Nastavení klíče zotavení pro FileVault pro počítače ve vaší instituci

Zotavovací klíč instituce (IRK) umožňuje zotavit FileVaultem zašifrovaná data vašich uživatelů v případě, že zapomenou přihlašovací heslo ke svému Macu.

Tento pokročilý postup je určený pro správce systému a další uživatele ovládající příkazový řádek.

Vytvoření hlavního svazku klíčů FileVault

  1. Otevřete na Macu Terminál a zadejte následující příkaz:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Po výzvě zadejte hlavní heslo pro nový svazek klíčů a pak ho pro kontrolu zadejte ještě jednou. Terminál nezobrazuje heslo, když ho zadáváte.
  3. Vygeneruje se pár klíčů a na plochu se uloží soubor s názvem FileVaultMaster.keychain. Tento soubor zkopírujte na bezpečné místo, třeba do šifrovaného obrazu disku na externí jednotce. Tato bezpečná kopie představuje privátní klíč pro zotavení, který dokáže odemknout startovací disk kteréhokoli Macu, na kterém nastavíte FileVault s použitím právě vytvořeného hlavního svazku klíčů. Tato kopie klíče není určená k distribuci. 

V další části provedete úpravu souboru FileVaultMaster.keychain, který máte stále na ploše. Pak budete moct tento svazek klíčů nasadit na Macy ve vaší instituci.

Odstranění privátního klíče z hlavního svazku klíčů

Po vytvoření hlavního svazku klíčů FileVault následujícím postupem připravte kopii pro jeho nasazení:

  1. Klikněte dvakrát na soubor FileVaultMaster.keychain na ploše. Otevře se aplikace Klíčenka.
  2. Na bočním panelu Klíčenky vyberte FileVaultMaster. Pokud napravo vidíte víc než dvě položky, vyberte na bočním panelu jiný svazek klíčů a pak znova vyberte FileVaultMaster, aby se seznam aktualizoval.
  3. Pokud je svazek klíčů FileVaultMaster zamčený, klikněte na  v levém horním rohu Klíčenky a zadejte hlavní heslo, které jste dříve vytvořili.
  4. Ze dvou položek napravo vyberte tu, která má ve sloupci Druh uvedeno „privátní klíč“:
    Klíčenka s vybraným privátním klíčem FileVault Master Password Key
  5. Smazání privátního klíče: zvolte v řádku nabídky Úpravy > Smazat, zadejte hlavní heslo svazku klíčů a v žádosti o potvrzení klikněte na Smazat.
  6. Zavřete Klíčenku.

Teď, když už hlavní svazek klíčů na ploše neobsahuje privátní klíč, je připravený k nasazení.

Nasazení upraveného hlavního svazku klíčů na jednotlivé Macy

Po odstranění privátního klíče ze svazku klíčů použijte následující postup na každém Macu, na kterém chcete mít možnost odemčení pomocí vašeho privátního klíče.

  1. Uložte kopii upraveného souboru FileVaultMaster.keychain do složky /Knihovna/Keychains/.
  2. Otevřete aplikaci Terminál a zadejte oba následující příkazy. Tyto příkazy zajistí, aby oprávnění souboru byla nastavena na -rw-r--r--, vlastníkem souboru byl uživatel root a aby byl přiřazen skupině wheel.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Pokud je FileVault už zapnutý, zadejte v Terminálu následující příkaz:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Pokud je FileVault vypnutý, otevřete předvolby Zabezpečení a soukromí a zapněte FileVault. Měla by se zobrazit zpráva, že vaší společností, školou nebo institucí byl nastaven klíč zotavení. Klikněte na Pokračovat.
    Předvolby Zabezpečení a soukromí se zobrazenou zprávou o klíči zotavení

Tím je proces dokončen. Pokud uživatel zapomene své heslo k uživatelskému účtu macOS a nemůže se přihlásit ke svému Macu, budete moct privátním klíčem odemknout jeho disk.

 

Použití privátního klíče k odemknutí startovacího disku

Když uživatel zapomene heslo ke svému účtu a nemůže se k Macu přihlásit, můžete použít privátní klíč zotavení k odemčení startovacího disku a zpřístupnění dat zašifrovaných FileVaultem.

  1. Spusťte Mac uživatele do Zotavení macOS podržením kláves Command-R během spouštění.
  2. Pokud neznáte název (např. Macintosh HD) a formát startovacího disku, otevřete Diskovou utilitu v okně Utility macOS a podívejte se na informace, které Disková utilita pro daný svazek zobrazuje v pravé části okna. Pokud tady vidíte „Skupina logických svazků CoreStorage“ namísto „Svazek APFS“ nebo „Mac OS rozšířený“, formát je Mac OS rozšířený. Tuto informaci budete později potřebovat. Až budete hotovi, zavřete Diskovou utilitu.
  3. Připojte externí disk s privátním klíčem zotavení.
  4. Z řádku nabídky Zotavení macOS zvolte Utility > Terminál.
  5. Pokud jste uložili privátní klíč zotavení do šifrovaného obrazu disku, následujícím příkazem v Terminálu tento obraz připojte. Místo výrazu /path zadejte cestu k obrazu disku včetně přípony .dmg:
    hdiutil attach /path
    
    Příklad pro obraz disku pojmenovaný PrivateKey.dmg na svazku nazvaném ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Následujícím příkazem odemkněte hlavní svazek klíčů pro FileVault. Místo /path zadejte cestu k souboru FileVaultMaster.keychain na externí jednotce. V tomto a ve všech zbývajících krocích pamatujte, že je-li svazek klíčů uložený v šifrovaném obrazu disku, je třeba do cesty zahrnout název tohoto obrazu disku.
    security unlock-keychain /path
    
    Příklad pro svazek nazvaný ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Zadáním hlavního hesla odemkněte startovací disk. Pokud bude heslo přijato, vrátíte se na příkazový řádek.

Pokračujte dále uvedeným postupem podle toho, jak je startovací disk naformátovaný.

APFS

 Pokud je startovací disk formátovaný systémem APFS, proveďte tyto dodatečné kroky:

  1. Zadáním následujícího příkazu odemkněte šifrovaný startovací disk. Místo "name" zadejte název startovacího svazku a místo /path zadejte cestu k souboru FileVaultMaster.keychain na externí jednotce nebo v obrazu disku:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Příklad pro startovací svazek pojmenovaný Macintosh HD a svazek s klíčem zotavení s názvem ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Zadáním hlavního hesla odemkněte svazek klíčů a připojte startovací disk.
  3. Pomocí příkazu na příkazovém řádku, například ditto, zazálohujte data na disku, nebo Terminál ukončete a použijte Diskovou utilitu.

Mac OS rozšířený (HFS Plus)

Pokud je startovací disk formátovaný systémem Mac OS rozšířený, proveďte tyto dodatečné kroky:

  1. Zadáním tohoto příkazu získáte seznam jednotek a svazků CoreStorage:
    diskutil cs list
    
  2. Vyberte UUID, které následuje po řetězci Logical Volume (Logický svazek), a zkopírujte si ho pro další krok.
    Příklad: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. Pomocí následujícího příkazu odemkněte šifrovaný startovací disk. Místo UUID zadejte UUID, které jste si zkopírovali v předchozím kroku, a místo /path zadejte cestu k souboru FileVaultMaster.keychain na externí jednotce nebo v obrazu disku:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Příklad pro svazek s klíčem zotavení nazvaný ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Zadáním hlavního hesla odemkněte svazek klíčů a připojte startovací disk.
  5. Pomocí příkazu na příkazovém řádku, například ditto, zazálohujte data na disku. Nebo Terminál ukončete a použijte Diskovou utilitu. Odemčený disk můžete taky následujícím příkazem dešifrovat a pak z něho spustit systém. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Příklad pro svazek s klíčem zotavení nazvaný ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Datum zveřejnění: