This article has been archived and is no longer updated by Apple.

כיצד להשתמש במפתחות שחזור מוסדיים במחשבי Mac מבוססי Intel

למדו כיצד ליצור מפתח שחזור מוסדי (IRK) כדי לבטל נעילה של מחשבי Mac מבוססי Intel המוצפנים באמצעות FileVault ולשחזר נתונים.

מאמר זה עוסק בשיטה מדור קודם ליצירת מפתח שחזור מוסדי (IRK) לצורך ביטול נעילה של מחשבי Mac מבוססי Intel המוצפנים באמצעות FileVault. אם במחשב Mac עם Apple silicon או ב-Mac מבוסס Intel נעשה שימוש ב-MDM, תוכלו לשמור את מפתח השחזור בפיקדון בשרת במקום להשתמש ב-IRK.

משתמשים שאינם יכולים לגשת לנתונים עם הסיסמה שלהם יכולים להשתמש במפתח שחזור כדי לקבל שוב גישה לנתונים המוצפנים באמצעות FileVault. במחשבי Mac מבוססי Intel, אפשר להשתמש במפתח שחזור מוסדי כדי לבטל את הנעילה של מחשבי Mac המוצפנים באמצעות FileVault ולשחזר נתונים באמצעות מצב 'כונן יעד'.

יצירת צרור מפתחות ראשי של FileVault

  1. פתחו את היישום 'מסוף' ב-Mac והזינו את הפקודה הבאה:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. כשתתבקשו לעשות זאת, הזינו את הסיסמה הראשית של צרור המפתחות החדש, ולאחר מכן הזינו אותה שוב כשתתבקשו להקליד אותה שוב. הסיסמה אינה מוצגת ב'מסוף' תוך כדי הקלדה.

  3. בעקבות הפעולה, נוצר צמד מפתחות, וקובץ בשם FileVaultMaster.keychain נשמר בשולחן העבודה. העתיקו קובץ זה למיקום מאובטח, כגון דמות כונן מוצפנת בכונן חיצוני. עותק מאובטח זה הוא מפתח השחזור הפרטי שיכול לבטל את נעילת כונן ההפעלה של כל Mac מבוסס Intel המוגדר לשימוש בצרור המפתחות הראשי של FileVault. הוא אינו מיועד להפצה.

בסעיף הבא, תעדכנו את הקובץ FileVaultMaster.keychain שעדיין נמצא בשולחן העבודה. לאחר מכן, תוכלו לפרוס את צרור המפתחות במחשבי Mac בארגון.

הסרת המפתח הפרטי מצרור המפתחות הראשי

לאחר יצירת צרור המפתחות הראשי של FileVault, בצעו את השלבים הבאים כדי להכין עותק שלו לפריסה:

  1. לחצו פעמיים על הקובץ FileVaultMaster.keychain בשולחן העבודה. היישום 'צרור מפתחות' נפתח.

  2. בסרגל הצד של 'צרור המפתחות', בחרו FileVaultMaster.

  3. אם צרור המפתחות של FileVaultMaster נעול, בחרו באפשרות 'קובץ' > 'בטל את נעילת צרור המפתחות FileVaultMaster' בשורת התפריטים ולאחר מכן הזינו את הסיסמה הראשית שיצרתם.

  4. מבין שני הפריטים המוצגים משמאל, בחרו את הפריט שמזוהה בתור 'מפתח פרטי' בעמודה 'סוג':

    Keychain Access, showing the private FileVault Master Password Key selected

  5. מחקו את המפתח הפרטי: בחרו 'עריכה' > 'מחק' בשורת התפריטים, הזינו את הסיסמה הראשית של צרור המפתחות ולחצו על 'מחק' כשתתבקשו לאשר.

  6. צאו מ'צרור מפתחות'.

כעת, לאחר שצרור המפתחות הראשי בשולחן העבודה כבר אינו מכיל את המפתח הפרטי, הוא מוכן לפריסה.

פריסת צרור המפתחות הראשי המעודכן בכל Mac

לאחר הסרת המפתח הפרטי מצרור המפתחות, בצעו את השלבים הבאים בכל Mac מבוסס Intel שברצונכם לאפשר ביטול נעילה שלו באמצעות המפתח הפרטי.

  1. הכניסו עותק של הקובץ FileVaultMaster.keychain המעודכן לתיקיה ‎/Library/Keychains/‎.

  2. פתחו את היישום 'מסוף' והזינו את שתי הפקודות הבאות. פקודות אלה מוודאות שהרשאות הקובץ מוגדרות כ--rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. אם FileVault כבר מופעל, הזינו פקודה זו ביישום 'מסוף':

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. אם FileVault כבוי, פתחו את העדפות 'אבטחה ופרטיות' והפעילו את FileVault. אתם אמורים לראות הודעה שלפיה הוגדר מפתח שחזור על ידי החברה, בית הספר או הארגון. לחצו על 'המשך'.

    Security & Privacy preferences, showing the Recovery Key message

פעולה זו תשלים את התהליך. אם משתמש שוכח את סיסמת חשבון המשתמש ב-macOS ואינו מצליח להתחבר ל-Mac שלו, תוכלו להשתמש במפתח הפרטי כדי לבטל עבורו את נעילת הכונן.

שימוש במפתח הפרטי לביטול הנעילה של כונן ההפעלה של משתמש

  1. ב-Mac שברצונכם לבטל את הנעילה שלו, הפעילו את המחשב תוך כדי החזקת המקש T.

  2. כשתראו את סמל Thunderbolt, שחררו את המקש T.

  3. חברו את ה-Mac ל-Mac אחר (המארח) באמצעות כבל Thunderbolt 3 (‏USB-C).

  4. כשתתבקשו להזין סיסמה לביטול נעילת הכונן, לחצו על 'ביטול'.

  5. ב-Mac המארח, חברו את הכונן החיצוני המכיל את מפתח השחזור הפרטי.

  6. אם שמרתם את מפתח השחזור הפרטי בדמות כונן מוצפנת, לחצו פעמיים על הקובץ כדי לטעון את הדמות והזינו את הסיסמה כשתוצג בקשה לעשות זאת.

  7. אם אינכם יודעים מהו השם של מחיצת ההפעלה (כגון Macintosh HD) בכונן שברצונכם לבטל את הנעילה שלו, פתחו את 'כלי העזר לכוננים' ואתרו את שם המחיצה בסרגל הצד. תזדקקו למידע זה בשלב הבא.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. הזינו את הסיסמה הראשית כדי לבטל את נעילת כונן ההפעלה. אם הסיסמה תתקבל, אמצעי האחסון ייטען אל שולחן העבודה.

Published Date: