Jak používat zotavovací klíče instituce k obnovení Maců s procesory Intel

Přečtěte si, jak vytvořit zotavovací klíč instituce (IRK) k odemčení Maců s procesory Intel a zašifrovaných FileVaultem, a obnovit data.

Tento článek byl archivován a Apple ho nadále neaktualizuje.

Tento článek se věnuje starší metodě vytvoření zotavovacího klíče instituce (IRK) k odemčení počítačů Mac s procesory Intel zašifrovaných FileVaultem. Pokud váš Mac s čipem Apple nebo procesorem Intel používá MDM, můžete místo použití IRK uložit klíč zotavení na server.

Pomocí klíče zotavení můžete získat přístup k datům zašifrovaným FileVaultem za uživatele, kteří se k datům nemohou dostat pomocí hesla. V počítačích Mac s procesorem Intel můžete pomocí zotavovacího klíče instituce odemknout Macy zašifrované FileVaultem a obnovit data pomocí diskového režimu.

Vytvoření hlavního svazku klíčů FileVault

  1. Otevřete na Macu Terminál a zadejte následující příkaz:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Po výzvě zadejte hlavní heslo pro nový svazek klíčů a pak ho pro kontrolu zadejte ještě jednou. Terminál nezobrazuje heslo, když ho zadáváte.
  3. Vygeneruje se pár klíčů a na plochu se uloží soubor s názvem FileVaultMaster.keychain. Tento soubor zkopírujte na bezpečné místo, třeba do šifrovaného obrazu disku na externí jednotce. Tato bezpečná kopie představuje privátní klíč zotavení, který dokáže odemknout spouštěcí disk kteréhokoli Macu s procesorem Intel, na kterém nastavíte použití hlavního svazku klíčů FileVault. Tato kopie klíče není určená k distribuci. 

V další části provedete úpravu souboru FileVaultMaster.keychain, který máte stále na ploše. Pak budete moct tento svazek klíčů nasadit na Macy ve své organizaci.


Odstranění privátního klíče z hlavního svazku klíčů

Po vytvoření hlavního svazku klíčů FileVault následujícím postupem připravte kopii pro jeho nasazení:

  1. Klikněte dvakrát na soubor FileVaultMaster.keychain na ploše. Otevře se aplikace Klíčenka.
  2. Na bočním panelu Klíčenky vyberte FileVaultMaster.
  3. Pokud je svazek klíčů FileVaultMaster uzamčen, vyberte na řádku nabídek položky Soubor > Odemknout svazek klíčů „FileVaultMaster“ a zadejte hlavní heslo, které jste vytvořili.
  4. Ze dvou položek napravo vyberte tu, která má ve sloupci Druh uvedeno „privátní klíč“:
    Klíčenka s vybraným privátním klíčem FileVault Master Password Key
  5. Smazání privátního klíče: zvolte v řádku nabídky Úpravy > Smazat, zadejte hlavní heslo svazku klíčů a v žádosti o potvrzení klikněte na Smazat.
  6. Zavřete Klíčenku.

Teď, když už hlavní svazek klíčů na ploše neobsahuje privátní klíč, je připravený k nasazení.


Nasazení upraveného hlavního svazku klíčů na jednotlivé Macy

Po odstranění privátního klíče ze svazku klíčů použijte následující postup na každém Macu s procesorem Intel, na kterém chcete mít možnost odemčení pomocí svého privátního klíče.

  1. Uložte kopii upraveného souboru FileVaultMaster.keychain do složky /Knihovna/Keychains/.
  2. Otevřete aplikaci Terminál a zadejte oba následující příkazy. Tyto příkazy zajistí, aby oprávnění souboru byla nastavena na -rw-r--r--, vlastníkem souboru byl uživatel root a aby byl přiřazen skupině wheel.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Pokud je FileVault už zapnutý, zadejte v Terminálu následující příkaz:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Pokud je FileVault vypnutý, otevřete předvolby Zabezpečení a soukromí a zapněte FileVault. Měla by se zobrazit zpráva, že vaší společností, školou nebo organizací byl nastaven klíč zotavení. Klikněte na Pokračovat.
    Předvolby Zabezpečení a soukromí se zobrazenou zprávou o klíči zotavení

Tím je proces dokončen. Pokud uživatel zapomene své heslo k uživatelskému účtu macOS a nemůže se přihlásit ke svému Macu, budete moct privátním klíčem odemknout jeho disk.


Použití privátního klíče k odemknutí startovacího disku

  1. Zapněte Mac, který chcete odemknout, a podržte klávesu T.
  2. Jakmile uvidíte logo Thunderbolt, klávesu T uvolněte. 
  3. Připojte Mac k jinému Macu (hostiteli) pomocí kabelu Thunderbolt 3 (USB-C).
  4. Po zobrazení výzvy k zadání hesla pro odemčení disku klikněte na tlačítko Zrušit.
  5. K hostitelskému Macu připojte externí jednotku, která obsahuje privátní klíč zotavení.
  6. Pokud jste privátní klíč zotavení uložili do šifrovaného obrazu disku, dvojitým kliknutím na soubor obraz připojte a po vyzvání zadejte heslo.
  7. Pokud neznáte název spouštěcího svazku (například Macintosh HD) na disku, který chcete odemknout, otevřete Diskovou utilitu a na bočním panelu vyhledejte název svazku. Tuto informaci budete potřebovat v dalším kroku.
  8. Otevřete Terminál a zadáním následujícího příkazu odemkněte šifrovaný spouštěcí disk. Výraz "name" nahraďte názvem spouštěcího svazku a výraz /path nahraďte cestou k souboru FileVaultMaster.keychain na externí jednotce nebo obrazu disku:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    Příklad pro spouštěcí svazek pojmenovaný Macintosh HD a svazek se zotavovacím klíčem s názvem ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. Zadáním hlavního hesla odemkněte startovací disk. Pokud je heslo přijato, svazek se připojí na plochu.
Datum zveřejnění: