Indstilling af en FileVault-gendannelseskode til computere i jeres institution

En gendannelseskode til institutioner (IRK) gør det muligt at gendanne jeres brugeres FileVault-krypterede data, når de har glemt log ind-adgangskoden til deres Mac.

Følgende avancerede trin er tiltænkt systemadministratorer og andre personer med kendskab til kommandolinjer.

Sådan oprettes en FileVault-hovednøglering

  1. Åbn appen Terminal på din Mac, og indtast følgende kommando:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Indtast en hovedadgangskode for den nye nøglering, når du bliver bedt om det, og bekræft den ved at indtaste den igen. Adgangskoden vises ikke i Terminal under indtastningen.
  3. Der genereres et nøglepar, og et arkiv med navnet FileVaultMaster.keychain arkiveres på dit skrivebord. Kopier dette arkiv til en sikker placering, f.eks. som et krypteret diskbillede til et eksternt drev. Den beskyttede kopi er en privat gendannelsesnøgle, der kan låse startdisken op på enhver Mac, der er indstillet til at bruge den pågældende FileVault-hovednøglering. Den er ikke til distribution. 

Næste afsnit beskriver, hvordan du opdaterer arkivet FileVaultMaster.keychain, der findes på dit skrivebord. Du kan derefter implementere den pågældende nøglering på Mac-computerne i jeres institution.

Sådan fjernes den private nøgle fra hovednøgleringen

Når du har oprettet en FileVault-hovednøglering, skal du følge disse trin for at gøre en kopi af den klar til implementering:

  1. Dobbeltklik på arkivet FileVaultMaster.keychain på dit skrivebord. Appen Hovednøglering åbnes.
  2. Gå til indholdsoversigten i Hovednøglering, og vælg FileVaultMaster. Hvis der vises mere end to emner på listen til højre, skal du vælge en anden nøglering i indholdsoversigten og derefter igen vælge FileVaultMaster for at opdatere listen.
  3. Hvis FileVaultMaster-nøgleringen er låst, skal du klikke på  i øverste venstre hjørne af Hovednøglering og derefter indtaste den hovedadgangskode, som du har oprettet.
  4. Gå til de to emner til højre, og vælg den nøgle, der er angivet som "privat nøgle" i kolonnen Type:
    Hovednøglering, hvor FileVault Master Password Key er valgt
  5. Slet den private nøgle: Vælg Rediger > Slet i menulinjen, indtast nøgleringens hovedadgangskode, og klik derefter på Slet for at bekræfte.
  6. Slut Hovednøglering.

Hovednøgleringen på dit skrivebord kan implementeres nu, hvor den ikke længere indeholder den private nøgle.

Sådan implementeres den opdaterede hovednøglering på hver Mac

Når den private nøgle er fjernet fra nøgleringen, skal du følge disse trin på hver Mac, der skal kunne låses op med din private nøgle.

  1. Placer en kopi af det opdaterede arkiv FileVaultMaster.keychain i mappen /Bibliotek/Keychains/.
  2. Åbn appen Terminal, og indtast følgende to kommandoer. Disse kommandoer sørger for, at arkivets tilladelser indstilles til -rw-r--r--, at arkivet ejes af "root", og at det tildeles gruppen "wheel".
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Hvis FileVault allerede er slået til, skal du indtaste følgende kommando i Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Hvis FileVault er slået fra, skal du åbne indstillingerne Sikkerhed & anonymitet og slå FileVault til. Du får sandsynligvis vist beskeden "En gendannelsesnøgle er indstillet af dit firma, skole eller institution". Klik på Fortsæt.
    Indstillingerne Sikkerhed & anonymitet, der viser besked om gendannelsesnøgle

Processen er nu færdig. Hvis en bruger glemmer adgangskoden til sin brugerkonto på macOS og ikke kan logge på sin Mac, kan du bruge den private nøgle til at låse vedkommendes disk op.

 

Sådan bruges en privat nøgle til at låse en brugers startdisk op

Hvis en bruger glemmer sin adgangskode til kontoen og ikke kan logge på sin Mac, kan du bruge den private gendannelsesnøgle til at låse vedkommendes startdisk op og få adgang til dens FileVault-krypterede data.

  1. På Mac-klienten: Start fra macOS-gendannelse ved at trykke på Kommando-R og holde dem nede under opstarten.
  2. Hvis du ikke kender navnet (f.eks. Macintosh HD) og formatet på startdisken, skal du åbne Diskværktøj i vinduet macOS-hjælpeprogrammer og derefter kontrollere de oplysninger, som Diskværktøj viser til højre for den pågældende enhed. Hvis der står "CoreStorage Logical Volume Group" i stedet for "APFS-enhed" eller "Mac OS - udvidet", er formatet Mac OS - udvidet. Du får brug for disse oplysninger i et af de senere trin. Slut Diskværktøj, når du er færdig.
  3. Tilslut den eksterne disk, der indeholder den private gendannelsesnøgle.
  4. Gå til menulinjen i macOS-gendannelse, og vælg Hjælpeprogrammer > Terminal.
  5. Hvis du har arkiveret den private gendannelsesnøgle som et krypteret diskbillede, skal du bruge følgende kommando i Terminal til at aktivere det pågældende billede. Erstat /path med stien til diskbilledet, herunder arkivendelsen .dmg:
    hdiutil attach /path
    
    Følgende er et eksempel på et diskbillede ved navn PrivateKey.dmg på en enhed, der hedder ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Brug følgende kommando til at låse FileVault-hovednøgleringen op. Erstat /path med stien til FileVaultMaster.keychain på det eksterne drev. I dette og efterfølgende trin skal du huske at angive navnet på billedet i stien, hvis nøgleringen er arkiveret som et krypteret diskbillede.
    security unlock-keychain /path
    
    Følgende er et eksempel på en enhed ved navn ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Indtast hovedadgangskoden for at låse startdisken op. Hvis adgangskoden accepteres, vises kommandoprompten igen.

Fortsæt som beskrevet nedenfor, afhængigt af hvordan brugerens startdisk er formateret.

APFS

 Hvis startdisken er formateret til APFS, skal du også udføre følgende trin:

  1. Indtast følgende kommando for at låse den krypterede startdisk op. Erstat "navn" med navnet på startenheden, og erstat /path med stien til FileVaultMaster.keychain på den eksterne disk eller til diskbilledet:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    I følgende eksempel hedder startenheden Macintosh HD, og enheden med gendannelsesnøglen hedder ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Indtast hovedadgangskoden for at låse nøgleringen op og aktivere startdisken.
  3. Brug kommandolinjeværktøjer som ditto til at sikkerhedskopiere dataene på disken, eller slut Terminal, og brug Diskværktøj.

Mac OS - udvidet (HFS Plus)

Hvis startdisken er formateret til Mac OS - udvidet, skal du også udføre følgende trin:

  1. Indtast denne kommando for at åbne en liste over drev og CoreStorage-enheder:
    diskutil cs list
    
  2. Vælg det UUID, der vises efter "Logisk enhed", og kopier det for at bruge det i et af de senere trin.
    Eksempel: +-> Logisk enhed 2F227AED-1398-42F8-804D-882199ABA66B
  3. Brug følgende kommando til at låse den krypterede startdisk op. Erstat UUID med det UUID, der blev kopieret i forrige trin, og erstat /path med stien til FileVaultMaster.keychain på den eksterne disk eller til diskbilledet:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Følgende er et eksempel på en gendannelsesnøgleenhed ved navn ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Indtast hovedadgangskoden for at låse nøgleringen op og aktivere startdisken.
  5. Brug kommandolinjeværktøjer som ditto til at sikkerhedskopiere dataene på disken. Eller slut Terminal, og brug Diskværktøj. Eller brug følgende kommando til at dekryptere den oplåste disk, og start fra den. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Følgende er et eksempel på en gendannelsesnøgleenhed ved navn ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Udgivelsesdato: