So verwendest du institutionelle Wiederherstellungsschlüssel mit Intel-basierten Macs

Erfahre, wie du einen institutionellen Wiederherstellungsschlüssel (IRK) erstellen kannst, um FileVault-verschlüsselte Intel-basierte Mac-Computer zu entsperren und Daten wiederherzustellen.

Dieser Artikel behandelt die klassische Methode zum Erstellen eines institutionellen Wiederherstellungsschlüssels (IRK), um FileVault-verschlüsselte Intel-basierten Macs zu entsperren. Wenn dein Mac-Computer mit Apple-Chip oder dein Intel-basierter Mac MDM verwendet, kannst du den Wiederherstellungsschlüssel auf einem Server hinterlegen, anstatt einen IRK zu verwenden.

Du kannst einen Wiederherstellungsschlüssel verwenden, um den Zugriff auf FileVault-verschlüsselte Daten für Benutzer wiederherzustellen, die nicht mit ihrem Passwort auf die Daten zugreifen können. Auf Intel-basierten Mac-Computern kannst du einen institutionellen Wiederherstellungsschlüssel verwenden, um FileVault-verschlüsselte Mac-Computer zu entsperren und Daten im Festplattenmodus wiederherzustellen.

Einen FileVault-Hauptschlüsselbund erstellen

  1. Öffne die App "Terminal" auf deinem Mac, und gib diesen Befehl ein:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Gib nach der entsprechenden Aufforderung das Hauptpasswort für den neuen Schlüsselbund ein, und wiederhole es dann, wenn du dazu aufgefordert wirst. Terminal zeigt das Passwort bei der Eingabe nicht an.
  3. Ein Schlüsselpaar wird generiert, und eine Datei mit dem Namen "FileVaultMaster.keychain" wird auf dem Schreibtisch gesichert. Kopiere diese Datei an einen sicheren Speicherort, z. B. als verschlüsseltes Image auf einer externen Festplatte. Diese sichere Kopie ist der private Wiederherstellungsschlüssel, der das Startvolume jedes Intel-basierten Mac entsperren kann, der für die Verwendung des FileVault-Hauptschlüsselbunds eingerichtet ist. Dieser Schlüssel sollte nicht verteilt werden. 

Im nächsten Abschnitt wirst du die Datei "FileVaultMaster.keychain" aktualisieren, die sich noch auf deinem Schreibtisch befindet. Du kannst den Schlüsselbund dann auf Mac-Computer in deiner Einrichtung anwenden.


Den privaten Schlüssel aus dem Hauptschlüsselbund entfernen

Folge nach der Erstellung des FileVault-Hauptschlüsselbunds diesen Schritten, um eine Kopie davon zur Bereitstellung vorzubereiten:

  1. Doppelklicke auf die Datei "FileVaultMaster.keychain" auf deinem Schreibtisch. Die App "Schlüsselbundverwaltung" wird geöffnet.
  2. Wähle in der Seitenleiste der Schlüsselbundverwaltung "FileVaultMaster" aus.
  3. Wenn der FileVaultMaster-Schlüsselbund gesperrt ist, wähle in der Menüleiste "Datei" > "Schlüsselbund "FileVaultMaster" entsperren", und gib das von dir erstellte Hauptpasswort ein.
  4. Wähle von den beiden Objekten links dasjenige aus, das in der Spalte "Art" als privater Schlüssel identifiziert ist:
    Schlüsselbundverwaltung mit ausgewähltem privaten FileVault Master Password Key
  5. Den privaten Schlüssel löschen: Wähle in der Menüleiste "Bearbeiten" > "Löschen", gib das Schlüsselbund-Hauptpasswort ein, und klicke dann auf "Löschen", wenn du zur Bestätigung aufgefordert wirst.
  6. Beende die Schlüsselbundverwaltung.

Beachte, dass der Hauptschlüsselbund auf dem Schreibtisch nun nicht mehr den privaten Schlüssel enthält und somit bereitgestellt werden kann.


Den aktualisierten Hauptschlüsselbund auf jedem Mac bereitstellen

Nachdem du den privaten Schlüssel aus dem Hauptschlüsselbund entfernt hast, führe die folgenden Schritte an jedem Intel-basierten Mac aus, den du mit deinem privaten Schlüssel entsperren möchtest.

  1. Lege die aktualisierte FileVaultMaster.keychain-Datei im Ordner /Library/Keychains/ ab.
  2. Öffne die App "Terminal", und gib die beiden folgenden Befehle ein. Diese Befehle stellen sicher, dass die Berechtigungen der Datei auf -rw-r--r-- eingestellt sind, und die Datei dem root-Benutzer gehört und der Gruppe "wheel" zugewiesen ist.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Wenn FileVault bereits aktiviert ist, gib in Terminal den folgenden Befehl ein:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Wenn FileVault deaktiviert ist, öffne die Systemeinstellung "Sicherheit", und aktivieren FileVault. Es sollte die Meldung gezeigt werden, dass ein Wiederherstellungsschlüssel von deiner Firma, Schule oder Einrichtung festgelegt wurde. Klicke auf "Fortfahren".
    Systemeinstellung

Damit ist der Vorgang abgeschlossen. Wenn ein Benutzer das Passwort seines macOS-Benutzeraccounts vergisst und sich nicht mehr an seinem Mac anmelden kann, kannst du seine Festplatte mithilfe des privaten Schlüssels entsperren.


Das Startvolume eines Benutzers mit dem privaten Schlüssel entsperren

  1. Starte den Mac-Computer, den du entsperren möchtest, während du die T-Taste gedrückt hältst.
  2. Sobald du das Thunderbolt-Logo siehst, lasse die T-Taste los. 
  3. Schließe den Mac mit einem Thunderbolt 3-Kabel (USB-C) an einen anderen Mac (den Host) an.
  4. Wenn du nach einem Passwort zum Entsperren der Festplatte gefragt wirst, klicke auf "Abbrechen".
  5. Schließe auf dem Host-Mac das externe Laufwerk an, das den privaten Wiederherstellungsschlüssel enthält.
  6. Wenn du den privaten Wiederherstellungsschlüssel in einem verschlüsselten Disk-Image gespeichert hast, doppelklicke auf die Datei, um das Image zu aktivieren, und gib das Passwort ein, wenn du dazu aufgefordert wirst.
  7. Wenn du den Namen des Startvolumes (z. B. Macintosh HD) auf der zu entsperrenden Festplatte nicht kennst, öffne das Festplattendienstprogramm, und suche den Namen des Volumes in der Seitenleiste. Diese Information benötigst du im nächsten Schritt.
  8. Öffne Terminal, und gib den folgenden Befehl ein, um das verschlüsselte Startvolume zu entsperren. Ersetze "name" durch den Namen des Startvolumes und ersetze /path durch den Pfad zu FileVaultMaster.keychain auf dem externen Laufwerk oder Disk-Image:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    Beispiel eines Startvolumes mit dem Namen "Macintosh HD" und eines Wiederherstellungsschlüssel-Volumes mit dem Namen "ThumbDrive":
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. Gib das Hauptpasswort ein, und entsperre das Startvolume. Wenn das Passwort akzeptiert wird, wird das Volume auf dem Desktop aktiviert.
Veröffentlichungsdatum: