Cómo usar las claves de recuperación institucionales con Mac basadas en Intel

Obtén información sobre cómo crear una clave de recuperación institucional (IRK) para desbloquear computadoras Mac basadas en Intel encriptadas con FileVault y recuperar datos.

En este artículo se explica el método antiguo para crear una clave de recuperación institucional (IRK) a fin de desbloquear una Mac basada en Intel encriptada con FileVault. Si tu computadora Mac con Apple Silicon o Mac basada en Intel usa MDM, puedes depositar la clave de recuperación en un servidor en lugar de utilizar un IRK.

Puedes usar una clave de recuperación para recuperar el acceso a los datos encriptados con FileVault para aquellos usuarios que no pueden hacerlo con su contraseña. En computadoras Mac basadas en Intel, puedes usar una clave de recuperación institucional para desbloquear computadoras Mac encriptadas con FileVault y recuperar datos a través de la Modalidad de disco de destino.

Crear un llavero maestro de FileVault

  1. Abre la app Terminal en la Mac e ingresa el siguiente comando:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Cuando se te solicite, ingresa la contraseña maestra para el nuevo llavero y, a continuación, vuelve a ingresarla. Terminal no muestra la contraseña mientras la escribes.
  3. Se genera un par de claves y se guarda en el escritorio un archivo llamado FileVaultMaster.keychain. Copia este archivo en una ubicación segura, como una imagen de disco encriptada o un disco externo. Esta copia segura es la clave de recuperación privada que puede desbloquear el disco de arranque de todas las Mac basadas en Intel configuradas para usar el llavero maestro de FileVault. No debe distribuirse. 

En la próxima sección, actualizarás el archivo FileVaultMaster.keychain que aún se encuentra en el escritorio. Luego, podrás implementar ese llavero en las computadoras Mac de la organización.


Eliminar la clave privada del llavero maestro

Después de crear el llavero maestro de FileVault, sigue estos pasos para preparar una copia para la implementación:

  1. Haz doble clic en el archivo FileVaultMaster.keychain que se encuentra en el escritorio. Se abre el Acceso a Llaveros.
  2. En la barra lateral de Acceso a Llaveros, selecciona FileVaultMaster.
  3. Si el llavero de FileVaultMaster está bloqueado, elige Archivo > Desbloquear llavero "FileVaultMaster" de la barra de menú e ingresa la contraseña maestra que creaste.
  4. De los dos elementos que aparecen a la derecha, selecciona el que está identificado como “clave privada” en la columna Clase:
    Acceso a Llaveros, donde se muestra la “FileVault Master Password Key” privada que se seleccionó
  5. Para eliminar la clave privada, selecciona Editar > Eliminar en la barra de menús, ingresa la contraseña maestra del llavero y haz clic en Eliminar cuando se te solicite la confirmación.
  6. Cierra Acceso a Llaveros.

Ahora que el llavero maestro en el escritorio no tiene más la clave privada, está listo para la implementación.


Implementar el llavero maestro actualizado en cada Mac

Después de eliminar la clave privada del llavero, sigue estos pasos en todas las Mac basadas en Intel que quieras poder desbloquear con la clave privada.

  1. Coloca una copia del archivo FileVaultMaster.keychain actualizado en la carpeta /Librería/Llaveros/.
  2. Abre la app Terminal e ingresa los siguientes dos comandos. Estos comandos garantizan que los permisos del archivo estén establecidos en -rw-r--r-- y el archivo pertenezca al usuario raíz y esté asignado al grupo llamado “wheel”.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Si FileVault ya está activado, ingresa este comando en Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Si FileVault está desactivado, abre las preferencias de seguridad y privacidad y activa FileVault. Verás un mensaje donde se indica que la empresa, escuela u organización estableció una clave de recuperación. Haz clic en Continuar.
    Preferencias de seguridad y privacidad, donde se muestra el mensaje de la clave de recuperación

Con esto se completa el proceso. Si un usuario olvida la contraseña de la cuenta de usuario de macOS y no puede iniciar sesión en su Mac, puedes usar la clave privada para desbloquear el disco.


Usar la clave privada para desbloquear el disco de arranque de un usuario

  1. Mantén presionada la tecla T mientras enciendes la Mac que quieres desbloquear.
  2. Cuando veas el logotipo de Thunderbolt, suelta la tecla T. 
  3. Conecta la Mac a otra Mac (el host) mediante un cable Thunderbolt 3 (USB-C).
  4. Cuando se te solicite ingresar una contraseña para desbloquear el disco, haz clic en Cancelar.
  5. En la Mac host, conecta la unidad externa que contiene la clave de recuperación privada.
  6. Si almacenaste la clave de recuperación privada en una imagen de disco encriptada, haz doble clic en el archivo para montar la imagen e ingresa la contraseña cuando se te solicite.
  7. Si no sabes el nombre del volumen de inicio (como Macintosh HD) en el disco que quieres desbloquear, abre la Utilidad de Discos y búscalo en la barra lateral. Necesitarás esta información en el siguiente paso.
  8. Abre Terminal e ingresa el siguiente comando para desbloquear el disco de inicio encriptado. Reemplaza "name" con el nombre del volumen de inicio y, /path con la ruta a FileVaultMaster.keychain en la unidad externa o imagen de disco:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    Ejemplo de un volumen de arranque llamado Macintosh HD y un volumen de clave de recuperación llamado ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. Ingresa la contraseña maestra para desbloquear el disco de arranque. Si se acepta la contraseña, el volumen se monta en el escritorio.
Fecha de publicación: