Tämä artikkeli on arkistoitu eikä Apple enää päivitä sitä.

Organisaation palautusavainten käyttäminen Intel-pohjaisten Macien kanssa

Tässä artikkelissa kerrotaan, miten voit luoda organisaation palautusavaimen (IRK) FileVaultilla salattujen Intel-pohjaisten Mac-tietokoneiden lukituksen avaamista ja tietojen palauttamista varten.

Tässä artikkelissa käsitellään vanhaa tapaa luoda organisaation palautusavain (IRK) FileVaultilla salattujen Intel-pohjaisten Macien lukituksen avaamista varten. Jos Apple siliconilla varustettu Mac-tietokoneesi tai Intel-pohjainen Macisi käyttää MDM:ää, voit tallentaa palautusavaimen palvelimelle IRK:n käytön sijaan.

Palautusavaimella voit palauttaa FileVaultilla salattujen tietojen käyttöoikeudet käyttäjille, jotka eivät pääse tietoihin salasanallaan. Intel-pohjaisissa Mac-tietokoneissa voit käyttää organisaation palautusavainta FileVaultilla salattujen Mac-tietokoneiden lukituksen avaamiseen ja tietojen palauttamiseen kohdelevytilassa.

FileVault-pääavainnipun luominen

  1. Avaa Pääte-appi Macissa ja anna seuraava komento:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. Anna pyydettäessä uuden avainnipun pääsalasana ja anna se uudelleen, kun sinua pyydetään kirjoittamaan se uudelleen. Pääte ei näytä salasanaa, kun kirjoitat sitä.

  3. Avainpari luodaan ja työpöydälle tallennetaan tiedosto, jonka nimi on FileVaultMaster.keychain. Kopioi tämä tiedosto turvalliseen paikkaan, kuten ulkoisessa asemassa olevaan salattuun levytiedostoon. Tämä suojattu kopio on yksityinen palautusavain, jolla voi avata käynnistyslevyn lukituksen kaikissa Intel-pohjaisissa Maceissa, jotka on määritetty käyttämään FileVault-pääavainnippua. Sitä ei ole tarkoitettu jaeltavaksi.

Seuraavassa osiossa päivität FileVaultMaster.keychain-tiedoston, joka on edelleen työpöydällä. Voit tämän jälkeen ottaa avainnipun käyttöön organisaatiosi Mac-tietokoneissa.

Yksityisen avaimen poistaminen pääavainnipusta

Kun olet luonut FileVault-pääavainnipun, valmistele siitä kopio käyttöönottoa varten seuraavasti:

  1. Kaksoisklikkaa työpöydällä olevaa FileVaultMaster.keychain-tiedostoa. Avainnippu-appi avautuu.

  2. Valitse FileVaultMaster Avainnipun sivupalkista.

  3. Jos FileVaultMaster-avainnippu on lukittu, valitse valikkoriviltä Arkisto > Avaa avainnippu FileVaultMaster ja anna sitten luomasi pääsalasana.

  4. Valitse oikealla näkyvistä kohteista se, jonka Laji-sarakkeessa on yksityinen avain ‑merkintä:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. Poista yksityinen avain: valitse valikkoriviltä Muokkaa > Poista, anna avainnipun pääsalasana ja klikkaa Poista, kun sinua pyydetään vahvistamaan valinta.

  6. Lopeta Avainnippu.

Nyt kun työpöydällä oleva pääavainnippu ei enää sisällä yksityistä avainta, se on valmiina käyttöönottoa varten.

Päivitetyn pääavainnipun käyttöönotto jokaisessa Macissa

Kun olet poistanut yksityisen avaimen avainnipusta, toimi seuraavien ohjeiden mukaan kaikissa Intel-pohjaisissa Maceissa, joiden lukituksen haluat avata yksityisellä avaimella.

  1. Siirrä päivitetyn FileVaultMaster.keychain-tiedoston kopio /Kirjasto/Keychains/-kansioon.

  2. Avaa Pääte-appi ja kirjoita seuraavat komennot: Näillä komennoilla varmistetaan, että tiedoston käyttöoikeuksiksi asetetaan-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Jos FileVault on jo käytössä, lisää tämä komento Päätteeseen:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Jos FileVault on poistettu käytöstä, avaa Suojaus ja yksityisyys -asetukset ja ota FileVault käyttöön. Sinun pitäisi nähdä viesti, jonka mukaan yrityksesi, koulusi tai organisaatiosi on asettanut palautusavaimen. Klikkaa Jatka.

    Security & Privacy preferences, showing the Recovery Key message

Prosessi päättyy tähän. Jos käyttäjä unohtaa macOS-käyttäjätilinsä salasanan eikä pysty kirjautumaan Maciinsa, voit avata käyttäjän levyn lukituksen yksityisellä avaimella.

Avaa käyttäjän käynnistyslevyn lukitus yksityisellä avaimella

  1. Käynnistä Mac, jonka lukituksen haluat avata, pitämällä samalla T-näppäintä painettuna.

  2. Vapauta T-näppäin, kun Thunderbolt-logo tulee näkyviin.

  3. Liitä Mac Thunderbolt 3 (USB-C) -kaapelilla toiseen Maciin (isäntään).

  4. Kun sinua pyydetään antamaan salasana levyn lukituksen avaamista varten, klikkaa Peruuta.

  5. Liitä isäntänä toimivassa Macissa ulkoinen asema, joka sisältää yksityisen palautusavaimen.

  6. Jos tallensit yksityisen palautusavaimen salattuun levykuvaan, ota levykuva käyttöön kaksoisklikkaamalla tiedostoa ja anna sitten pyydettäessä salasana.

  7. Jos et tiedä käynnistystaltion nimeä (esimerkiksi Macintosh HD) levyllä, jonka lukituksen haluat avata, avaa Levytyökalu ja etsi sitten taltion nimi sivupalkista. Tarvitset näitä tietoja seuraavassa vaiheessa.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Avaa käynnistyslevyn lukitus antamalla pääsalasana. Jos salasana hyväksytään, taltio otetaan käyttöön työpöydällä.

Julkaisupäivämäärä: