Establecer una clave de recuperación de FileVault para los de tu institución

Las claves de recuperación institucionales (IRK) te permiten recuperar los datos encriptados de FileVault de tus usuarios cuando no puedan recuperar la contraseña de inicio de sesión de su Mac.

Estos pasos avanzados son para administradores del sistema y personas que estén familiarizadas con la línea de comandos.

Crear un llavero maestro de FileVault

  1. Abre la app Terminal en tu Mac e introduce este comando:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Cuando lo solicite el sistema, introduce la contraseña maestra del nuevo llavero y, después, vuélvela a escribir cuando se te pida. Terminal no muestra la contraseña mientras la escribes.
  3. Se generarán un par de claves y se guardará un archivo llamado FileVaultMaster.keychain en tu escritorio. Copia este archivo en una ubicación segura, como una imagen de disco encriptada o una unidad externa. La copia segura es la clave de recuperación privada, que puede desbloquear el disco de arranque de cualquier Mac que esté configurado para usar el llavero maestro de FileVault. No la distribuyas con otros. 

En la siguiente sección, actualizarás el archivo FileVaultMaster.keychain que se encuentra aún en tu escritorio. Una vez hecho esto, podrás implementar el llavero en los ordenadores Mac de tu institución.

Eliminar la clave privada del llavero maestro

Tras crear el llavero maestro de FileVault, sigue estos pasos para preparar una copia para implementarlo:

  1. Haz doble clic en el archivo FileVaultMaster.keychain file de tu escritorio. Se abrirá la app Acceso a Llaveros.
  2. En la barra lateral de Acceso a Llaveros, selecciona FileVaultMaster. Si ves más de dos elementos en la derecha, selecciona otro llavero de la barra lateral. A continuación, selecciona FileVaultMaster de nuevo para actualizar la lista.
  3. Si el llavero maestro de FileVault está bloqueado, haz clic  en la esquina superior izquierda de Acceso a Llaveros e introduce la contraseña maestra que has creado.
  4. De los dos elementos que aparecen a la derecha, selecciona el que está identificado como «clave privada» en la columna Tipo:
    Acceso a Llaveros, mostrando la clave privada de la contraseña maestra de FileVault seleccionada
  5. Eliminar la clave privada: Selecciona Editar > Eliminar en la barra de menú, introduce la contraseña maestra del llavero y, a continuación, haz clic en Eliminar cuando te pida confirmación.
  6. Sal de Acceso a Llaveros.

Ahora que el llavero maestro de tu escritorio ya no contiene la clave privada, ya está listo para la implementación.

Implementa el llavero maestro actualizado en cada Mac

Tras eliminar la clave privada del llavero, sigue estos pasos en cada Mac que quieras poder desbloquear con tu clave privada.

  1. Pon una copia del archivo FileVaultMaster.keychain actualizado en la carpeta /Biblioteca/Llaveros/.
  2. Abre la app Terminal e introduce estos dos comandos. Estos comandos sirven para garantizar que los permisos del archivo están establecidos como -rw-r--r-- y que el archivo es propiedad de raíz y está asignado al grupo llamado «Wheel» («Rueda»).
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Si FileVault ya está activado, introduce este comando en Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Si FileVault está desactivado, abre las preferencias de Seguridad y privacidad y activa FileVault. Debería aparecer un mensaje que diga que tu empresa, escuela u organización ha configurado una clave de recuperación. Haz clic en Continuar.
    Preferencias de Seguridad y privacidad, mostrado el mensaje de la Clave de recuperación

Esto completa el proceso. Si un usuario se olvida de la contraseña de su cuenta de usuario macOS Mac, puedes usar la clave privada para desbloquear su disco.

 

Usar la clave privada para desbloquear el disco de arranque de un usuario

Si un usuario olvidara la contraseña de su cuenta y no pudiera iniciar sesión en su Mac, puedes usar laclave privada de recuperación para desbloquear su disco de arranque y acceder a sus datos encriptados de FileVault.

  1. En el cliente Mac, arranca desde Recuperación de macOS manteniendo pulsadas las teclas Comando-R durante el arranque.
  2. Si no sabes el nombre (como Macintosh HD) ni el formato del disco de inicio, abre Utilidad de Discos desde la ventana Utilidades de macOS, luego verifica la información que Utilidad de Discos muestra para ese volumen a la derecha. Si ves «Grupo de volúmenes lógicos de CoreStorage» en lugar de «Volumen APFS» o «Mac OS Plus», el formato es Mac OS Plus. Necesitarás esta información en uno de los siguientes pasos. Cuando termines, cierra Utilidad de Discos.
  3. Conecta la unidad externa que contiene la clave de recuperación privada.
  4. Desde la barra de menú Recuperación de macOS, selecciona Utilidades > Terminal.
  5. Si has guardado la clave de recuperación privada en una imagen de disco encriptada, usa el siguiente comando en Terminal para montar la imagen. Reemplaza /path con la ruta a la imagen del disco, incluida la extensión del nombre de archivo .dmg:
    hdiutil attach /path
    
    Ejemplo de una imagen de disco llamada PrivateKey.dmg en un volumen llamado ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Usa el comando siguiente para desbloquear el llavero maestro de FileVault. Reemplaza /path con la ruta a FileVaultMaster.keychain en la unidad externa. En este paso y en todos los pasos restantes, si el llavero se almacena en una imagen de disco encriptada, recuerda incluir el nombre de esa imagen en la ruta.
    security unlock-keychain /path
    
    Ejemplo de un volumen llamado ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Introduce la contraseña maestra para desbloquear el disco de arranque. Si la contraseña se acepta, volverá a aparecer el símbolo del sistema.

Continúa como se describe a continuación, según la forma en que se formatee el disco de arranque del usuario.

APFS

 Si se formatea el disco de arranque para APFS, completa estos pasos adicionales:

  1. Utiliza el siguiente comando para desbloquear el disco de arranque encriptado. Reemplaza «name» con el nombre del volumen de arranque y sustituye /path por la ruta a FileVaultMaster.keychain de la unidad externa o la imagen de disco:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Ejemplo de un volumen de arranque llamado Macintosh HD y un volumen de clave de recuperación llamado ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Introduce la contraseña maestra para desbloquear el llavero y montar el disco de arranque.
  3. Usa herramientas de línea de comandos como ditto para hacer una copia de seguridad de los datos del disco, o bien sal de Terminal y usa Utilidad de Discos.

Mac OS Plus (HFS Plus)

Si se formatea el disco de arranque para Mac OS Plus, completa estos pasos adicionales:

  1. Introduce este comando para obtener una lista de unidades y volúmenes CoreStorage:
    diskutil cs list
    
  2. Selecciona el UUID que aparece después de «Volumen lógico» y, a continuación, cópialo para usarlo más adelante.
    Ejemplo: +->Volumen lógico 2F227AED-1398-42F8-804D-882199ABA66B
  3. Utiliza el siguiente comando para desbloquear el disco de arranque encriptado. Reemplaza UUID por el UUID que copiaste en el paso anterior, y /path por la ruta a FileVaultMaster.keychain de la unidad externa o la imagen de disco:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Ejemplo de una clave de recuperación llamada ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Introduce la contraseña maestra para desbloquear el llavero y montar el disco de arranque.
  5. Usa herramientas de línea de comandos como ditto para hacer una copia de seguridad de los datos del disco, o bien sal de Terminal y usa Utilidad de Discos. También puedes usar el siguiente comando para desencriptar el disco desbloqueado y arrancar desde él. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Ejemplo de una clave de recuperación llamada ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Fecha de publicación: Thu Aug 02 17:31:25 GMT 2018