Intézményi visszaállítási kulcsok használata Intel-alapú Maceken
Ismerje meg, hogyan hozhat létre intézményi visszaállítási kulcsot (IRK-t), amellyel feloldhatja a FileVault által titkosított, Intel-alapú Macek zárolását, és helyreállíthatja az adatokat.
Ebben a cikkben a FileVault által titkosított Intel-alapú Macek feloldásához használható intézményi visszaállítási kulcsok létrehozásának régebbi módszerét ismertetjük. Ha Apple chippel rendelkező vagy Intel-alapú Mac számítógépe MDM-et használ, akkor letétbe helyezheti a visszaállítási kulcsot egy szerveren, nincs szükség IRK használatára.
A visszaállítási kulcs segítségével azoknál a felhasználóknál is visszaszerezheti a hozzáférést a FileVault által titkosított adatokhoz, akik a jelszavukkal nem tudják elérni őket. Az Intel-alapú Maceken az intézményi visszaállítási kulcs segítségével feloldhatja a FileVault általi titkosítást, és a Céllemez mód segítségével helyreállíthatja az adatokat.
FileVault-főkulcskarika létrehozása
Nyissa meg a Terminal alkalmazást a Macen, majd írja be a következő parancsot:
security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
Amikor a rendszer arra kéri, írja be az új kulcskarikához tartozó fő jelszót, majd adja meg újra, amikor a rendszer azt kéri. Gépelés közben a Terminal nem jeleníti meg a jelszót.
Ekkor létrejön egy kulcspár, és a FileVaultMaster.keychain fájlt a rendszer elmenti az asztalra. Másolja ezt a fájlt egy biztonságos helyre, például egy egy külső meghajtón lévő titkosított lemezképre. Ez a biztonságos másolat egy visszaállítási magánkulcs, amely képes bármely, a FileVault főkulcskarika használatára beállított Mac indítólemezét feloldani. Ne ossza meg mással.
A következő részben a még mindig az asztalon található FileVaultMaster.keychain fájlt fogja frissíteni. Ezt a kulcskarikát telepítheti a szervezet Mac számítógépein.
A titkos kulcs eltávolítása a fő kulcskarikából
Miután létrehozta a FileVault-főkulcskarikát, az alábbi lépésekkel előkészíthet egy másolatot belőle a telepítéshez:
Kattintson duplán a FileVaultMaster.keychain fájlra az asztalon. Ekkor megnyílik a Kulcskarika-elérés alkalmazás.
A Kulcskarika-elérés oldalsávján válassza ki a FileVaultMaster elemet.
Ha a FileVaultMaster főkulcskarika zárolva van, válassza a File > A „FileVaultMaster” kulcskarika zárolásának feloldása… lehetőséget a menüsávban, majd adja meg a létrehozott mesterjelszót.
A jobb oldalon látható két elem közül válassza ki a „privát kulcs” elemet a Fajta oszlopban:
A magánkulcs törlése: Válassza a menüsávon a Szerkesztés > Törlés elemet, adja meg a kulcskarika fő jelszavát, majd a megerősítéshez kattintson a Törlés gombra.
Zárja be a Kulcskarika-elérés segédprogramot.
Az asztalon található főkulcskarika már nem tartalmazza a magánkulcsot, és készen áll a telepítésre.
A frissített főkulcskarika telepítése minden Macen
Miután eltávolította a kulcskarikából a magánkulcsot, végezze el az alábbi lépéseket minden olyan Intel-alapú Macen, amelyet a magánkulccsal szeretne feloldani.
Helyezzen el egy másolatot a frissített FileVaultMaster.keychain fájlból a /Library/Keychains/ mappába.
Nyissa meg a Terminal appot, és írja be a következő parancsokat. Ezek a parancsok biztosítják, hogy a fájl engedélyeinek beállítása
-rw-r--r--
and the file is owned by root and assigned to the group named wheel.sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
Ha a FileVault már be van kapcsolva, írja be a következő parancsot a Terminalba:
sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
Ha a FileVault ki van kapcsolva, nyissa meg a Biztonság és adatvédelem beállításokat, és kapcsolja be a FileVault funkciót. Ekkor meg kell jelennie egy üzenetnek, miszerint a vállalat, az iskola vagy a szervezet beállított egy visszaállítási kulcsot. Kattintson a Folytatás gombra.
Ezzel befejezte a folyamatot. Ha egy felhasználó elfelejti a macOS-felhasználói fiók jelszavát, és nem tud bejelentkezni a Mac számítógépbe, a magánkulccsal feloldhatja a lemez zárolását.
A felhasználó indítólemezének feloldása a magánkulccsal
Kapcsolja be a feloldani kívánt Macet, és tartsa lenyomva a T billentyűt.
Ha megjelent a Thunderbolt logó, engedje fel a T billentyűt.
Csatlakoztassa a Macet egy másik Machez (a hoszthoz) egy Thunderbolt 3-kábellel (USB-C).
Ha a rendszer kéri, hogy adja meg a jelszót a lemez feloldásához, kattintson a Mégse gombra.
A hoszt Macen csatlakoztassa a visszaállítási magánkulcsot tartalmazó külső meghajtót.
Ha titkosított lemezképben tárolja a visszaállítási magánkulcsot, kattintson duplán a fájlra a lemezkép csatlakoztatásához, majd ha a rendszer kéri, adja meg a jelszót.
Ha nem tudja a rendszerindítási kötet nevét (ami lehet például Macintosh HD) a feloldani kívánt lemezen, nyissa meg a Lemezkezelőt, és keresse meg a kötet nevét az oldalsávban. Erre az információra a következő lépésben lesz szüksége.
diskutil ap unlockVolume "name" -recoveryKeychain /path
Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:
diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Az indítólemez feloldásához adja meg a fő jelszót. Ha a rendszer elfogadja a jelszót, a kötet csatlakozik az asztalon.