– Począwszy od tej wersji, Endpoint Security dla komputerów Mac obsługuje pełne szyfrowanie dysku za pomocą FileVault, odpowiednio dla napędów rozruchowych, oraz diskutil dla napędów innych niż rozruchowe.W zależności od typu napędu, agent bezpieczeństwa automatycznie wykorzystuje odpowiednią aplikację, przy minimalnym wkładzie ze strony użytkowników.
Ta aktualizacja dotyczy nowych, oraz istniejących instalacji w następujący sposób:
W przypadku komputerów Mac zaszyfrowanych za pomocą FileVault użytkownicy muszą wprowadzić swoje poświadczenia, aby uruchomić system, oraz odblokować dysk rozruchowy w tym samym czasie.Po zalogowaniu system poprosi użytkowników o odblokowanie wszelkich zaszyfrowanych dysków innych niż rozruchowe poprzez wprowadzenie hasła dysku.
– Dla dysków rozruchowych obecnie niezaszyfrowanych, kiedy polityka szyfrowania jest zastosowana, agent bezpieczeństwa prosi użytkowników o wprowadzenie poświadczeń systemowych, aby przesłać klucz odzyskiwania do GravityZone, oraz by rozpocząć szyfrowanie z FileVault.
– Dla dysków rozruchowych, poprzednio zaszyfrowanych przez starsze wersje Endpoint Security for Mac (używając diskutil)
– Po aktualizacji, jeżeli polityka szyfrowania jest już zastosowana na Mac’ach bez chipów T2, żadna integracja z użytkownikiem nie jest wymagana. Hasła szyfrowania, oraz klucze odzyskiwania poprzednio skonfigurowane będą kontynuowały funkcjonowanie jako zaktualizowane, dopóki polityka deszyfrowania będzie zastosowana. W tamtym momencie agent bezpieczeństwa zdeszyfruje dyski rozruchowe z diskutil (używając starych haseł szyfrowania). W Przy następnej polityce szyfrowania, tamte dyski rozruchowe będą zaszyfrowane z FileVault (używając poświadczeń systemowych), oraz nowe klucze odzyskiwania będą przechowywane w GravityZone.
– Po aktualizacji, gdy polityka deszyfrowania jest zastosowana na Mac’ach nie posiadających chipów T2, agent bezpieczeństwa poprosi użytkowników o wprowadzenie haseł skonfigurowanych wcześniej do szyfrowania dysków, aby rozpocząć proces deszyfrowania.
– Po aktualizacji, jeżeli polityka szyfrowania jest zastosowana na Mac’ach posiadających chipy T2, agent bezpieczeństwa poprosi użytkowników o zmianę klucza odzyskiwania poprzez wprowadzenie ich poświadczeń systemowych. Nowy klucz odzyskiwania będzie przechowywany w GravityZone.
–Po aktualizacji, kiedy polityka deszyfrowania jest zastosowana na Mac’ach posiadających chipy T2, agent bezpieczeństwa poprosi użytkowników o wprowadzenie ich poświadczeń systemowych w celu rozpoczęcia procesu deszyfrowania z FileVault.
– Nie musisz stosować nowej polityki GravityZone, aby powyższe zmiany miały miejsce. Agent zabezpieczeń poprosi użytkowników za pomocą odpowiednich korespondencyjnych okien, zgodnie z istniejącymi ustawieniami reguł.
– Dla napędów rozruchowych zaszyfrowanych z FileVault (Mac z, oraz bez chipów T2) niezależnie od GravityZone:
– Po zastosowaniu polityki szyfrowania agent bezpieczeństwa prosi użytkowników o zmianę systemu. Nowy klucz odzyskiwania zostanie zapisany w GravityZone.
– Po zastosowaniu zasady deszyfrowania agent bezpieczeństwa monituje użytkowników o wprowadzenie poświadczeń systemu bezpieczeństwa w celu rozpoczęcia procesu deszyfrowania za pomocą FileVault.
– Dyski bez bootowania są szyfrowane przy użyciu diskutil, a procesy szyfrowania i deszyfrowania działają tak jak poprzednio bez żadnych zmian.
– Po zastosowaniu polityki szyfrowania agent bezpieczeństwa prosi użytkowników o skonfigurowanie hasła, aby rozpocząć proces szyfrowania i wysłać klucz odzyskiwania do GravityZone.
– W celu odszyfrowania, agent bezpieczeństwa prosi użytkowników o podanie hasła szyfrowania.
– Aktualizacja nie wymaga zmiany hasła ani kluczy odzyskiwania dla dysków innych niż rozruchowe.
– Interfejs użytkownika produktu wyświetla teraz stan czujnika EDR.
Rozwiązane problemy
– W szczególnej sytuacji różne systemy Mac były wyświetlane w konsoli GravityZone pod tym samym punktem końcowym Mac.
– Skanowanie ruchu spowodowało uszkodzenie pliku podczas korzystania z FTP w trybie pasywnym.
– Skanowanie ruchu spowodowało powolne logowanie do Active Directory dla punktów końcowych z uruchomionymi High Sierra (10.13), oraz Mojave (10.14).
– W systemach z chipami T2 hasło, oraz klucz odzyskiwania ustawiony dla pełnego szyfrowania dysku nie odblokują dysku rozruchowego. Użytkownicy mogą odblokować dysk rozruchowy tylko przy użyciu poświadczeń systemowych. Dzięki nowej funkcji szyfrowania, hasło użytkownika jest wymagane do szyfrowania, odblokowywania, a także deszyfrowania dysku rozruchowego. Ponadto generowany jest klucz odzyskiwania, którego kopie zapasowe tworzone są w GravityZone.
Znane problemy
– Moduł anty-sabotażowy może powodować awarie narzędzia tmutil Time Machine, na macOS El Capitan (10.11).
– Okno Proces odszyfrowywania nie pojawi się ponownie, jeśli klikniesz przycisk „X” zamiast Odrzuć. Pojawia się ponownie po ponownym uruchomieniu systemu.
Pochodzę z Gdyni i jestem certyfikowanym inżynierem produktów z rodziny Bitdefender. Na co dzień zajmuję się pomocą techniczną wersji biznesowej GravityZone.