Einen FileVault-Wiederherstellungsschlüssel für Computer in deiner Einrichtung festlegen

Mit einem institutionellen Wiederherstellungsschlüssel kannst du die mit FileVault verschlüsselten Daten deiner Benutzer wiederherstellen, wenn diese ihr Mac-Anmeldepasswort vergessen haben.

Die folgenden detaillierten Anweisungen richten sich an Systemadministratoren und andere Personen, die mit der Befehlszeile vertraut sind.

Einen FileVault-Hauptschlüsselbund erstellen

  1. Öffne die App "Terminal" auf deinem Mac, und gib diesen Befehl ein:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Gib nach der entsprechenden Aufforderung das Hauptpasswort für den neuen Schlüsselbund ein, und wiederhole es dann, wenn du dazu aufgefordert wirst. Terminal zeigt das Passwort bei der Eingabe nicht an.
  3. Ein Schlüsselpaar wird generiert, und eine Datei mit dem Namen "FileVaultMaster.keychain" wird auf dem Schreibtisch gesichert. Kopiere diese Datei an einen sicheren Speicherort, z. B. als verschlüsseltes Image auf einer externen Festplatte. Diese sichere Kopie ist der private Wiederherstellungsschlüssel, der das Startvolume jedes Mac entsperren kann, der für die Verwendung des FileVault-Hauptschlüsselbunds eingerichtet ist. Dieser Schlüssel sollte nicht verteilt werden. 

Im nächsten Abschnitt wirst du die Datei "FileVaultMaster.keychain" aktualisieren, die sich noch auf deinem Schreibtisch befindet. Du kannst den Schlüsselbund dann auf Mac-Computer in deiner Einrichtung anwenden.

Den privaten Schlüssel aus dem Hauptschlüsselbund entfernen

Folge nach der Erstellung des FileVault-Hauptschlüsselbunds diesen Schritten, um eine Kopie davon zur Bereitstellung vorzubereiten:

  1. Doppelklicke auf die Datei "FileVaultMaster.keychain" auf deinem Schreibtisch. Die App "Schlüsselbundverwaltung" wird geöffnet.
  2. Wähle in der Seitenleiste der Schlüsselbundverwaltung "FileVaultMaster" aus. Wenn rechts mehrere Objekte aufgelistet sind, wähle einen anderen Schlüsselbund in der Seitenleiste aus, und wähle dann erneut "FileVaultMaster", um die Liste zu aktualisieren.
  3. Wenn der FileVaultMaster-Schlüsselbund gesperrt ist, klicke in der oberen linken Ecke der Schlüsselbundverwaltung auf , und gib dann das Hauptpasswort ein, das du erstellt hast.
  4. Wähle von den beiden Objekten links dasjenige aus, das in der Spalte "Art" als privater Schlüssel identifiziert ist:
    Schlüsselbundverwaltung mit ausgewähltem privaten FileVault Master Password Key
  5. Den privaten Schlüssel löschen: Wähle in der Menüleiste "Bearbeiten" > "Löschen", gib das Schlüsselbund-Hauptpasswort ein, und klicke dann auf "Löschen", wenn du zur Bestätigung aufgefordert wirst.
  6. Beende die Schlüsselbundverwaltung.

Beachte, dass der Hauptschlüsselbund auf dem Schreibtisch nun nicht mehr den privaten Schlüssel enthält und somit bereitgestellt werden kann.

Den aktualisierten Hauptschlüsselbund auf jedem Mac bereitstellen

Nachdem du den privaten Schlüssel aus dem Hauptschlüsselbund entfernt hast, führe die folgenden Schritte an jedem Mac aus, den du mit deinem privaten Schlüssel entsperren möchtest.

  1. Lege die aktualisierte FileVaultMaster.keychain-Datei im Ordner /Library/Keychains/ ab.
  2. Öffne die App "Terminal", und gib die beiden folgenden Befehle ein. Diese Befehle stellen sicher, dass die Berechtigungen der Datei auf -rw-r--r-- eingestellt sind, und die Datei dem root-Benutzer gehört und der Gruppe "wheel" zugewiesen ist.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Wenn FileVault bereits aktiviert ist, gib in Terminal den folgenden Befehl ein:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Wenn FileVault deaktiviert ist, öffne die Systemeinstellung "Sicherheit", und aktivieren FileVault. Es sollte die Meldung gezeigt werden, dass ein Wiederherstellungsschlüssel von deiner Firma, Schule oder Einrichtung festgelegt wurde. Klicke auf "Fortfahren".
    Systemeinstellung

Damit ist der Vorgang abgeschlossen. Wenn ein Benutzer das Passwort seines macOS-Benutzeraccounts vergisst und sich nicht mehr an seinem Mac anmelden kann, kannst du seine Festplatte mithilfe des privaten Schlüssels entsperren.

 

Das Startvolume eines Benutzers mit dem privaten Schlüssel entsperren

Wenn ein Benutzer das Passwort seines Accounts vergessen hat und sich nicht an seinem Mac anmelden kann, kannst du sein Startvolume mithilfe des privaten Wiederherstellungsschlüssels entsperren und auf seine mit FileVault verschlüsselten Daten zugreifen.

  1. Starte auf dem Client-Mac von der macOS-Wiederherstellung, indem du beim Starten den Tastaturkurzbefehl Befehlstaste-R gedrückt hältst.
  2. Wenn du den Namen (z. B. "Macintosh HD") und das Format des Startvolumes nicht kennst, öffne im Fenster "macOS Utilities" das Festplattendienstprogramm, und prüfe die Informationen, die das Festplattendienstprogramm rechts für dieses Volume anzeigt. Wenn du "CoreStorage Logical Volume Group" anstelle von "APFS Volume" oder "Mac OS Extended" siehst ist das Format Mac OS Extended. Du brauchst diese Information in einem späteren Schritt. Beende anschließend das Festplattendienstprogramm.
  3. Schließe das externe Laufwerk mit dem privaten Wiederherstellungsschlüssel an.
  4. Wähle in macOS-Wiederherstellung in der Menüleiste "Dienstprogramme" > "Terminal".
  5. Wenn du den privaten Wiederherstellungsschlüssel in einem verschlüsselten Image abgelegt hast, nutze den folgenden Befehl in Terminal, um das Image zu aktivieren. Ersetze /path durch den Pfad zum Image, einschließlich der Dateinamenerweiterung .dmg:
    hdiutil attach /path
    
    Beispiel für ein Image mit dem Namen "PrivateKey.dmg" auf einem Volume mit dem Namen "ThumbDrive":
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Verwende folgenden Befehl zum Entsperren des FileVault-Hauptschlüsselbunds. Ersetze /path durch den Pfad zu "FileVaultMaster.keychain" auf dem externen Laufwerk. Wenn der Schlüsselbund in einem verschlüsselten Image gesichert ist, denke in diesem und allen weiteren Schritten daran, den Namen dieses Image im Pfad anzugeben.
    security unlock-keychain /path
    
    Beispiel für ein Volume mit der Bezeichnung "ThumbDrive":
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Gib das Hauptpasswort ein, und entsperre das Startvolume. Wenn das Passwort akzeptiert wurde, wird wieder die Eingabeaufforderung angezeigt.

Fahre wie unten beschrieben fort, abhängig davon, wie das Startvolume des Benutzers formatiert ist.

APFS

 Wenn das Startvolume für APFS formatiert ist, führe diese zusätzlichen Schritte aus:

  1. Gib den folgenden Befehl ein, um das verschlüsselte Startvolume zu entsperren. Ersetze "name" durch den Namen des Startvolumes, und ersetze /path durch den Pfad zu "FileVaultMaster.keychain" auf dem externen Laufwerk oder im Image:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Beispiel eines Startvolumes mit dem Namen "Macintosh HD" und eines Wiederherstellungsschlüssel-Volumes mit dem Namen "ThumbDrive":
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Gib das Hauptpasswort ein, um den Schlüsselbund zu entsperren und das Startvolume zu aktivieren.
  3. Verwende Befehlszeilenwerkzeuge wie ditto, um die Daten auf dem Volume zu sichern, oder beende Terminal, und verwende das Festplattendienstprogramm.

Mac OS Extended (HFS Plus)

Wenn das Startvolume für Mac OS Extended formatiert ist, führe diese zusätzlichen Schritte aus:

  1. Gib diesen Befehl ein, um eine Liste der Laufwerke und CoreStorage-Volumes abzurufen:
    diskutil cs list
    
  2. Wähle die UUID, die nach "Logisches Volume" angezeigt wird, und kopiere sie, um sie in einem späteren Schritt verwenden zu können.
    Beispiel: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. Mit dem folgenden Befehl entsperrst du das verschlüsselte Startvolume. Ersetze UUID mit der UUID, die du im vorherigen Schritt kopiert hast, und ersetze /path durch den Pfad zu "FileVaultMaster.keychain" auf dem externen Laufwerk oder im Image:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Beispiel für ein Wiederherstellungsschlüssel-Volume mit der Bezeichnung "ThumbDrive":
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Gib das Hauptpasswort ein, um den Schlüsselbund zu entsperren und das Startvolume zu aktivieren.
  5. Verwende Befehlszeilenwerkzeuge wie ditto, um die Daten auf dem Volume zu sichern. Oder beende Terminal, und verwende das Festplattendienstprogramm. Oder verwende den folgenden Befehl, um das entsperrte Volume zu entschlüsseln und dann von diesem zu starten. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Beispiel für ein Wiederherstellungsschlüssel-Volume mit der Bezeichnung "ThumbDrive":
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Veröffentlichungsdatum: