FileVault-palautusavaimen asettaminen organisaation tietokoneita varten

Organisaation palautusavaimen (IRK) avulla voit palauttaa käyttäjien FileVaultilla salaamat tiedot, kun he eivät muista Macinsa kirjautumissalasanaa.

Nämä ohjeet on tarkoitettu kokeneille käyttäjille, eli järjestelmien ylläpitäjille ja muille, jotka ovat tottuneet käyttämään komentorivityökaluja.

Luo FileVault-pääavainnippu

  1. Avaa Macin Pääte-ohjelma ja kirjoita seuraava komento:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Anna pyydettäessä uuden avainnipun pääsalasana ja anna se uudelleen, kun sinua pyydetään kirjoittamaan se uudelleen. Pääte ei näytä salasanaa, kun kirjoitat sitä.
  3. Luodaan avainpari, ja työpöydälle tallennetaan tiedosto, jonka nimi on FileVaultMaster.keychain. Kopioi tämä tiedosto turvalliseen paikkaan, kuten ulkoisessa asemassa olevaan salattuun levytiedostoon. Tämä suojattu kopio on yksityinen palautusavain, jolla voi avata käynnistyslevyn lukituksen kaikissa Maceissa, jotka on määritetty käyttämään FileVault-pääavainnippua. Sitä ei ole tarkoitettu jaeltavaksi. 

Seuraavassa osiossa päivität FileVaultMaster.keychain-tiedoston, joka on edelleen työpöydällä. Voit tämän jälkeen ottaa avainnipun käyttöön organisaatiosi Mac-tietokoneissa.

Poista yksityinen avain pääavainnipusta

Kun olet luonut FileVault-pääavainnipun, valmistele siitä kopio käyttöönottoa varten toimimalla seuraavien ohjeiden mukaan:

  1. Kaksoisklikkaa työpöydällä olevaa FileVaultMaster.keychain-tiedostoa. Avainnipun käyttö -ohjelma avautuu.
  2. Valitse FileVaultMaster Avainnipun käytön sivupalkista. Jos näet oikealla enemmän kuin kaksi kohdetta, valitse sivupalkista toinen avainnippu ja päivitä luettelo valitsemalla FileVaultMaster uudelleen.
  3. Jos FileVaultMaster-avainnippu on lukittu, klikkaa Avainnipun käytön vasemmassa yläkulmassa  ja anna luomasi pääsalasana.
  4. Valitse kahdesta oikealla näkyvästä kohteesta se, jonka kohdalla Laji-sarakkeessa lukee ”yksityinen avain”.
    Avainnipun käyttö, jossa yksityinen FileVault Master Password Key näkyy valittuna
  5. Poista yksityinen avain: valitse valikkoriviltä Muokkaa > Poista, anna avainnipun pääsalasana ja klikkaa Poista, kun sinua pyydetään vahvistamaan valinta.
  6. Lopeta Avainnipun käyttö.

Nyt kun työpöydällä oleva pääavainnippu ei enää sisällä yksityistä avainta, se on valmiina käyttöönottoa varten.

Ota päivitetty pääavainnippu käyttöön jokaisessa Macissa

Kun olet poistanut yksityisen avaimen avainnipusta, toimi seuraavien ohjeiden mukaan kaikissa Maceissa, joiden lukituksen haluat avata yksityisellä avaimella.

  1. Siirrä päivitetyn FileVaultMaster.keychain-tiedoston kopio /Kirjasto/Keychains/-kansioon.
  2. Avaa Pääte-ohjelma ja kirjoita seuraavat komennot: Näillä komennoilla varmistetaan, että tiedoston käyttöoikeuksiksi asetetaan -rw-r--r-- sekä se, että tiedoston omistaa root ja että tiedosto määritetään ryhmälle wheel.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Jos FileVault on jo käytössä, kirjoita tämä komento Päätteeseen:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Jos FileVault on poistettu käytöstä, avaa Suojaus ja yksityisyys -asetukset ja ota FileVault käyttöön. Sinun pitäisi nähdä viesti, jonka mukaan yrityksesi, koulusi tai organisaatiosi on asettanut palautusavaimen. Klikkaa Jatka.
    Suojaus ja yksityisyys -asetukset, jossa näkyy Palautusavain-viesti

Prosessi päättyy tähän. Jos käyttäjä unohtaa macOS-käyttäjätilinsä salasanan eikä pysty kirjautumaan Maciinsa, voit avata käyttäjän levyn lukituksen yksityisellä avaimella.

 

Avaa käyttäjän käynnistyslevyn lukitus yksityisellä avaimella

Jos käyttäjä on unohtanut tilinsä salasanan eikä pysty kirjautumaan Maciinsa, voit avata hänen käynnistyslevynsä lukituksen ja käyttää FileVaultilla salattuja tietoja yksityisen palautusavaimen avulla.

  1. Käynnistä Mac-asiakastietokone macOS:n palautustoiminnolla pitämällä käynnistyksen aikana komento- ja R-näppäimiä painettuina.
  2. Jos et tiedä käynnistyslevyn nimeä (esimerkiksi Macintosh HD) ja muotoa, avaa Levytyökalu macOS-lisäohjelmat-ikkunasta ja tarkista Levytyökalun kyseisestä taltiosta antamat tiedot oikealta. Jos näytössä näkyy ”Core Storage looginen taltioryhmä” eikä ”APFS-taltio” tai ”Mac OS laajennettu”, muoto on Mac OS laajennettu. Tarvitset näitä tietoja myöhemmässä vaiheessa. Lopeta Levytyökalu, kun olet valmis.
  3. Liitä ulkoinen asema, joka sisältää yksityisen palautusavaimen.
  4. Valitse macOS:n palautuksen valikkoriviltä Lisäohjelmat > Pääte.
  5. Jos tallensit yksityisen palautusavaimen salattuun levytiedostoon, seuraavalla Päätteen komennolla voit tuoda kyseisen levytiedoston näkyviin. Korvaa /path levytiedoston polulla, ja lisää myös .dmg-tiedostopääte:
    hdiutil attach /path
    
    Esimerkki ThumbDrive-taltion PrivateKey.dmg-nimisestä levytiedostosta:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Seuraavalla komennolla voit avata FileVault-pääavainnipun lukituksen. Korvaa /path ulkoisessa asemassa olevan FileVaultMaster.keychain-tiedoston polulla. Muista lisätä tässä vaiheessa ja kaikissa jäljellä olevissa vaiheissa levytiedoston nimi polkuun, jos avainnippu on tallennettu salattuun levytiedostoon.
    security unlock-keychain /path
    
    Esimerkki ThumbDrive-nimisestä taltiosta:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Avaa käynnistyslevyn lukitus antamalla pääsalasana. Jos salasana hyväksytään, komentorivi tulee uudelleen näkyviin.

Jatka alla kuvatulla tavalla sen mukaan, miten käyttäjän käynnistyslevy on alustettu:

APFS

 Jos käynnistyslevy on alustettu APFS-muodossa, suorita nämä lisätoimet:

  1. Avaa salatun käynnistyslevyn lukitus seuraavalla komennolla. Korvaa ”nimi” käynnistystaltion nimellä ja korvaa /path ulkoisessa asemassa tai levytiedostossa olevan FileVaultMaster.keychain-tiedoston polulla:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Esimerkki Macintosh HD -nimisestä käynnistystaltiosta ja ThumbDrive-nimisestä palautusavaintaltiosta:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Avaa avainnipun lukitus ja tuo käynnistyslevy näkyviin antamalla pääsalasana.
  3. Varmuuskopioi levyllä olevat tiedot tai sulje Pääte ja käytä Levytyökalua komentorivityökaluilla, kuten ditto.

Mac OS laajennettu (HFS Plus)

Jos käynnistyslevy on alustettu Mac OS laajennettu -muodossa, suorita nämä lisätoimet:

  1. Anna tämä komento, jotta voit tarkastella asemien ja Core Storage -taltioiden luetteloa:
    diskutil cs list
    
  2. Valitse Looginen taltio -tekstin perässä oleva UUID ja kopioi se myöhempää vaihetta varten.
    Esimerkki: +-> Looginen taltio 2F227AED-1398-42F8-804D-882199ABA66B
  3. Käytä salatun käynnistyslevyn lukituksen avaamiseen seuraavaa komentoa. Korvaa UUID edellisessä vaiheessa kopioimallasi UUID:llä ja korvaa /path ulkoisessa asemassa tai levytiedostossa olevan FileVaultMaster.keychain-tiedoston polulla:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Esimerkki ThumbDrive-nimisestä palautusavaintaltiosta:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Avaa avainnipun lukitus ja tuo käynnistyslevy näkyviin antamalla pääsalasana.
  5. Varmuuskopioi levyllä olevat tiedot komentorivityökaluilla, kuten ditto. Voit myös sulkea Päätteen ja käyttää Levytyökalua. Seuraavalla komennolla voit poistaa avatun levyn salauksen ja suorittaa käynnistyksen siltä. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Esimerkki ThumbDrive-nimisestä palautusavaintaltiosta:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Julkaisupäivämäärä: