie können auch beide Wiederherstellungsschlüssel (persönlich und organisationsweit) zusammen verwenden.
Jamf Pro verwendet sowohl für organisationsweite als auch für persönliche Wiederherstellungsschlüssel das passwortbasierte Verschlüsselungsverfahren SHA-256 mit 256-Bit-AES zur Speicherung der FileVaultWiederherstellungsschlüsseldaten. Salt-Wert und Passphrase für die Verschlüsselung werden innerhalb der Webanwendung generiert und sind nicht standortspezifisch.