Denne artikel er blevet arkiveret og opdateres ikke længere af Apple.

Sådan bruger du gendannelseskoder til institutioner med Intel-baserede Mac-computere

Læs mere om, hvordan du opretter en gendannelseskode til institutioner (IRK). som bruges til at låse FileVault-krypterede Intel-baserede Mac-computere op og gendanne data.

I denne artikel kan du læse om den ældre metode til at oprette gendannelseskoder til institutioner (IRK) til at låse FileVault-krypterede Intel-baserede Mac-computere op. Hvis din Mac-computer med Apple Silicon eller din Intel-baserede Mac bruger MDM, kan du deponere en gendannelsesnøgle på en server i stedet for at bruge en IRK.

Du kan bruge en gendannelsesnøgle til at genvinde adgang til FileVault-krypterede data for de brugere, der ikke kan få adgang til dataene ved hjælp af deres adgangskode. På Intel-baserede Mac-computere kan du bruge en gendannelseskode til institutioner til at låse FileVault-krypterede Mac-computere op og gendanne data ved hjælp af Computer som ekstern harddisk.

Sådan opretter du en FileVault-hovednøglering

  1. Åbn Terminal-appen på din Mac, og indtast derefter denne kommando:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. Indtast en hovedadgangskode for den nye nøglering, når du bliver bedt om det, og bekræft den ved at indtaste den igen. Adgangskoden vises ikke i Terminal under indtastningen.

  3. Der genereres et nøglepar, og et arkiv med navnet FileVaultMaster.keychain arkiveres på dit skrivebord. Kopier dette arkiv til en sikker placering, f.eks. som et krypteret diskbillede til et eksternt drev. Den beskyttede kopi er en privat gendannelsesnøgle, der kan låse startdisken op på enhver Intel-baseret Mac, der er indstillet til at bruge den pågældende FileVault-hovednøglering. Den er ikke til distribution.

Næste afsnit beskriver, hvordan du opdaterer arkivet FileVaultMaster.keychain, der findes på dit skrivebord. Du kan derefter implementere den pågældende nøglering på Mac-computerne i jeres organisation.

Sådan fjerner du den private nøgle fra hovednøgleringen

Når du har oprettet en FileVault-hovednøglering, skal du følge disse trin for at gøre en kopi af den klar til implementering:

  1. Dobbeltklik på arkivet FileVaultMaster.keychain på dit skrivebord. Appen Hovednøglering åbnes.

  2. Gå til indholdsoversigten i Hovednøglering, og vælg FileVaultMaster.

  3. Hvis FileVaultMaster-nøgleringen er låst, skal du vælge Arkiv > Lås nøgleringen "FileVaultMaster" op i menulinjen og derefter indtaste den hovedadgangskode, som du har oprettet.

  4. Fra de to emner, der vises til højre, skal du vælge det, der er identificeret som "privat nøgle" i kolonnen Type:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. Slet den private nøgle: Vælg Rediger > Slet i menulinjen, indtast nøgleringens hovedadgangskode, og klik derefter på Slet for at bekræfte.

  6. Slut Hovednøglering.

Hovednøgleringen på dit skrivebord kan implementeres nu, hvor den ikke længere indeholder den private nøgle.

Sådan implementeres den opdaterede hovednøglering på hver Mac

Når den private nøgle er fjernet fra nøgleringen, skal du følge disse trin på hver Intel-baserede Mac, der skal kunne låses op med din private nøgle.

  1. Placer en kopi af det opdaterede arkiv FileVaultMaster.keychain i mappen /Bibliotek/Keychains/.

  2. Åbn appen Terminal, og indtast følgende to kommandoer. Disse kommandoer sørger for, at arkivets tilladelser indstilles til-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Hvis FileVault allerede er slået til, skal du indtaste denne kommando i Terminal:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Hvis FileVault er slået fra, skal du åbne indstillingerne Sikkerhed & anonymitet og slå FileVault til. Du får sandsynligvis vist en besked om, at en gendannelsesnøgle er indstillet af dit firma, din skole eller organisation. Klik på Fortsæt.

    Security & Privacy preferences, showing the Recovery Key message

Processen er nu færdig. Hvis en bruger glemmer adgangskoden til sin brugerkonto på macOS og ikke kan logge på sin Mac, kan du bruge den private nøgle til at låse vedkommendes disk op.

Sådan bruges en privat nøgle til at låse en brugers startdisk op

  1. På den Mac, du vil låse op, skal du tænde computeren, mens du holder T-tasten nede.

  2. Når du ser Thunderbolt-logoet, skal du slippe T-tasten.

  3. Slut din Mac til en anden Mac (værten) ved hjælp af et Thunderbolt 3 (USB-C)-kabel.

  4. Når du bliver bedt om at indtaste en adgangskode for at låse disken op, skal du klikke på Annuller.

  5. På Mac-værtscomputeren skal du tilslutte det eksterne drev, der indeholder den private gendannelsesnøgle.

  6. Hvis du har gemt den private gendannelsesnøgle i et krypteret diskbillede, skal du dobbeltklikke på arkivet for at aktivere diskbilledet og indtaste adgangskoden, når du bliver bedt om det.

  7. Hvis du ikke kender navnet på startenheden (såsom Macintosh HD) på den disk, du vil låse op, skal du åbne Diskværktøj og derefter finde navnet på enheden i indholdsoversigten. Du får brug for denne oplysning i næste trin.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Indtast hovedadgangskoden for at låse startdisken op. Hvis adgangskoden accepteres, aktiveres enheden på skrivebordet.

Udgivelsesdato: