Tento článek byl archivován a Apple ho nadále neaktualizuje.

Jak používat zotavovací klíče instituce k obnovení Maců s procesory Intel

Přečtěte si, jak vytvořit zotavovací klíč instituce (IRK) k odemčení Maců s procesory Intel a zašifrovaných FileVaultem, a obnovit data.

Tento článek se věnuje starší metodě vytvoření zotavovacího klíče instituce (IRK) k odemčení počítačů Mac s procesory Intel zašifrovaných FileVaultem. Pokud váš Mac s čipem Apple nebo procesorem Intel používá MDM, můžete místo použití IRK uložit klíč zotavení na server.

Pomocí klíče zotavení můžete získat přístup k datům zašifrovaným FileVaultem za uživatele, kteří se k datům nemohou dostat pomocí hesla. V počítačích Mac s procesorem Intel můžete pomocí zotavovacího klíče instituce odemknout Macy zašifrované FileVaultem a obnovit data pomocí diskového režimu.

Vytvoření hlavního svazku klíčů FileVault

  1. Na Macu otevřete aplikaci Terminál a zadejte tento příkaz:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. Po výzvě zadejte hlavní heslo pro nový svazek klíčů a pak ho pro kontrolu zadejte ještě jednou. Terminál nezobrazuje heslo, když ho zadáváte.

  3. Vygeneruje se pár klíčů a na plochu se uloží soubor s názvem FileVaultMaster.keychain. Tento soubor zkopírujte na bezpečné místo, třeba do šifrovaného obrazu disku na externí jednotce. Tato bezpečná kopie představuje privátní klíč zotavení, který dokáže odemknout spouštěcí disk kteréhokoli Macu s procesorem Intel, na kterém nastavíte použití hlavního svazku klíčů FileVault. Tato kopie klíče není určená k distribuci.

V další části provedete úpravu souboru FileVaultMaster.keychain, který máte stále na ploše. Pak budete moct tento svazek klíčů nasadit na Macy ve své organizaci.

Odstranění privátního klíče z hlavního svazku klíčů

Po vytvoření hlavního svazku klíčů FileVault následujícím postupem připravte kopii pro nasazení:

  1. Klikněte dvakrát na soubor FileVaultMaster.keychain na ploše. Otevře se aplikace Klíčenka.

  2. Na bočním panelu Klíčenky vyberte FileVaultMaster.

  3. Pokud je svazek klíčů FileVaultMaster uzamčen, vyberte na řádku nabídek položky Soubor > Odemknout svazek klíčů „FileVaultMaster“ a zadejte vámi vytvořené hlavní heslo.

  4. Ze dvou položek zobrazených napravo vyberte tu, která je ve sloupci Druh označena jako „privátní klíč“:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. Smazání privátního klíče: zvolte v řádku nabídky Úpravy > Smazat, zadejte hlavní heslo svazku klíčů a v žádosti o potvrzení klikněte na Smazat.

  6. Zavřete Klíčenku.

Teď, když už hlavní svazek klíčů na ploše neobsahuje privátní klíč, je připravený k nasazení.

Nasazení upraveného hlavního svazku klíčů na jednotlivé Macy

Po odstranění privátního klíče ze svazku klíčů použijte následující postup na každém Macu s procesorem Intel, na kterém chcete mít možnost odemčení pomocí svého privátního klíče.

  1. Uložte kopii upraveného souboru FileVaultMaster.keychain do složky /Knihovna/Keychains/.

  2. Otevřete aplikaci Terminál a zadejte oba následující příkazy. Tyto příkazy zajistí, aby oprávnění souboru byla nastavena na-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Pokud je FileVault již zapnutý, zadejte do Terminálu tento příkaz:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Pokud je FileVault vypnutý, otevřete předvolby Zabezpečení a soukromí a zapněte FileVault. Měla by se zobrazit zpráva, že vaší společností, školou nebo organizací byl nastaven klíč zotavení. Klikněte na Pokračovat.

    Security & Privacy preferences, showing the Recovery Key message

Tím je proces dokončen. Pokud uživatel zapomene své heslo k uživatelskému účtu macOS a nemůže se přihlásit ke svému Macu, budete moct jeho disk odemknout privátním klíčem.

Použití privátního klíče k odemknutí startovacího disku

  1. Zapněte Mac, který chcete odemknout, a podržte klávesu T.

  2. Jakmile uvidíte logo Thunderbolt, klávesu T uvolněte.

  3. Připojte Mac k jinému Macu (hostiteli) pomocí kabelu Thunderbolt 3 (USB-C).

  4. Po zobrazení výzvy k zadání hesla pro odemčení disku klikněte na tlačítko Zrušit.

  5. K hostitelskému Macu připojte externí jednotku, která obsahuje privátní klíč zotavení.

  6. Pokud jste privátní klíč zotavení uložili do šifrovaného obrazu disku, dvojitým kliknutím na soubor obraz připojte a po vyzvání zadejte heslo.

  7. Pokud neznáte název spouštěcího svazku (například Macintosh HD) na disku, který chcete odemknout, otevřete Diskovou utilitu a na bočním panelu vyhledejte název svazku. Tuto informaci budete potřebovat v dalším kroku.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Zadáním hlavního hesla odemkněte startovací disk. Pokud je heslo přijato, svazek se připojí na plochu.

Datum zveřejnění: