Establecer una clave de recuperación de FileVault para las computadoras de tu institución

Una clave de recuperación institucional te permite recuperar los datos de tus usuarios encriptados por FileVault cuando no recuerdan la contraseña de inicio de sesión de sus Mac.

Estos pasos avanzados son, en principio, para administradores de sistemas y usuarios avanzados que ya conozcan la línea de comandos.

Crear un llavero maestro de FileVault

  1. Abre la app Terminal en la Mac e ingresa el siguiente comando:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Cuando se te solicite, ingresa la contraseña maestra para el nuevo llavero y, a continuación, vuelve a ingresarla. Terminal no muestra la contraseña mientras la escribes.
  3. Se genera un par de claves y se guarda en el escritorio un archivo llamado FileVaultMaster.keychain. Copia este archivo en una ubicación segura, como una imagen de disco encriptada o un disco externo. Esta copia segura es la clave de recuperación privada que puede desbloquear el disco de arranque de todas las Mac configuradas para usar el llavero maestro de FileVault. No debe distribuirse. 

En la próxima sección, actualizarás el archivo FileVaultMaster.keychain que aún se encuentra en el escritorio. Luego podrás implementar ese llavero en las computadoras Mac de la institución.

Eliminar la clave privada del llavero maestro

Después de crear el llavero maestro de FileVault, sigue estos pasos para preparar una copia para la implementación:

  1. Haz doble clic en el archivo FileVaultMaster.keychain que se encuentra en el escritorio. Se abre el Acceso a Llaveros.
  2. En la barra lateral de Acceso a Llaveros, selecciona FileVaultMaster. Si ves que aparecen más de dos elementos en la derecha, selecciona otro llavero en la barra lateral y, a continuación, selecciona FileVaultMaster nuevamente para actualizar la lista.
  3. Si el llavero FileVaultMaster está bloqueado, haz clic en  en la esquina superior izquierda de Acceso a Llaveros y, a continuación, ingresa la contraseña maestra que creaste.
  4. De los dos elementos que aparecen a la derecha, selecciona el que está identificado como “clave privada” en la columna Clase:
    Acceso a Llaveros, donde se muestra la “FileVault Master Password Key” privada que se seleccionó
  5. Para eliminar la clave privada, selecciona Editar > Eliminar en la barra de menús, ingresa la contraseña maestra del llavero y haz clic en Eliminar cuando se te solicite la confirmación.
  6. Cierra Acceso a Llaveros.

Ahora que el llavero maestro en el escritorio no tiene más la clave privada, está listo para la implementación.

Implementar el llavero maestro actualizado en cada Mac

Después de eliminar la clave privada del llavero, sigue estos pasos en cada Mac que deseas poder desbloquear con la clave privada.

  1. Coloca una copia del archivo FileVaultMaster.keychain actualizado en la carpeta /Librería/Llaveros/.
  2. Abre la app Terminal e ingresa los siguientes dos comandos. Estos comandos garantizan que los permisos del archivo estén establecidos en -rw-r--r-- y el archivo pertenezca al usuario raíz y esté asignado al grupo llamado “wheel”.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Si FileVault ya está activado, ingresa este comando en Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Si FileVault está desactivado, abre las preferencias de seguridad y privacidad y activa FileVault. Verás un mensaje donde se indica que la empresa, escuela o institución estableció una clave de recuperación. Haz clic en Continuar.
    Preferencias de seguridad y privacidad, donde se muestra el mensaje de la clave de recuperación

Con esto se completa el proceso. Si un usuario olvida la contraseña de la cuenta de usuario de macOS y no puede iniciar sesión en su Mac, puedes usar la clave privada para desbloquear el disco.

 

Usar la clave privada para desbloquear el disco de arranque de un usuario

Si un usuario olvidó la contraseña de su cuenta y no puede iniciar sesión en la Mac, puedes usar la clave de recuperación privada para desbloquear el disco de arranque y acceder a los datos encriptados por FileVault.

  1. En la Mac del cliente, mantén presionado Command-R durante el arranque para iniciar la computadora desde Recuperación de macOS.
  2. Si no conoces el nombre (por ejemplo, Macintosh HD) y el formato del disco de arranque, abre Utilidad de Discos desde la ventana Utilidades de macOS y, a continuación, consulta la información que Utilidad de Discos muestra para ese volumen a la derecha. Si ves “Grupo de volúmenes lógicos de CoreStorage” en lugar de “Volumen APFS” o “Mac OS Plus”, el formato es Mac OS Plus. Necesitarás esta información más adelante. Sal de Utilidad de Discos cuando finalice el proceso.
  3. Conecta el disco externo que contiene la clave de recuperación privada.
  4. En la barra de menús en Recuperación de macOS, selecciona Utilidades > Terminal.
  5. Si guardaste la clave de recuperación privada en una imagen de disco encriptada, usa el siguiente comando en Terminal para montar esa imagen. Reemplaza /path por la ruta a la imagen de disco, incluida la extensión de archivo .dmg:
    hdiutil attach /path
    
    Ejemplo de una imagen de disco llamada PrivateKey.dmg en un volumen llamado ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Usa el siguiente comando para desbloquear el llavero maestro de FileVault. Reemplaza /path por la ruta a FileVaultMaster.keychain en el disco externo. En este paso y todos los restantes, si el llavero se encuentra en una imagen de disco encriptada, recuerda incluir el nombre de la imagen en la ruta.
    security unlock-keychain /path
    
    Ejemplo de un volumen llamado ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Ingresa la contraseña maestra para desbloquear el disco de arranque. Si se acepta la contraseña, aparecerá nuevamente la entrada de comandos.

Continúa como se describe a continuación, en función de cómo está formateado el disco de arranque.

APFS

 Si el disco de arranque está formateado como APFS, completa estos pasos adicionales:

  1. Ingresa el siguiente comando para desbloquear el disco de arranque encriptado. Reemplaza “nombre” por el nombre del volumen de arranque y reemplaza /path por la ruta a FileVaultMaster.keychain en el disco externo o la imagen del disco:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Ejemplo de un volumen de arranque llamado Macintosh HD y un volumen de clave de recuperación llamado ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Ingresa la contraseña maestra para desbloquear el llavero y montar el disco de arranque.
  3. Usa herramientas de línea de comando como ditto para hacer copias de respaldo en el disco o sal de Terminal y usa la Utilidad de Discos.

Mac OS Plus (HFS Plus)

Si el disco de arranque está formateado para Mac OS Plus, completa estos pasos adicionales:

  1. Ingresa este comando para obtener una lista de unidades y volúmenes CoreStorage:
    diskutil cs list
    
  2. Selecciona el UUID que aparece después de “Volumen lógico” y cópialo para usarlo más adelante.
    Ejemplo: +-> Volumen lógico 2F227AED-1398-42F8-804D-882199ABA66B
  3. Usa el siguiente comando para desbloquear el disco de arranque encriptado. Reemplaza UUID por el UUID que copiaste en el paso anterior y reemplaza /path por la ruta a FileVaultMaster.keychain en el disco externo o la imagen del disco:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Ejemplo de un volumen de clave de recuperación llamado ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Ingresa la contraseña maestra para desbloquear el llavero y montar el disco de arranque.
  5. Usa herramientas de línea de comando como ditto para hacer copias de respaldo en el disco. También puedes salir de Terminal y usar la Utilidad de Discos, o bien usar el siguiente comando para desencriptar el disco desbloqueado e iniciar la computadora desde este disco. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Ejemplo de un volumen de clave de recuperación llamado ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Fecha de publicación: