Jak používat zotavovací klíče instituce k obnovení Maců s procesory Intel
Přečtěte si, jak vytvořit zotavovací klíč instituce (IRK) k odemčení Maců s procesory Intel a zašifrovaných FileVaultem, a obnovit data.
Tento článek se věnuje starší metodě vytvoření zotavovacího klíče instituce (IRK) k odemčení počítačů Mac s procesory Intel zašifrovaných FileVaultem. Pokud váš Mac s čipem Apple nebo procesorem Intel používá MDM, můžete místo použití IRK uložit klíč zotavení na server.
Pomocí klíče zotavení můžete získat přístup k datům zašifrovaným FileVaultem za uživatele, kteří se k datům nemohou dostat pomocí hesla. V počítačích Mac s procesorem Intel můžete pomocí zotavovacího klíče instituce odemknout Macy zašifrované FileVaultem a obnovit data pomocí diskového režimu.
Vytvoření hlavního svazku klíčů FileVault
Na Macu otevřete aplikaci Terminál a zadejte tento příkaz:
security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
Po výzvě zadejte hlavní heslo pro nový svazek klíčů a pak ho pro kontrolu zadejte ještě jednou. Terminál nezobrazuje heslo, když ho zadáváte.
Vygeneruje se pár klíčů a na plochu se uloží soubor s názvem FileVaultMaster.keychain. Tento soubor zkopírujte na bezpečné místo, třeba do šifrovaného obrazu disku na externí jednotce. Tato bezpečná kopie představuje privátní klíč zotavení, který dokáže odemknout spouštěcí disk kteréhokoli Macu s procesorem Intel, na kterém nastavíte použití hlavního svazku klíčů FileVault. Tato kopie klíče není určená k distribuci.
V další části provedete úpravu souboru FileVaultMaster.keychain, který máte stále na ploše. Pak budete moct tento svazek klíčů nasadit na Macy ve své organizaci.
Odstranění privátního klíče z hlavního svazku klíčů
Po vytvoření hlavního svazku klíčů FileVault následujícím postupem připravte kopii pro nasazení:
Klikněte dvakrát na soubor FileVaultMaster.keychain na ploše. Otevře se aplikace Klíčenka.
Na bočním panelu Klíčenky vyberte FileVaultMaster.
Pokud je svazek klíčů FileVaultMaster uzamčen, vyberte na řádku nabídek položky Soubor > Odemknout svazek klíčů „FileVaultMaster“ a zadejte vámi vytvořené hlavní heslo.
Ze dvou položek zobrazených napravo vyberte tu, která je ve sloupci Druh označena jako „privátní klíč“:
Smazání privátního klíče: zvolte v řádku nabídky Úpravy > Smazat, zadejte hlavní heslo svazku klíčů a v žádosti o potvrzení klikněte na Smazat.
Zavřete Klíčenku.
Teď, když už hlavní svazek klíčů na ploše neobsahuje privátní klíč, je připravený k nasazení.
Nasazení upraveného hlavního svazku klíčů na jednotlivé Macy
Po odstranění privátního klíče ze svazku klíčů použijte následující postup na každém Macu s procesorem Intel, na kterém chcete mít možnost odemčení pomocí svého privátního klíče.
Uložte kopii upraveného souboru FileVaultMaster.keychain do složky /Knihovna/Keychains/.
Otevřete aplikaci Terminál a zadejte oba následující příkazy. Tyto příkazy zajistí, aby oprávnění souboru byla nastavena na
-rw-r--r--
and the file is owned by root and assigned to the group named wheel.sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
Pokud je FileVault již zapnutý, zadejte do Terminálu tento příkaz:
sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
Pokud je FileVault vypnutý, otevřete předvolby Zabezpečení a soukromí a zapněte FileVault. Měla by se zobrazit zpráva, že vaší společností, školou nebo organizací byl nastaven klíč zotavení. Klikněte na Pokračovat.
Tím je proces dokončen. Pokud uživatel zapomene své heslo k uživatelskému účtu macOS a nemůže se přihlásit ke svému Macu, budete moct jeho disk odemknout privátním klíčem.
Použití privátního klíče k odemknutí startovacího disku
Zapněte Mac, který chcete odemknout, a podržte klávesu T.
Jakmile uvidíte logo Thunderbolt, klávesu T uvolněte.
Připojte Mac k jinému Macu (hostiteli) pomocí kabelu Thunderbolt 3 (USB-C).
Po zobrazení výzvy k zadání hesla pro odemčení disku klikněte na tlačítko Zrušit.
K hostitelskému Macu připojte externí jednotku, která obsahuje privátní klíč zotavení.
Pokud jste privátní klíč zotavení uložili do šifrovaného obrazu disku, dvojitým kliknutím na soubor obraz připojte a po vyzvání zadejte heslo.
Pokud neznáte název spouštěcího svazku (například Macintosh HD) na disku, který chcete odemknout, otevřete Diskovou utilitu a na bočním panelu vyhledejte název svazku. Tuto informaci budete potřebovat v dalším kroku.
diskutil ap unlockVolume "name" -recoveryKeychain /path
Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:
diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Zadáním hlavního hesla odemkněte startovací disk. Pokud je heslo přijato, svazek se připojí na plochu.