تعيين مفتاح استرداد FileVault لأجهزة الكمبيوتر في مؤسستك

يتيح لك مفتاح استرداد مؤسسي (IRK) استرداد بيانات المستخدمين المشفرة باستخدام FileVault عندما لا يستطيعون تذكر كلمة مرور تسجيل الدخول إلى Mac.

هذه الخطوات المتقدمة موجهة لمسؤولي النظام، وغيرهم من الملمين بسطر الأوامر.

إنشاء سلسلة مفاتيح FileVault رئيسية

  1. افتح تطبيق "الوحدة الطرفية" بجهاز Mac لديك، ثم أدخل هذا الأمر:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. عند المطالبة بذلك، أدخل كلمة المرور الرئيسية لسلسلة المفاتيح الجديدة، ثم أدخلها مرة أخرى عندما يُطلب منك إعادة كتابتها. لا يعرض تطبيق "الوحدة الطرفية" كلمة المرور التي تكتبها.
  3. يتم إنشاء زوج مفاتيح، كما يتم حفظ ملف باسم "FileVaultMaster.keychain" على سطح المكتب لديك. انسخ هذا الملف في موقع آمن، مثل صورة قرص مشفر على محرك أقراص خارجي. تعد هذه النسخة الآمنة مفتاح الاسترداد الخاص الذي يمكنه إلغاء قفل قرص بدء التشغيل لأي جهاز Mac تم إعداده لاستخدام سلسلة مفاتيح FileVault الرئيسية. هذه النسخة غير مخصصة للتوزيع. 

في القسم التالي، ستقوم بتحديث ملف باسم "FileVaultMaster.keychain" الذي لا يزال موجودًا على سطح المكتب لديك. يمكنك بعد ذلك نشر سلسلة المفاتيح هذه لأجهزة كمبيوتر Mac في مؤسستك.

إزالة المفتاح الخاص من سلسلة المفاتيح الرئيسية

بعد إنشاء سلسلة مفاتيح FileVault الرئيسية، اتبع هذه الخطوات لإعداد نسخة منها للنشر:

  1. انقر نقرًا مزدوجًا على ملف باسم "FileVaultMaster.keychain" الموجود على سطح المكتب لديك. افتح تطبيق "الوصول إلى سلسلة المفاتيح".
  2. في الشريط الجانبي بتطبيق "الوصول إلى سلسلة المفاتيح"، اختر "FileVaultMaster". في حالة ظهور أكثر من عنصرين مدرجين على الجانب الأيسر، اختر سلسلة مفاتيح أخرى في الشريط الجانبي، ثم اختر "FileVaultMaster" مرة أخرى لتحديث القائمة.
  3. في حالة قفل سلسلة مفاتيح FileVaultMaster، انقر على  أعلى الجانب الأيمن من "الوصول إلى سلسلة المفاتيح"، ثم أدخل كلمة المرور الرئيسية التي قمت بإنشائها.
  4. من العنصرين اللذين يظهران على الجانب الأيسر، اختر العنصر المحدد كـ "مفتاح خاص" في عمود "النوع":
  5. حذف المفتاح الخاص: اختر "تعديل" > "حذف" من شريط القائمة، وأدخل كلمة المرور الرئيسية لسلسلة المفاتيح، ثم انقر على "حذف" عند يُطلب منك التأكيد.
  6. قم بإنهاء "الوصول إلى سلسلة المفاتيح".

لم تعد تحتوي الآن سلسلة المفاتيح الرئيسية الموجودة على سطح المكتب لديك على المفتاح الخاص، حيث إنها أصبحت جاهزة للنشر.

نشر سلسلة المفاتيح الرئيسية المحدثة على كل جهاز Mac

بعد إزالة المفتاح الخاص من سلسلة المفاتيح، اتبع هذه الخطوات الموجودة على كل جهاز Mac تريد أن تتمكن من إلغاء قفله باستخدام مفتاحك الخاص.

  1. ضع نسخة من ملف "FileVaultMaster.keychain" المُحدَّث في مجلد "/المكتبة/Keychains/".
  2. افتح تطبيق "الوحدة الطرفية"، وأدخل كلا الأمرين التاليين. يتأكد هذان الأمران من أنه تم تعيين أذونات الملف إلى -rw-r--r-- وأن الملف مملوك بواسطة root وتم تعيينه للمجموعة المسماة wheel.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. في حالة تشغيل FileVault بالفعل، أدخل هذا الأمر في "الوحدة الطرفية":
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. في حالة إيقاف تشغيل FileVault، افتح تفضيلات "الأمان والخصوصية" وقم بتشغيل FileVault. يجب أن تظهر لك رسالة تفيد أنه تم تعيين مفتاح الاسترداد من قبل الشركة أو المدرسة أو المؤسسة. انقر على "متابعة".
    تفضيلات

هذا يكمل العملية. في حالة نسيان أحد المستخدمين لكلمة مرور حساب مستخدم macOS الخاصة به، وتعذر عليه تسجيل الدخول إلى Mac، يمكنك استخدام المفتاح الخاص لإلغاء قفل القرص لديه.

 

استخدام المفتاح الخاص لإلغاء قفل قرص بدء التشغيل الخاص بالمستخدم

في حالة نسيان أحد المستخدمين لكلمة مرور حسابه وتعذر عليه تسجيل الدخول إلى Mac، يمكنك استخدام مفتاح الاسترداد الخاص لإلغاء قفل قرص بدء التشغيل الخاص به والوصول إلى بياناته المشفرة باستخدام FileVault.

  1. على جهاز Mac الخاص بالعميل، ينبغي بدء التشغيل من استرداد macOS من خلال الضغط مع الاستمرار على مفتاحي الأوامر-R أثناء بدء التشغيل.
  2. في حالة عدم معرفة الاسم (Macintosh HD على سبيل المثال) وتهيئة قرص بدء التشغيل، افتح "أداة القرص" من نافذة "أدوات macOS المساعدة"، ثم تحقق من المعلومات التي تعرضها "أداة القرص" حول وحدة التخزين هذه على الجانب الأيسر. في حالة ظهور "مجموعة وحدة تخزين CoreStorage المنطقية" بدلاً من "وحدة تخزين APFS" أو "Mac OS Extended"، يكون التنسيق Mac OS Extended. ستحتاج إلى هذه المعلومة في خطوة لاحقة. وعند الانتهاء، قم بإنهاء "أداة القرص".
  3. قم بتوصيل محرك الأقراص الخارجي الذي يحتوي على مفتاح الاسترداد الخاص.
  4. من شريط القائمة في استرداد macOS، اختر "الأدوات المساعدة" > "الوحدة الطرفية".
  5. في حالة تخزين مفتاح الاسترداد الخاص في صورة قرص مشفر، استخدم الأمر التالي في "الوحدة الطرفية" لتحميل هذه الصورة. استبدل بـ /path المسار المؤدي إلى صورة القرص، بما في ذلك، امتداد اسم الملف .dmg:
    hdiutil attach /path
    
    مثال عن صورة قرص باسم PrivateKey.dmg على وحدة تخزين باسم ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. استخدم الأمر التالي لإلغاء قفل سلسلة مفاتيح FileVault الرئيسية. استبدل بـ /path المسار المؤدي إلى FileVaultMaster.keychain على محرك الأقراص الخارجي. في هذه الخطوة وجميع الخطوات المتبقية، إذا تم تخزين سلسلة المفاتيح في صورة قرص مشفر، فلا تنس إدراج اسم هذه الصورة في المسار.
    security unlock-keychain /path
    
    مثال عن وحدة تخزين باسم ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. أدخل كلمة المرور الرئيسية لإلغاء قفل قرص بدء التشغيل. في حالة قبول كلمة المرور، يرجع موجِّه الأوامر.

تابع كما هو موضح أدناه، بناءً على كيفية تهيئة قرص بدء التشغيل الخاص بالمستخدم.

APFS

 إذا تمت تهيئة قرص بدء التشغيل بتنسيق APFS، فأكمل هذه الخطوات الإضافية:

  1. أدخل الأمر التالي لإلغاء قفل قرص بدء التشغيل المشفر. استبدل بـ "الاسم" اسم وحدة تخزين بدء التشغيل، واستبدل بـ /path المسار المؤدي إلى FileVaultMaster.keychain على محرك الأقراص الخارجي أو صورة القرص:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    مثال عن وحدة تخزين بدء تشغيل باسم Macintosh HD ووحدة تخزين مفتاح الاسترداد باسم ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. أدخل كلمة المرور الرئيسية لإلغاء قفل سلسلة المفاتيح وتحميل قرص بدء التشغيل.
  3. استخدم أدوات سطر الأوامر مثل ditto لعمل نسخة احتياطية من البيانات على القرص أو إنهاء "الوحدة الطرفية" واستخدام "أداة القرص".

Mac OS Extended (HFS Plus)

إذا تمت تهيئة قرص بدء التشغيل بتنسيق Mac OS Extended، فأكمل هذه الخطوات الإضافية:

  1. أدخل هذا الأمر للحصول على قائمة المحركات ووحدات تخزين CoreStorage:
    diskutil cs list
    
  2. اختر UUID الذي يظهر بعد "Logical Volume"، ثم انسخه للاستخدام في خطوة لاحقة.
    مثال: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. استخدم الأمر التالي لإلغاء قفل قرص بدء التشغيل المشفر. استبدل بـ UUID UUID الذي قمت بنسخه في خطوة سابقة، واستبدل بـ /path المسار المؤدي إلى FileVaultMaster.keychain على محرك الأقراص الخارجي أو صورة القرص:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    مثال عن وحدة تخزين مفتاح الاسترداد باسم ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. أدخل كلمة المرور الرئيسية لإلغاء قفل سلسلة المفاتيح وتحميل قرص بدء التشغيل.
  5. استخدم أدوات سطر الأوامر مثل ditto لعمل نسخة احتياطية من البيانات على القرص. أو إنهاء "الوحدة الطرفية" واستخدام "أداة القرص". أو استخدم الأمر التالي لفك تشفير القرص غير المقفل وبدء التشغيل منه. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    مثال عن وحدة تخزين مفتاح الاسترداد باسم ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
تاريخ النشر: