Cómo usar las claves de recuperación institucionales con Mac con procesador Intel
Obtén información sobre cómo crear una clave de recuperación institucional (IRK) para desbloquear computadoras Mac con procesador Intel encriptadas con FileVault y recuperar datos.
En este artículo se explica el método antiguo para crear una clave de recuperación institucional (IRK) a fin de desbloquear una Mac con procesador Intel encriptada con FileVault. Si tu computadora Mac con Apple Silicon o Mac con procesador Intel usa la MDM, puedes depositar la clave de recuperación en un servidor en lugar de utilizar una IRK.
Puedes usar una clave de recuperación para recuperar el acceso a los datos encriptados con FileVault para aquellos usuarios que no pueden hacerlo con su contraseña. En computadoras Mac con procesador Intel, puedes usar una clave de recuperación institucional para desbloquear computadoras Mac encriptadas con FileVault y recuperar datos a través de la Modalidad de disco de destino.
Crear un llavero maestro de FileVault
Abre la app Terminal en la Mac y, luego, ingresa este comando:
security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
Cuando se te solicite, ingresa la contraseña maestra para el nuevo llavero y, a continuación, vuelve a ingresarla. Terminal no muestra la contraseña mientras la escribes.
Se genera un par de claves y se guarda en el escritorio un archivo llamado FileVaultMaster.keychain. Copia este archivo en una ubicación segura, como una imagen de disco encriptada o un disco externo. Esta copia segura es la clave de recuperación privada que puede desbloquear el disco de arranque de todas las Mac con procesador Intel configuradas para usar el llavero maestro de FileVault. No debe distribuirse.
En la próxima sección, actualizarás el archivo FileVaultMaster.keychain que aún se encuentra en el escritorio. Luego, podrás implementar ese llavero en las computadoras Mac de la organización.
Eliminar la clave privada del llavero maestro
Después de crear el llavero maestro de FileVault, sigue estos pasos para preparar una copia para la implementación:
Haz doble clic en el archivo FileVaultMaster.keychain que se encuentra en el escritorio. Se abre la app Acceso a Llaveros.
En la barra lateral de Acceso a Llaveros, selecciona FileVaultMaster.
Si el llavero de FileVaultMaster está bloqueado, elige Archivo > Desbloquear llavero “FileVaultMaster” de la barra de menú e ingresa la contraseña maestra que creaste.
De los dos elementos que se muestran a la derecha, selecciona el que está identificado como “clave privada” en la columna Tipo:
Para eliminar la clave privada, selecciona Editar > Eliminar en la barra de menús, ingresa la contraseña maestra del llavero y haz clic en Eliminar cuando se te solicite la confirmación.
Cierra Acceso a Llaveros.
Ahora que el llavero maestro en el escritorio no tiene más la clave privada, está listo para la implementación.
Implementar el llavero maestro actualizado en cada Mac
Después de eliminar la clave privada del llavero, sigue estos pasos en todas las Mac con procesador Intel que quieras poder desbloquear con la clave privada.
Coloca una copia del archivo FileVaultMaster.keychain actualizado en la carpeta /Librería/Llaveros/.
Abre la app Terminal e ingresa los siguientes dos comandos. Estos comandos garantizan que los permisos del archivo estén establecidos en
-rw-r--r--
and the file is owned by root and assigned to the group named wheel.sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
Si FileVault ya está activado, ingresa este comando en Terminal:
sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
Si FileVault está desactivado, abre las preferencias de seguridad y privacidad y activa FileVault. Verás un mensaje donde se indica que la empresa, escuela u organización estableció una clave de recuperación. Haz clic en Continuar.
Con esto se completa el proceso. Si un usuario olvida la contraseña de la cuenta de usuario de macOS y no puede iniciar sesión en su Mac, puedes usar la clave privada para desbloquear el disco.
Usar la clave privada para desbloquear el disco de arranque de un usuario
Mantén presionada la tecla T mientras enciendes la Mac que quieres desbloquear.
Cuando veas el logotipo de Thunderbolt, suelta la tecla T.
Conecta la Mac a otra Mac (el host) mediante un cable Thunderbolt 3 (USB-C).
Cuando se te solicite ingresar una contraseña para desbloquear el disco, haz clic en Cancelar.
En la Mac host, conecta la unidad externa que contiene la clave de recuperación privada.
Si almacenaste la clave de recuperación privada en una imagen de disco encriptada, haz doble clic en el archivo para montar la imagen e ingresa la contraseña cuando se te solicite.
Si no sabes el nombre del volumen de inicio (como Macintosh HD) en el disco que quieres desbloquear, abre la Utilidad de Discos y búscalo en la barra lateral. Necesitarás esta información en el siguiente paso.
diskutil ap unlockVolume "name" -recoveryKeychain /path
Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:
diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Ingresa la contraseña maestra para desbloquear el disco de arranque. Si se acepta la contraseña, el volumen se monta en el escritorio.