Cómo utilizar las claves de recuperación institucionales en ordenadores Mac con procesadores Intel

Aprende a crear una clave de recuperación institucional (IRK) para desbloquear ordenadores Mac con procesadores Intel que se han encriptado con FileVault y poder recuperar los datos.

En este artículo se muestra el método antiguo de creación de claves de recuperación institucional (IRK) para desbloquear ordenadores Mac con procesadores Intel que se han encriptado con FileVault. Si tu ordenador Mac con Apple Silicon o con procesadores Intel usa MDM, puedes depositar la clave de recuperación en un servidor en lugar de utilizar un IRK.

Puedes usar una clave de recuperación para que los usuarios que no pueden acceder con su contraseña a los datos encriptados con FileVault recuperen el acceso a ellos. En ordenadores Mac con procesadores Intel, puedes usar una clave de recuperación institucional para desbloquear los ordenadores encriptados con FileVault y recuperar los datos usando la modalidad de disco de destino.

Crear un llavero maestro de FileVault

  1. Abre la app Terminal en tu Mac e introduce este comando:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Cuando lo solicite el sistema, introduce la contraseña maestra del nuevo llavero y, después, vuélvela a escribir cuando se te pida. Terminal no muestra la contraseña mientras la escribes.
  3. Se generarán un par de claves y se guardará un archivo llamado FileVaultMaster.keychain en tu escritorio. Copia este archivo en una ubicación segura, como una imagen de disco encriptada o una unidad externa. Esta copia segura es la clave de recuperación privada, que puede desbloquear el disco de arranque de cualquier Mac con procesadores Intel que esté configurado para usar el llavero maestro de FileVault. No la distribuyas. 

En la siguiente sección, actualizarás el archivo FileVaultMaster.keychain que está todavía en tu escritorio. Una vez hecho esto, podrás implementar el llavero en los ordenadores Mac de tu centro.


Eliminar la clave privada del llavero maestro

Tras crear el llavero maestro de FileVault, sigue estos pasos para preparar una copia para implementarlo:

  1. Haz doble clic en el archivo FileVaultMaster.keychain file de tu escritorio. Se abrirá la app Acceso a Llaveros.
  2. En la barra lateral de Acceso a Llaveros, selecciona FileVaultMaster.
  3. Si el llavero de FileVaultMaster está bloqueado, selecciona Archivo > Desbloquear llavero «FileVaultMaster» en la barra de menús y, a continuación, introduce la contraseña maestra que has creado.
  4. De los dos elementos que aparecen a la derecha, selecciona el que está identificado como «clave privada» en la columna Tipo:
    Acceso a Llaveros, mostrando la clave privada de la contraseña maestra de FileVault seleccionada
  5. Eliminar la clave privada: Selecciona Editar > Eliminar en la barra de menú, introduce la contraseña maestra del llavero y, a continuación, haz clic en Eliminar cuando te pida confirmación.
  6. Sal de Acceso a Llaveros.

Ahora que el llavero maestro de tu escritorio ya no contiene la clave privada, ya está listo para la implementación.


Implementa el llavero maestro actualizado en cada Mac

Tras eliminar la clave privada del llavero, sigue estos pasos en cada Mac con procesadores Intel que quieras desbloquear con tu clave privada.

  1. Pon una copia del archivo FileVaultMaster.keychain actualizado en la carpeta /Biblioteca/Llaveros/.
  2. Abre la app Terminal e introduce estos dos comandos. Estos comandos sirven para garantizar que los permisos del archivo están establecidos como -rw-r--r-- y que el archivo es propiedad de raíz y está asignado al grupo llamado «Wheel» («Rueda»).
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Si FileVault ya está activado, introduce este comando en Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Si FileVault está desactivado, abre las preferencias de Seguridad y privacidad y activa FileVault. Debería aparecer un mensaje que diga que tu empresa, escuela o centro educativo ha configurado una clave de recuperación. Haz clic en Continuar.
    Preferencias de Seguridad y privacidad, mostrado el mensaje de la Clave de recuperación

Esto completa el proceso. Si un usuario se olvida de la contraseña de su cuenta de usuario macOS Mac, puedes usar la clave privada para desbloquear su disco.


Usar la clave privada para desbloquear el disco de arranque de un usuario

  1. Enciende el ordenador Mac que quieres desbloquear manteniendo pulsada la tecla T.
  2. Cuando veas el logotipo de Thunderbolt, suelta la tecla. 
  3. Conecta el ordenador Mac a otro (servidor) mediante un cable Thunderbolt 3 (USB-C).
  4. Cuando se te solicite que introduzcas una contraseña para desbloquear el disco, haz clic en Cancelar.
  5. En el Mac servidor, conecta la unidad externa que contiene la clave de recuperación privada.
  6. Si has almacenado la clave de recuperación privada en una imagen de disco encriptada, haz doble clic en el archivo para montar la imagen e introduce la contraseña cuando se te solicite.
  7. Si no conoces el nombre del volumen de inicio (por ejemplo, Macintosh HD) en el disco que quieres desbloquear, abre la Utilidad de Discos y busca el nombre del volumen en la barra lateral. Necesitarás esta información en el siguiente paso.
  8. Abre Terminal e introduce este comando para desbloquear el disco de inicio encriptado. Sustituye «name» por el nombre del volumen de inicio y /path por la ruta a FileVaultMaster.keychain en la unidad externa o la imagen de disco:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    Ejemplo de un volumen de arranque llamado Macintosh HD y un volumen de clave de recuperación llamado ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. Introduce la contraseña maestra para desbloquear el disco de arranque. Si se acepta la contraseña, el volumen se monta en el escritorio.
Fecha de publicación: