Как да използвате институционални ключове за възстановяване при компютри Mac с процесор Intel

Научете как да създадете институционален ключ за възстановяване (IRK), за да отключите компютри Mac с процесор Intel, криптирани с FileVault, и да възстановите данни.

Можете да използвате ключ за възстановяване, за да си върнете достъпа до криптирани с FileVault данни за потребители, които не могат да получат достъп до данните с паролата си. На компютри Mac с процесор Intel можете да използвате институционален ключ за възстановяване, за да отключите криптирани с FileVault компютри Mac и да възстановите данни, като използвате Target Disk Mode (Режим на целевия диск).

Създаване на главен ключодържател на FileVault

1. Отворете приложението Terminal (Терминал) на вашия Mac, след което въведете тази команда:

   security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

2. Когато бъдете подканени, въведете главната парола за новия ключодържател, след което я въведете отново, когато бъдете подканени да въведете отново. Terminal (Терминал) не показва паролата, докато пишете.

3. Генерира се двойка ключове и файл с име FileVaultMaster.keychain се записва на вашия работен плот. Копирайте този файл на сигурно място, като например криптиран образ на диск върху външно устройство. Това сигурно копие е частният ключ за възстановяване, който може да отключи пусковия диск на всеки Mac с процесор Intel, настроен да използва главния ключодържател на FileVault. Не е за разпространение.

В следващия раздел ще обновите файла FileVaultMaster.keychain, който все още е на вашия работен плот. След това можете да разположите този ключодържател на компютрите Mac във вашата организация.

Премахване на частния ключ от главния ключодържател

След създаването на главния ключодържател на FileVault, следвайте тези стъпки, за да подготвите копие от него за разполагане:

1. Щракнете двукратно върху файла FileVaultMaster.keychain на вашия работен плот. Отваря се приложението Keychain Access (Достъп до ключодържател).

2. В страничната лента на Keychain Access (Достъп до ключодържател) изберете FileVaultMaster.

3. Ако ключодържателят FileVaultMaster е заключен, изберете File (Файл) > Unlock Keychain "FileVaultMaster" (Отключване на ключодържателя „FileVaultMaster“) от лентата с менюта, след което въведете главната парола, която сте създали.

4. От двата елемента, показани вдясно, изберете този, определен като „частен ключ“ в колоната Kind (Вид):

   

5. Изтриване на частния ключ: Изберете Edit (Редактиране) > Delete from the menu bar (Изтриване от лентата с менюта), въведете главната парола на ключодържателя, след което щракнете върху Delete (Изтриване), когато бъдете помолени да потвърдите.

6. Затворете Keychain Access (Достъп до ключодържател).

Сега, когато главният ключодържател на вашия работен плот вече не съдържа частния ключ, той е готов за разполагане.

Разполагане на обновения главен ключодържател на всеки Mac

След премахването на частния ключ от ключодържателя, следвайте тези стъпки на всеки Mac с процесор Intel, който искате да можете да отключите с частния си ключ.

1. Поставете копие на обновения файл FileVaultMaster.keychain в папката /Library/Keychains/.

2. Отворете приложението Terminal (Терминал) и въведете двете команди по-долу. Тези команди подсигуряват разрешенията на файла да са зададени на-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

   sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

   sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

3. Ако FileVault вече е включен, въведете тази команда в Terminal:

   sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

4. Ако FileVault е изключен, отворете предпочитанията за Security & Privacy (Сигурност и Поверителност) и включете FileVault. Трябва да видите съобщение, че ключът за възстановяване е зададен от вашата компания, училище или организация. Щракнете върху Continue (Продължи).

   

Това завършва процеса. Ако потребител забрави паролата за потребителския си акаунт в macOS и не може да влезе на своя Mac, можете да използвате частния ключ, за да отключите неговия диск.

Използване на частния ключ за отключване на пусковия диск на потребител

1. На Mac, който искате да отключите, включете компютъра, докато държите натиснат клавиша T.

2. След като видите логото на Thunderbolt, освободете клавиша T.

3. Свържете този Mac към друг Mac (хост) с помощта на кабела Thunderbolt 3 (USB-C).

4. Когато бъдете подканени да въведете парола за отключване на диска, щракнете върху Cancel (Отмяна).

5. На хост-компютъра Mac свържете външното устройство, което съдържа частния ключ за възстановяване.

6. Ако сте съхранили частния ключ за възстановяване в криптиран образ на диск, щракнете двукратно върху файла, за да монтирате образа, и въведете паролата, когато бъдете подканени.

7. Ако не знаете името на пусковия дял (като например Macintosh HD) върху диска, който искате да отключите, отворете Disk Utility (Помагало за дискове), след което намерете името на дяла в страничната лента. Тази информация ще ви е необходима при следващата стъпка.

8. diskutil ap unlockVolume "name" -recoveryKeychain /path

   • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

   diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

9. Въведете главната парола, за да отключите пусковия диск. Ако паролата е приета, дялът се монтира на Desktop (Работен плот).