Sådan bruger du gendannelseskoder til institutioner med Intel-baserede Mac-computere

Læs mere om, hvordan du opretter en gendannelseskode til institutioner (IRK). som bruges til at låse FileVault-krypterede Intel-baserede Mac-computere op og gendanne data.

I denne artikel kan du læse om den ældre metode til at oprette gendannelseskoder til institutioner (IRK) til at låse FileVault-krypterede Intel-baserede Mac-computere op. Hvis din Mac-computer med Apple Silicon eller din Intel-baseret Mac bruger MDM, kan du bruge en server til gendannelsesnøgler i stedet for at bruge en IRK.

Du kan bruge en gendannelsesnøgle til at genvinde adgang til FileVault-krypterede data for de brugere, der ikke kan få adgang til dataene ved hjælp af deres adgangskode. På Intel-baserede Mac-computere kan du bruge en gendannelseskode til institutioner til at låse FileVault-krypterede Mac-computere op og gendanne data ved hjælp af Computer som ekstern harddisk.

Sådan oprettes en FileVault-hovednøglering

  1. Åbn appen Terminal på din Mac, og indtast følgende kommando:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Indtast en hovedadgangskode for den nye nøglering, når du bliver bedt om det, og bekræft den ved at indtaste den igen. Adgangskoden vises ikke i Terminal under indtastningen.
  3. Der genereres et nøglepar, og et arkiv med navnet FileVaultMaster.keychain arkiveres på dit skrivebord. Kopier dette arkiv til en sikker placering, f.eks. som et krypteret diskbillede til et eksternt drev. Den beskyttede kopi er en privat gendannelsesnøgle, der kan låse startdisken op på enhver Intel-baseret Mac, der er indstillet til at bruge den pågældende FileVault-hovednøglering. Den er ikke til distribution. 

Næste afsnit beskriver, hvordan du opdaterer arkivet FileVaultMaster.keychain, der findes på dit skrivebord. Du kan derefter implementere den pågældende nøglering på Mac-computerne i jeres organisation.


Sådan fjernes den private nøgle fra hovednøgleringen

Når du har oprettet en FileVault-hovednøglering, skal du følge disse trin for at gøre en kopi af den klar til implementering:

  1. Dobbeltklik på arkivet FileVaultMaster.keychain på dit skrivebord. Appen Hovednøglering åbnes.
  2. Gå til indholdsoversigten i Hovednøglering, og vælg FileVaultMaster.
  3. Hvis FileVaultMaster-nøgleringen er låst, skal du vælge Arkiv > Lås nøgleringen "FileVaultMaster" op fra menulinjen og derefter indtaste den hovedadgangskode, som du har oprettet.
  4. Gå til de to emner til højre, og vælg den nøgle, der er angivet som "privat nøgle" i kolonnen Type:
    Hovednøglering, hvor FileVault Master Password Key er valgt
  5. Slet den private nøgle: Vælg Rediger > Slet i menulinjen, indtast nøgleringens hovedadgangskode, og klik derefter på Slet for at bekræfte.
  6. Slut Hovednøglering.

Hovednøgleringen på dit skrivebord kan implementeres nu, hvor den ikke længere indeholder den private nøgle.


Sådan implementeres den opdaterede hovednøglering på hver Mac

Når den private nøgle er fjernet fra nøgleringen, skal du følge disse trin på hver Intel-baserede Mac, der skal kunne låses op med din private nøgle.

  1. Placer en kopi af det opdaterede arkiv FileVaultMaster.keychain i mappen /Bibliotek/Keychains/.
  2. Åbn appen Terminal, og indtast følgende to kommandoer. Disse kommandoer sørger for, at arkivets tilladelser indstilles til -rw-r--r--, at arkivet ejes af "root", og at det tildeles gruppen "wheel".
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Hvis FileVault allerede er slået til, skal du indtaste følgende kommando i Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Hvis FileVault er slået fra, skal du åbne indstillingerne Sikkerhed & anonymitet og slå FileVault til. Du får sandsynligvis vist en besked om, at en gendannelsesnøgle er indstillet af dit firma, din skole eller organisation. Klik på Fortsæt.
    Indstillingerne Sikkerhed & anonymitet, der viser besked om gendannelsesnøgle

Processen er nu færdig. Hvis en bruger glemmer adgangskoden til sin brugerkonto på macOS og ikke kan logge på sin Mac, kan du bruge den private nøgle til at låse vedkommendes disk op.


Brug den private nøgle til at låse en brugers startdisk op

  1. På den Mac, du vil låse op, skal du tænde computeren, mens du holder T-tasten nede.
  2. Når du ser Thunderbolt-logoet, skal du slippe T-tasten. 
  3. Slut din Mac til en anden Mac (værten) ved hjælp af et Thunderbolt 3 (USB-C)-kabel.
  4. Når du bliver bedt om at indtaste en adgangskode for at låse disken op, skal du klikke på Annuller.
  5. På Mac-værtscomputeren skal du tilslutte det eksterne drev, der indeholder den private gendannelsesnøgle.
  6. Hvis du har gemt den private gendannelsesnøgle i et krypteret diskbillede, skal du dobbeltklikke på arkivet for at aktivere diskbilledet og indtaste adgangskoden, når du bliver bedt om det.
  7. Hvis du ikke kender navnet på startenheden (såsom Macintosh HD) på den disk, du vil låse op, skal du åbne Diskværktøj og derefter finde navnet på enheden i indholdsoversigten. Du får brug for disse oplysninger på næste trin.
  8. Åbn Terminal, og indtast derefter følgende kommando for at låse den krypterede startdisk op. Udskift "navn" med navnet på startenheden, og erstat /sti med stien til FileVaultMaster.keychain på det eksterne drev eller diskbillede:
    diskutil ap unlockVolume "navn" -recoveryKeychain /sti
    I følgende eksempel hedder startenheden Macintosh HD, og enheden med gendannelsesnøglen hedder ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. Indtast hovedadgangskoden for at låse startdisken op. Hvis adgangskoden accepteres, aktiveres enheden på Skrivebordet.
Udgivelsesdato: