So verwendest du institutionelle Wiederherstellungsschlüssel mit Intel-basierten Macs
Erfahre, wie du einen institutionellen Wiederherstellungsschlüssel (IRK) erstellen kannst, um FileVault-verschlüsselte Intel-basierte Mac-Computer zu entsperren und Daten wiederherzustellen.
Dieser Artikel behandelt die klassische Methode zum Erstellen eines institutionellen Wiederherstellungsschlüssels (IRK), um FileVault-verschlüsselte Intel-basierte Macs zu entsperren. Wenn dein Mac-Computer mit Apple-Chip oder Intel-Chip MDM verwendet, kannst du den Wiederherstellungsschlüssel auf einem Server hinterlegen, anstatt ein IRK zu verwenden.
Du kannst einen Wiederherstellungsschlüssel verwenden, um den Zugriff auf FileVault-verschlüsselte Daten für Benutzer wiederherzustellen, die nicht mit ihrem Passwort auf die Daten zugreifen können. Auf Intel-basierten Mac-Computern kannst du einen institutionellen Wiederherstellungsschlüssel verwenden, um FileVault-verschlüsselte Mac-Computer zu entsperren und Daten im Festplattenmodus wiederherzustellen.
Einen FileVault-Hauptschlüsselbund erstellen
Öffne die Terminal-App auf deinem Mac, und gib folgenden Befehl ein:
security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
Gib nach der entsprechenden Aufforderung das Hauptpasswort für den neuen Schlüsselbund ein, und wiederhole es dann, wenn du dazu aufgefordert wirst. Terminal zeigt das Passwort bei der Eingabe nicht an.
Ein Schlüsselpaar wird generiert, und eine Datei mit dem Namen "FileVaultMaster.keychain" wird auf dem Schreibtisch gesichert. Kopiere diese Datei an einen sicheren Speicherort, z. B. als verschlüsseltes Image auf einer externen Festplatte. Diese sichere Kopie ist der private Wiederherstellungsschlüssel, der das Startvolume jedes Intel-basierten Mac entsperren kann, der für die Verwendung des FileVault-Hauptschlüsselbunds eingerichtet ist. Dieser Schlüssel sollte nicht verteilt werden.
Im nächsten Abschnitt wirst du die Datei "FileVaultMaster.keychain" aktualisieren, die sich noch auf deinem Schreibtisch befindet. Du kannst den Schlüsselbund dann auf Mac-Computer in deiner Einrichtung anwenden.
Den privaten Schlüssel aus dem Hauptschlüsselbund entfernen
Folge nach der Erstellung des FileVault-Hauptschlüsselbunds diesen Schritten, um eine Kopie davon zur Bereitstellung vorzubereiten:
Doppelklicke auf die Datei "FileVaultMaster.keychain" auf deinem Schreibtisch. Die App "Schlüsselbundverwaltung" wird geöffnet.
Wähle in der Seitenleiste der Schlüsselbundverwaltung "FileVaultMaster" aus.
Wenn der FileVaultMaster-Schlüsselbund gesperrt ist, wähle in der Menüleiste "Datei" > "Schlüsselbund "FileVaultMaster" entsperren", und gib das von dir erstellte Hauptpasswort ein.
Wähle von den beiden rechts angezeigten Elementen dasjenige aus, das in der Spalte "Art" als "privater Schlüssel" identifiziert wird:
Den privaten Schlüssel löschen: Wähle in der Menüleiste "Bearbeiten" > "Löschen", gib das Schlüsselbund-Hauptpasswort ein, und klicke dann auf "Löschen", wenn du zur Bestätigung aufgefordert wirst.
Beende die Schlüsselbundverwaltung.
Beachte, dass der Hauptschlüsselbund auf dem Schreibtisch nun nicht mehr den privaten Schlüssel enthält und somit bereitgestellt werden kann.
Den aktualisierten Hauptschlüsselbund auf jedem Mac bereitstellen
Nachdem du den privaten Schlüssel aus dem Hauptschlüsselbund entfernt hast, führe die folgenden Schritte an jedem Intel-basierten Mac aus, den du mit deinem privaten Schlüssel entsperren möchtest.
Lege die aktualisierte FileVaultMaster.keychain-Datei im Ordner /Library/Keychains/ ab.
Öffne die App "Terminal", und gib die beiden folgenden Befehle ein. Diese Befehle stellen sicher, dass die Berechtigungen der Datei auf
-rw-r--r--
and the file is owned by root and assigned to the group named wheel.sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
Wenn FileVault bereits aktiviert ist, gib in Terminal diesen Befehl ein:
sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
Wenn FileVault deaktiviert ist, öffne die Systemeinstellung "Sicherheit", und aktiviere FileVault. Es muss die Meldung gezeigt werden, dass ein Wiederherstellungsschlüssel von deiner Firma, Schule oder Einrichtung festgelegt wurde. Klicke auf "Fortfahren".
Damit ist der Vorgang abgeschlossen. Wenn ein Benutzer das Passwort seines macOS-Benutzeraccounts vergisst und sich nicht mehr an seinem Mac anmelden kann, kannst du seine Festplatte mithilfe des privaten Schlüssels entsperren.
Das Startvolume eines Benutzers mit dem privaten Schlüssel entsperren
Starte den Mac-Computer, den du entsperren möchtest, während du die T-Taste gedrückt hältst.
Sobald du das Thunderbolt-Logo siehst, lasse die T-Taste los.
Schließe den Mac mit einem Thunderbolt 3-Kabel (USB-C) an einen anderen Mac (den Host) an.
Wenn du nach einem Passwort zum Entsperren der Festplatte gefragt wirst, klicke auf "Abbrechen".
Schließe auf dem Host-Mac das externe Laufwerk an, das den privaten Wiederherstellungsschlüssel enthält.
Wenn du den privaten Wiederherstellungsschlüssel in einem verschlüsselten Disk-Image gespeichert hast, doppelklicke auf die Datei, um das Image zu aktivieren, und gib das Passwort ein, wenn du dazu aufgefordert wirst.
Wenn du den Namen des Startvolumes (z. B. Macintosh HD) auf der zu entsperrenden Festplatte nicht kennst, öffne das Festplattendienstprogramm, und suche den Namen des Volumes in der Seitenleiste. Diese Information benötigst du im nächsten Schritt.
diskutil ap unlockVolume "name" -recoveryKeychain /path
Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:
diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Gib das Hauptpasswort ein, und entsperre das Startvolume. Wenn das Passwort akzeptiert wird, wird das Volume auf dem Desktop aktiviert.