Ez egy archivált cikk, ezért az Apple egy ideje már nem frissíti.

Intézményi visszaállítási kulcsok használata Intel-alapú Maceken

Ismerje meg, hogyan hozhat létre intézményi visszaállítási kulcsot (IRK-t), amellyel feloldhatja a FileVault által titkosított, Intel-alapú Macek zárolását, és helyreállíthatja az adatokat.

Ebben a cikkben a FileVault által titkosított Intel-alapú Macek feloldásához használható intézményi visszaállítási kulcsok létrehozásának régebbi módszerét ismertetjük. Ha Apple chippel rendelkező vagy Intel-alapú Mac számítógépe MDM-et használ, akkor letétbe helyezheti a visszaállítási kulcsot egy szerveren, nincs szükség IRK használatára.

A visszaállítási kulcs segítségével azoknál a felhasználóknál is visszaszerezheti a hozzáférést a FileVault által titkosított adatokhoz, akik a jelszavukkal nem tudják elérni őket. Az Intel-alapú Maceken az intézményi visszaállítási kulcs segítségével feloldhatja a FileVault általi titkosítást, és a Céllemez mód segítségével helyreállíthatja az adatokat.

FileVault-főkulcskarika létrehozása

  1. Nyissa meg a Terminal alkalmazást a Macen, majd írja be a következő parancsot:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. Amikor a rendszer arra kéri, írja be az új kulcskarikához tartozó fő jelszót, majd adja meg újra, amikor a rendszer azt kéri. Gépelés közben a Terminal nem jeleníti meg a jelszót.

  3. Ekkor létrejön egy kulcspár, és a FileVaultMaster.keychain fájlt a rendszer elmenti az asztalra. Másolja ezt a fájlt egy biztonságos helyre, például egy egy külső meghajtón lévő titkosított lemezképre. Ez a biztonságos másolat egy visszaállítási magánkulcs, amely képes bármely, a FileVault főkulcskarika használatára beállított Mac indítólemezét feloldani. Ne ossza meg mással.

A következő részben a még mindig az asztalon található FileVaultMaster.keychain fájlt fogja frissíteni. Ezt a kulcskarikát telepítheti a szervezet Mac számítógépein.

A titkos kulcs eltávolítása a fő kulcskarikából

Miután létrehozta a FileVault-főkulcskarikát, az alábbi lépésekkel előkészíthet egy másolatot belőle a telepítéshez:

  1. Kattintson duplán a FileVaultMaster.keychain fájlra az asztalon. Ekkor megnyílik a Kulcskarika-elérés alkalmazás.

  2. A Kulcskarika-elérés oldalsávján válassza ki a FileVaultMaster elemet.

  3. Ha a FileVaultMaster főkulcskarika zárolva van, válassza a File > A „FileVaultMaster” kulcskarika zárolásának feloldása… lehetőséget a menüsávban, majd adja meg a létrehozott mesterjelszót.

  4. A jobb oldalon látható két elem közül válassza ki a „privát kulcs” elemet a Fajta oszlopban:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. A magánkulcs törlése: Válassza a menüsávon a Szerkesztés > Törlés elemet, adja meg a kulcskarika fő jelszavát, majd a megerősítéshez kattintson a Törlés gombra.

  6. Zárja be a Kulcskarika-elérés segédprogramot.

Az asztalon található főkulcskarika már nem tartalmazza a magánkulcsot, és készen áll a telepítésre.

A frissített főkulcskarika telepítése minden Macen

Miután eltávolította a kulcskarikából a magánkulcsot, végezze el az alábbi lépéseket minden olyan Intel-alapú Macen, amelyet a magánkulccsal szeretne feloldani.

  1. Helyezzen el egy másolatot a frissített FileVaultMaster.keychain fájlból a /Library/Keychains/ mappába.

  2. Nyissa meg a Terminal appot, és írja be a következő parancsokat. Ezek a parancsok biztosítják, hogy a fájl engedélyeinek beállítása-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Ha a FileVault már be van kapcsolva, írja be a következő parancsot a Terminalba:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Ha a FileVault ki van kapcsolva, nyissa meg a Biztonság és adatvédelem beállításokat, és kapcsolja be a FileVault funkciót. Ekkor meg kell jelennie egy üzenetnek, miszerint a vállalat, az iskola vagy a szervezet beállított egy visszaállítási kulcsot. Kattintson a Folytatás gombra.

    Security & Privacy preferences, showing the Recovery Key message

Ezzel befejezte a folyamatot. Ha egy felhasználó elfelejti a macOS-felhasználói fiók jelszavát, és nem tud bejelentkezni a Mac számítógépbe, a magánkulccsal feloldhatja a lemez zárolását.

A felhasználó indítólemezének feloldása a magánkulccsal

  1. Kapcsolja be a feloldani kívánt Macet, és tartsa lenyomva a T billentyűt.

  2. Ha megjelent a Thunderbolt logó, engedje fel a T billentyűt.

  3. Csatlakoztassa a Macet egy másik Machez (a hoszthoz) egy Thunderbolt 3-kábellel (USB-C).

  4. Ha a rendszer kéri, hogy adja meg a jelszót a lemez feloldásához, kattintson a Mégse gombra.

  5. A hoszt Macen csatlakoztassa a visszaállítási magánkulcsot tartalmazó külső meghajtót.

  6. Ha titkosított lemezképben tárolja a visszaállítási magánkulcsot, kattintson duplán a fájlra a lemezkép csatlakoztatásához, majd ha a rendszer kéri, adja meg a jelszót.

  7. Ha nem tudja a rendszerindítási kötet nevét (ami lehet például Macintosh HD) a feloldani kívánt lemezen, nyissa meg a Lemezkezelőt, és keresse meg a kötet nevét az oldalsávban. Erre az információra a következő lépésben lesz szüksége.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Az indítólemez feloldásához adja meg a fő jelszót. Ha a rendszer elfogadja a jelszót, a kötet csatlakozik az asztalon.

Közzététel dátuma: