Establecer una clave de recuperación de FileVault para los Mac de tu institución

Descubre cómo asegurarte de que los usuarios puedan recuperar los datos encriptados de FileVault si no pueden iniciar sesión en su Mac.

Estos pasos requieren FileVault 2 en OS X Lion o posterior.

Crear una contraseña maestra y una clave de recuperación privada

Primero, crea una contraseña maestra y una clave de recuperación privada en uno de tus ordenadores Mac:

  1. Selecciona el menú Apple  > Preferencias del Sistema y, a continuación, haz clic en Usuarios y grupos.
  2. Haz clic en el botón del candado   y, a continuación, introduce el nombre de usuario y la contraseña.
  3. En el menú Acción , selecciona Definir contraseña maestra.
  4. Introduce y verifica la contraseña maestra y, a continuación, haz clic en Aceptar.
  5. Traslada el archivo de /Library/Keychains/FileVaultMaster.cer a la Papelera.
  6. Copia el archivo de /Library/Keychains/FileVaultMaster.keychain a una ubicación segura, como una unidad externa, una imagen de disco encriptada u otro disco físico. Este llavero maestro de FileVault contiene una clave de recuperación privada de FileVault. Puedes usarla para desbloquear el disco de arranque de cualquier ordenador Mac que use el llavero maestro de FileVault que has implementado. 

Actualizar e implementar el llavero maestro de FileVault*

  1. Arrastra el archivo de /Library/Keychains/FileVaultMaster.keychain al escritorio para copiarlo allí.
  2. En el escritorio, haz doble clic en la copia de FileVaultMaster.keychain.
  3. Se abrirá Acceso a Llaveros y, a la izquierda, aparecerán dos “FileVaultMaster.keychain”.
  4. Selecciona el archivo de /Users/username/Desktop/FileVaultMaster.keychain.
  5. Haz clic en el candado situado en la esquina superior izquierda para desbloquear el llavero maestro de FileVault.
  6. Selecciona la clave privada.
  7. Pulsa la tecla Eliminar del teclado. Haz clic en Eliminar en el cuadro de diálogo.
  8. Sal de Acceso a Llaveros.
  9. Copia a /Library/Keychains el archivo actualizado de ~/Desktop/FileVaultMaster.keychain.
  10. Escribe el nombre del administrador y la contraseña en el cuadro de diálogo.
  11. Haz clic en el botón Reemplazar del cuadro de diálogo.

A continuación, implementa el llavero maestro de FileVault actualizado en todos los clientes Mac:

  1. Haz una copia del archivo de /Library/Keychains/FileVaultMaster.keychain, pero no sustituyas la clave de recuperación privada que copiaste anteriormente y que tiene el mismo nombre. Esta clave privada no está destinada para distribución.
  2. Coloca el archivo FileVaultMaster.keychain actualizado en la carpeta /Library/Keychains/ de todos los Mac. Los permisos y la propiedad del archivo deberían ser -rw-r--r--, los cuales puedes definir con los siguientes comandos de Terminal:
sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

*Si usas OS X El Capitan o posterior, puedes actualizar el llavero maestro de FileVault original y prepararlo para implementarlo.

Activar FileVault en todos los Mac

Una vez implementado el llavero maestro de FileVault, activa FileVault en todos los clientes Mac. Debería aparecer el mensaje “Tu empresa, escuela u organización ha configurado una clave de recuperación”. Haz clic en Continuar.

Hoja de clave de recuperación

Si un usuario no puede iniciar sesión en su Mac

Si un usuario ha olvidado la contraseña de su cuenta y no puede iniciar sesión, sigue estos pasos para desbloquear su disco de arranque y acceder a los datos encriptados de FileVault.

  1. En el cliente Mac, arranca desde Recuperación de macOS manteniendo pulsadas las teclas Comando-R durante el arranque.
  2. Conecta la unidad externa que contiene la clave de recuperación privada.
  3. En la barra de menús, selecciona Utilidades > Terminal.
  4. Si has guardado la clave de recuperación privada en una imagen de disco encriptada, usa el siguiente comando en Terminal para montar la imagen. Reemplaza /path por la ruta de la imagen de disco:

    hdiutil attach /path

  5. Usa el comando siguiente para desbloquear el llavero maestro de FileVault. Reemplaza /path por la ruta a FileVaultMaster.keychain de la unidad externa o la imagen de disco:

    security unlock-keychain /path

    Ejemplo de un volumen llamado ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain


  6. Introduce la contraseña maestra para desbloquear el disco de arranque. Si la contraseña se acepta, volverá a aparecer el símbolo del sistema.
  7. Utiliza el siguiente comando para obtener una lista de unidades y volúmenes CoreStorage:
    diskutil cs list
  8. Selecciona el UUID que aparece después de “Volumen lógico” y, a continuación, cópialo para usarlo en el paso siguiente.

    Ejemplo:
     +->Volumen lógico 2F227AED-1398-42F8-804D-882199ABA66B


  9. Utiliza el siguiente comando para desbloquear el disco de arranque encriptado. Reemplaza UUID por el UUID que copiaste en el paso anterior, y /path por la ruta a FileVaultMaster.keychain de la unidad externa o la imagen de disco:

    diskutil cs unlockVolume UUID -recoveryKeychain /path

    Ejemplo para el UUID de 2F227AED-1398-42F8-804D-882199ABA66B en un volumen llamado ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain


  10. Introduce la contraseña maestra para desbloquear el llavero y montar el disco de arranque.
  11. Usa herramientas de línea de comandos como ditto para hacer una copia de seguridad de los datos del disco, o bien sal de Terminal y usa Utilidad de Discos.
Fecha de publicación: