Cómo utilizar las claves de recuperación institucionales en ordenadores Mac con procesadores Intel
Aprende a crear una clave de recuperación institucional (IRK) para desbloquear ordenadores Mac con procesadores Intel que se han encriptado con FileVault y poder recuperar los datos.
En este artículo se muestra el método antiguo de creación de claves de recuperación institucional (IRK) para desbloquear ordenadores Mac con procesadores Intel que se han encriptado con FileVault. Si tu ordenador Mac con chip de Apple o con procesadores Intel usa MDM, puedes depositar la clave de recuperación en un host en lugar de utilizar un IRK.
Puedes usar una clave de recuperación para que los usuarios que no pueden acceder con su contraseña a los datos encriptados con FileVault recuperen el acceso a ellos. En ordenadores Mac con procesadores Intel, puedes usar una clave de recuperación institucional para desbloquear los ordenadores encriptados con FileVault y recuperar los datos usando la modalidad de disco de destino.
Crear un llavero maestro de FileVault
Abre la app Terminal en el Mac y escribe este comando:
security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
Cuando lo solicite el sistema, introduce la contraseña maestra del nuevo llavero y, después, vuélvela a escribir cuando se te pida. Terminal no muestra la contraseña mientras la escribes.
Se generarán un par de claves y se guardará un archivo llamado FileVaultMaster.keychain en tu escritorio. Copia este archivo en una ubicación segura, como una imagen de disco encriptada o una unidad externa. Esta copia segura es la clave de recuperación privada, que puede desbloquear el disco de arranque de cualquier Mac con procesadores Intel que esté configurado para usar el llavero maestro de FileVault. No la distribuyas.
En la siguiente sección, actualizarás el archivo FileVaultMaster.keychain que está todavía en tu escritorio. Una vez hecho esto, podrás implementar el llavero en los ordenadores Mac de tu institución.
Eliminar la clave privada del llavero maestro
Tras crear el llavero maestro de FileVault, sigue estos pasos para preparar una copia para implementarlo:
Haz doble clic en el archivo FileVaultMaster.keychain de tu escritorio. Se abrirá la app Acceso a Llaveros.
En la barra lateral de Acceso a Llaveros, selecciona FileVaultMaster.
Si el llavero de FileVaultMaster está bloqueado, selecciona Archivo > Desbloquear llavero “FileVaultMaster” en la barra de menús y, a continuación, introduce la contraseña maestra que has creado.
De los dos elementos que se muestran a la derecha, selecciona el que está identificado como “clave privada” en la columna Tipo:
Eliminar la clave privada: Selecciona Editar > Eliminar en la barra de menú, introduce la contraseña maestra del llavero y, a continuación, haz clic en Eliminar cuando te pida confirmación.
Sal de Acceso a Llaveros.
Ahora que el llavero maestro de tu escritorio ya no contiene la clave privada, ya está listo para la implementación.
Implementa el llavero maestro actualizado en cada Mac.
Tras eliminar la clave privada del llavero, sigue estos pasos en cada Mac con procesadores Intel que quieras desbloquear con tu clave privada.
Pon una copia del archivo FileVaultMaster.keychain actualizado en la carpeta /Biblioteca/Llaveros/.
Abre la app Terminal e introduce estos dos comandos. Estos comandos sirven para garantizar que los permisos del archivo están establecidos como
-rw-r--r--
and the file is owned by root and assigned to the group named wheel.sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
Si FileVault ya está activado, introduce este comando en Terminal:
sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
Si FileVault está desactivado, abre las preferencias de Seguridad y privacidad y activa FileVault. Debería aparecer un mensaje que diga que tu empresa, escuela o centro educativo ha configurado una clave de recuperación. Haz clic en Continuar.
Esto completa el proceso. Si un usuario se olvida de la contraseña de su cuenta de usuario macOS y no puede iniciar sesión en su Mac, puedes usar la clave privada para desbloquear su disco.
Usar la clave privada para desbloquear el disco de arranque de un usuario
Enciende el ordenador Mac que quieres desbloquear manteniendo pulsada la tecla T.
Cuando veas el logotipo de Thunderbolt, suelta la tecla.
Conecta el ordenador Mac a otro (host) mediante un cable Thunderbolt 3 (USB-C).
Cuando se te solicite que introduzcas una contraseña para desbloquear el disco, haz clic en Cancelar.
En el Mac host, conecta la unidad externa que contiene la clave de recuperación privada.
Si has almacenado la clave de recuperación privada en una imagen de disco encriptada, haz doble clic en el archivo para montar la imagen e introduce la contraseña cuando se te solicite.
Si no conoces el nombre del volumen de inicio (por ejemplo, Macintosh HD) en el disco que quieres desbloquear, abre la Utilidad de Discos y busca el nombre del volumen en la barra lateral. Necesitarás esta información en el siguiente paso.
diskutil ap unlockVolume "name" -recoveryKeychain /path
Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:
diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Introduce la contraseña maestra para desbloquear el disco de arranque. Si se acepta la contraseña, el volumen se monta en el escritorio.