Πώς να χρησιμοποιείτε κλειδιά ανάκτησης ιδρύματος με Mac με Intel

Μάθετε πώς μπορείτε να δημιουργήσετε ένα κλειδί ανάκτησης ιδρύματος (IRK), για να ξεκλειδώνετε υπολογιστές Mac με Intel με κρυπτογράφηση FileVault και να ανακτάτε δεδομένα.

Μπορείτε να χρησιμοποιήσετε ένα κλειδί ανάκτησης, για να ανακτήσετε την πρόσβαση σε δεδομένα με κρυπτογράφηση FileVault για τους χρήστες οι οποίοι δεν μπορούν να αποκτήσουν πρόσβαση στα δεδομένα με το συνθηματικό τους. Σε υπολογιστές Mac με Intel, μπορείτε να χρησιμοποιήσετε ένα κλειδί ανάκτησης ιδρύματος, για να ξεκλειδώσετε υπολογιστές Mac με κρυπτογράφηση FileVault και να ανακτήσετε δεδομένα χρησιμοποιώντας τη λειτουργία δίσκου προορισμού.

Δημιουργία μιας κύριας κλειδοθήκης FileVault

1. Ανοίξτε την εφαρμογή Terminal στο Mac σας και στη συνέχεια πληκτρολογήστε την εξής εντολή:

   security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

2. Όταν σας ζητηθεί, πληκτρολογήστε το κύριο συνθηματικό για τη νέα κλειδοθήκη και στη συνέχεια πληκτρολογήστε το ξανά όταν σας ζητηθεί. Το Τερματικό δεν εμφανίζει το συνθηματικό καθώς το πληκτρολογείτε.

3. Δημιουργείται ένα ζεύγος κλειδιών και ένα αρχείο με το όνομα «FileVaultMaster.keychain» αποθηκεύεται στο γραφείο εργασίας σας. Αντιγράψτε αυτό το αρχείο σε μια ασφαλή τοποθεσία, όπως ένα κρυπτογραφημένο είδωλο δίσκου σε μια εξωτερική μονάδα δίσκου. Αυτό το ασφαλές αντίγραφο είναι το ιδιωτικό κλειδί ανάκτησης που μπορεί να ξεκλειδώσει τον δίσκο εκκίνησης οποιουδήποτε Mac με Intel και έχει διαμορφωθεί για χρήση της κύριας κλειδοθήκης FileVault. Δεν προορίζεται για διανομή.

Στην επόμενη ενότητα, θα ενημερώσετε το αρχείο FileVaultMaster.keychain που βρίσκεται ακόμα στο γραφείο εργασίας σας. Στη συνέχεια, μπορείτε να αναπτύξετε αυτή την κλειδοθήκη σε υπολογιστές Mac στον οργανισμό σας.

Αφαίρεση του ιδιωτικού κλειδιού από την κύρια κλειδοθήκη

Μετά τη δημιουργία της κύριας κλειδοθήκης FileVault, ακολουθήστε αυτά τα βήματα για να προετοιμάσετε ένα αντίγραφό της για ανάπτυξη:

1. Κάντε διπλό κλικ στο αρχείο FileVaultMaster.keychain στο γραφείο εργασίας σας. Θα ανοίξει η εφαρμογή «Πρόσβαση σε κλειδοθήκη».

2. Στην πλαϊνή στήλη της Πρόσβασης σε κλειδοθήκη, επιλέξτε «FileVaultMaster».

3. Εάν η κλειδοθήκη FileVaultMaster είναι κλειδωμένη, επιλέξτε Αρχείο > Ξεκλείδωμα κλειδοθήκης «FileVaultMaster» από τη γραμμή μενού και στη συνέχεια πληκτρολογήστε το κύριο συνθηματικό που δημιουργήσατε.

4. Από τα δύο στοιχεία που εμφανίζονται στα δεξιά, επιλέξτε εκείνο που προσδιορίζεται ως «ιδιωτικό κλειδί» στη στήλη «Είδος»:

   

5. Διαγράψτε το ιδιωτικό κλειδί: Επιλέξτε Επεξεργασία > Διαγραφή από τη γραμμή μενού, πληκτρολογήστε το κύριο συνθηματικό της κλειδοθήκης και στη συνέχεια κάντε κλικ στην επιλογή «Διαγραφή», όταν σας ζητηθεί επιβεβαίωση.

6. Κλείστε την Πρόσβαση σε κλειδοθήκη.

Τώρα που η κύρια κλειδοθήκη στο γραφείο εργασίας σας δεν περιλαμβάνει πλέον το ιδιωτικό κλειδί, είναι έτοιμη για ανάπτυξη.

Ανάπτυξη της ενημερωμένης κύριας κλειδοθήκης σε κάθε Mac

Μετά την αφαίρεση του ιδιωτικού κλειδιού από την κλειδοθήκη, ακολουθήστε αυτά τα βήματα σε κάθε Mac με Intel που θέλετε να μπορείτε να ξεκλειδώνετε με το ιδιωτικό κλειδί.

1. Τοποθετήστε ένα αντίγραφο του ενημερωμένου αρχείου FileVaultMaster.keychain στον φάκελο /Library/Keychains/.

2. Ανοίξτε την εφαρμογή Τερματικό και πληκτρολογήστε και τις δύο ακόλουθες εντολές. Αυτές οι εντολές εξασφαλίζουν ότι τα δικαιώματα του αρχείου έχουν οριστεί σε-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

   sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

   sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

3. Εάν το FileVault είναι ήδη ενεργοποιημένο, εισαγάγετε την ακόλουθη εντολή στο Terminal:

   sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

4. Εάν το FileVault είναι απενεργοποιημένο, ανοίξτε τις προτιμήσεις Ασφάλειας και απορρήτου και ενεργοποιήστε το FileVault. Θα πρέπει να εμφανιστεί το μήνυμα «Έχει οριστεί κλειδί ανάκτησης από την εταιρεία, το σχολείο ή τον οργανισμό σας». Κάντε κλικ στην επιλογή «Συνέχεια».

   

Με αυτό το βήμα ολοκληρώνεται η διαδικασία. Εάν ένας χρήστης ξεχάσει το συνθηματικό του για τον λογαριασμό χρήστη macOS και δεν μπορεί να συνδεθεί στο Mac του, μπορείτε να χρησιμοποιήστε το ιδιωτικό κλειδί για να ξεκλειδώσετε τον δίσκο του.

Χρήση του ιδιωτικού κλειδιού για το ξεκλείδωμα του δίσκου εκκίνησης ενός χρήστη

1. Ενεργοποιήστε τον υπολογιστή Mac που θέλετε να ξεκλειδώσετε, ενώ κρατάτε πατημένο το πλήκτρο T.

2. Μόλις δείτε το λογότυπο Thunderbolt, αφήστε το πλήκτρο T.

3. Συνδέστε το Mac σε ένα άλλο Mac (τον υπολογιστή υπηρεσίας) χρησιμοποιώντας ένα καλώδιο Thunderbolt 3 (USB-C).

4. Όταν σας ζητηθεί να εισαγάγετε ένα συνθηματικό για να ξεκλειδώσετε τον δίσκο, κάντε κλικ στην επιλογή «Ακύρωση».

5. Στον υπολογιστή Mac υπηρεσίας, συνδέστε την εξωτερική μονάδα δίσκου που περιλαμβάνει το ιδιωτικό κλειδί ανάκτησης.

6. Εάν αποθηκεύσατε το ιδιωτικό κλειδί ανάκτησης σε ένα κρυπτογραφημένο είδωλο δίσκου, κάντε διπλό κλικ στο αρχείο για να προσαρτήσετε το είδωλο και πληκτρολογήστε το συνθηματικό όταν σας ζητηθεί.

7. Εάν δεν γνωρίζετε το όνομα του τόμου εκκίνησης (π.χ. Macintosh HD) στον δίσκο που θέλετε να ξεκλειδώσετε, ανοίξτε το Βοήθημα δίσκων και στη συνέχεια εντοπίστε το όνομα του τόμου στην πλαϊνή στήλη. Θα χρειαστείτε αυτές τις πληροφορίες στο επόμενο βήμα.

8. diskutil ap unlockVolume "name" -recoveryKeychain /path

   • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

   diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

9. Πληκτρολογήστε το κύριο συνθηματικό, για να ξεκλειδώσετε τον δίσκο εκκίνησης. Εάν γίνει δεκτό το συνθηματικό, ο τόμος θα προσαρτηθεί στο γραφείο εργασίας.