Einen FileVault-Wiederherstellungsschlüssel für Computer in Ihrer Einrichtung festlegen

Mit einem institutionellen Wiederherstellungsschlüssel können Sie die mit FileVault verschlüsselten Daten Ihrer Benutzer wiederherstellen, wenn diese ihr Mac-Anmeldepasswort vergessen haben.

Die folgenden detaillierten Anweisungen richten sich an Systemadministratoren und andere Personen, die mit der Befehlszeile vertraut sind.

Einen FileVault-Hauptschlüsselbund erstellen

  1. Öffnen Sie die App "Terminal" auf Ihrem Mac, und geben Sie diesen Befehl ein:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Geben Sie nach der entsprechenden Aufforderung das Hauptpasswort für den neuen Schlüsselbund ein, und wiederholen Sie es dann, wenn Sie dazu aufgefordert werden. Terminal zeigt das Passwort bei der Eingabe nicht an.
  3. Ein Schlüsselpaar wird generiert, und eine Datei mit dem Namen "FileVaultMaster.keychain" wird auf dem Schreibtisch gesichert. Kopieren Sie diese Datei an einen sicheren Speicherort, z. B. als verschlüsseltes Image auf einer externen Festplatte. Diese sichere Kopie ist der private Wiederherstellungsschlüssel, der das Startvolume jedes Mac entsperren kann, der für die Verwendung des FileVault-Hauptschlüsselbunds eingerichtet ist. Dieser Schlüssel sollte nicht verteilt werden. 

Im nächsten Abschnitt werden Sie die Datei "FileVaultMaster.keychain" aktualisieren, die sich noch auf Ihrem Schreibtisch befindet. Sie können den Schlüsselbund dann auf Mac-Computer in Ihrer Einrichtung anwenden.

Den privaten Schlüssel aus dem Hauptschlüsselbund entfernen

Folgen Sie nach der Erstellung des FileVault-Hauptschlüsselbunds diesen Schritten, um eine Kopie davon zur Bereitstellung vorzubereiten:

  1. Doppelklicken Sie auf die Datei "FileVaultMaster.keychain" auf Ihrem Schreibtisch. Die App "Schlüsselbundverwaltung" wird geöffnet.
  2. Wählen Sie in der Seitenleiste der Schlüsselbundverwaltung "FileVaultMaster" aus. Wenn rechts mehrere Objekte aufgelistet sind, wählen Sie einen anderen Schlüsselbund in der Seitenleiste aus, und wählen Sie dann erneut "FileVaultMaster", um die Liste zu aktualisieren.
  3. Wenn der FileVaultMaster-Schlüsselbund gesperrt ist, klicken Sie in der oberen linken Ecke der Schlüsselbundverwaltung auf , und geben Sie dann das Hauptpasswort ein, das Sie erstellt haben.
  4. Wählen Sie von den beiden Objekten links dasjenige aus, das in der Spalte "Art" als privater Schlüssel identifiziert ist:
    Schlüsselbundverwaltung mit ausgewähltem privaten FileVault Master Password Key
  5. Den privaten Schlüssel löschen: Wählen Sie in der Menüleiste "Bearbeiten" > "Löschen", geben Sie das Schlüsselbund-Hauptpasswort ein, und klicken Sie dann auf "Löschen", wenn Sie zur Bestätigung aufgefordert werden.
  6. Beenden Sie die Schlüsselbundverwaltung.

Beachten Sie, dass der Hauptschlüsselbund auf dem Schreibtisch nun nicht mehr den privaten Schlüssel enthält und somit bereitgestellt werden kann.

Den aktualisierten Hauptschlüsselbund auf jedem Mac bereitstellen

Nachdem Sie den privaten Schlüssel aus dem Hauptschlüsselbund entfernt haben, führen Sie die folgenden Schritte an jedem Mac aus, den Sie mit Ihrem privaten Schlüssel entsperren möchten.

  1. Legen Sie die aktualisierte FileVaultMaster.keychain-Datei im Ordner /Library/Keychains/ ab.
  2. Öffnen Sie die App "Terminal", und geben Sie die beiden folgenden Befehle ein. Diese Befehle stellen sicher, dass die Berechtigungen der Datei auf -rw-r--r-- eingestellt sind, und die Datei dem root-Benutzer gehört und der Gruppe "wheel" zugewiesen ist.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Wenn FileVault bereits aktiviert ist, geben Sie in Terminal den folgenden Befehl ein:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Wenn FileVault deaktiviert ist, öffnen Sie die Systemeinstellung "Sicherheit", und aktivieren Sie FileVault. Es sollte die Meldung gezeigt werden, dass ein Wiederherstellungsschlüssel von Ihrer Firma, Schule oder Institution festgelegt wurde. Klicken Sie auf "Weiter".
    Systemeinstellung

Damit ist der Vorgang abgeschlossen. Wenn ein Benutzer das Passwort seines macOS-Benutzeraccounts vergisst und sich nicht mehr an seinem Mac anmelden kann, können Sie seine Festplatte mithilfe des privaten Schlüssels entsperren.

 

Das Startvolume eines Benutzers mit dem privaten Schlüssel entsperren

Wenn ein Benutzer das Passwort seines Accounts vergessen hat und sich nicht an seinem Mac anmelden kann, können Sie sein Startvolume mithilfe des privaten Wiederherstellungsschlüssels entsperren und auf seine mit FileVault verschlüsselten Daten zugreifen.

  1. Starten Sie auf dem Client-Mac von der macOS-Wiederherstellung, indem Sie beim Starten die Tastenkombination Befehlstaste-R gedrückt halten.
  2. Wenn Sie den Namen (z. B. "Macintosh HD") und das Format des Startvolumes nicht kennen, öffnen Sie im Fenster "macOS Utilities" das Festplattendienstprogramm, und prüfen Sie die Informationen, die das Festplattendienstprogramm rechts für dieses Volume anzeigt. Wenn Sie "CoreStorage Logical Volume Group" anstelle von "APFS Volume" oder "Mac OS Extended" sehen, ist das Format Mac OS Extended. Sie brauchen diese Information in einem späteren Schritt. Beenden Sie anschließend das Festplattendienstprogramm.
  3. Schließen Sie das externe Laufwerk mit dem privaten Wiederherstellungsschlüssel an.
  4. Wählen Sie in macOS-Wiederherstellung in der Menüleiste "Dienstprogramme" > "Terminal".
  5. Wenn Sie den privaten Wiederherstellungsschlüssel in einem verschlüsselten Image abgelegt haben, nutzen Sie den folgenden Befehl in Terminal, um das Image zu aktivieren. Ersetzen Sie /path durch den Pfad zum Image, einschließlich der Dateinamenerweiterung .dmg:
    hdiutil attach /path
    
    Beispiel für ein Image mit dem Namen "PrivateKey.dmg" auf einem Volume mit dem Namen "ThumbDrive":
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Verwenden Sie folgenden Befehl zum Entsperren des FileVault-Hauptschlüsselbunds. Ersetzen Sie /path durch den Pfad zu "FileVaultMaster.keychain" auf dem externen Laufwerk. Wenn der Schlüsselbund in einem verschlüsselten Image gesichert ist, denken Sie in diesem und allen weiteren Schritten daran, den Namen dieses Image im Pfad anzugeben.
    security unlock-keychain /path
    
    Beispiel für ein Volume mit der Bezeichnung "ThumbDrive":
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Geben Sie das Hauptpasswort ein, und entsperren Sie das Startvolume. Wenn das Passwort akzeptiert wurde, wird wieder die Eingabeaufforderung angezeigt.

Fahren Sie wie unten beschrieben fort, abhängig davon, wie das Startvolume des Benutzers formatiert ist.

APFS

 Wenn das Startvolume für APFS formatiert ist, führen Sie diese zusätzlichen Schritte aus:

  1. Geben Sie den folgenden Befehl ein, um das verschlüsselte Startvolume zu entsperren. Ersetzen Sie "name" durch den Namen des Startvolumes, und ersetzen Sie /path durch den Pfad zu "FileVaultMaster.keychain" auf dem externen Laufwerk oder im Image:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Beispiel eines Startvolumes mit dem Namen "Macintosh HD" und eines Wiederherstellungsschlüssel-Volumes mit dem Namen "ThumbDrive":
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Geben Sie das Hauptpasswort ein, um den Schlüsselbund zu entsperren und das Startvolume zu aktivieren.
  3. Verwenden Sie Befehlszeilenwerkzeuge wie ditto, um die Daten auf dem Volume zu sichern, oder beenden Sie Terminal, und verwenden Sie das Festplattendienstprogramm.

Mac OS Extended (HFS Plus)

Wenn das Startvolume für Mac OS Extended formatiert ist, führen Sie diese zusätzlichen Schritte aus:

  1. Geben Sie diesen Befehl ein, um eine Liste der Laufwerke und CoreStorage-Volumes abzurufen:
    diskutil cs list
    
  2. Wählen Sie die UUID, die nach "Logisches Volume" angezeigt wird, und kopieren Sie sie, um sie in einem späteren Schritt verwenden zu können.
    Beispiel: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. Mit dem folgenden Befehl entsperren Sie das verschlüsselte Startvolume. Ersetzen Sie UUID mit der UUID, die Sie im vorherigen Schritt kopiert haben, und ersetzen Sie /path durch den Pfad zu "FileVaultMaster.keychain" auf dem externen Laufwerk oder im Image:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Beispiel für ein Wiederherstellungsschlüssel-Volume mit der Bezeichnung "ThumbDrive":
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Geben Sie das Hauptpasswort ein, um den Schlüsselbund zu entsperren und das Startvolume zu aktivieren.
  5. Verwenden Sie Befehlszeilenwerkzeuge wie ditto, um die Daten auf dem Volume zu sichern. Oder beenden Sie Terminal, und verwenden Sie das Festplattendienstprogramm. Oder verwenden Sie den folgenden Befehl, um das entsperrte Volume zu entschlüsseln und dann von diesem zu starten. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Beispiel für ein Wiederherstellungsschlüssel-Volume mit der Bezeichnung "ThumbDrive":
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Veröffentlichungsdatum: