FileVault-visszaállítási kulcs beállítása az intézmény számítógépeihez

Az intézményi visszaállítási kulcs (IRK) lehetővé teszi, hogy visszaállítsa a felhasználók FileVault-titkosítással kódolt adatait, ha ők nem emlékeznek a Mac bejelentkezési jelszavára.

Az alábbi útmutató rendszergazdáknak, illetve a parancssor használatában jártas felhasználóknak szól.

FileVault-főkulcskarika létrehozása

  1. Nyissa meg a Macen a Terminal alkalmazást, és írja be ezt a parancsot:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Amikor a rendszer arra kéri, írja be az új kulcskarikához tartozó főjelszót, majd adja meg újra, amikor a rendszer azt kéri. A Terminal a gépelés közben nem jeleníti meg a jelszót.
  3. Ekkor létrejön egy kulcspár, és a FileVaultMaster.keychain fájlt a rendszer elmenti az asztalon. Másolja ezt a fájlt egy biztonságos helyre, például egy titkosított lemezképre egy külső meghajtón. Ez a biztonságos másolat egy visszaállítási magánkulcs, amely képes bármely, a FileVault főkulcskarika használatára beállított Mac indítólemezét feloldani. Ne ossza meg mással. 

A következő részben a még mindig az asztalon található FileVaultMaster.keychain fájlt fogja frissíteni. Ezt a kulcskarikát telepítheti az intézmény Mac számítógépein.

A magánkulcs eltávolítása a fő kulcskarikából

Miután létrehozta a FileVault-főkulcskarikát, az alábbi lépésekkel előkészíthet egy másolatot belőle a telepítéshez:

  1. Kattintson duplán a FileVaultMaster.keychain fájlra az asztalon. Ekkor megnyílik a Kulcskarika-elérés alkalmazás.
  2. A Kulcskarika-elérés oldalsávján válassza ki a FileVaultMaster elemet. Ha több mint két elemet lát a jobb oldali listában, válasszon ki egy másik kulcskarikát az oldalsávon, majd a lista frissítéséhez válassza ki újra a FileVaultMaster elemet.
  3. Ha a FileVaultMaster kulcskarika zárolva van, kattintson a  elemre a Kulcskarika-elérés bal felső sarkában, majd adja meg a létrehozott főjelszót.
  4. A jobb oldalon megjelenő két elemből válassza ki azt, amelynek a Fajta oszlopban „magánkulcs” a megnevezése:
    Kulcskarika-elérés, amelyben a magán FileVault-főjelszókulcs van kiválasztva
  5. A magánkulcs törlése: Válassza a menüsávon a Szerkesztés > Törlés elemet, adja meg a kulcskarika főjelszavát, majd a megerősítéshez kattintson a Törlés gombra.
  6. Zárja be a Kulcskarika-elérés segédprogramot.

Az asztalon található főkulcskarika már nem tartalmazza a magánkulcsot, és készen áll a telepítésre.

A frissített főkulcskarika telepítése minden Macen

Miután eltávolította a kulcskarikából a magánkulcsot, végezze el az alábbi lépéseket minden olyan Macen, amelyet a magánkulccsal szeretne feloldani.

  1. Helyezzen el egy másolatot a frissített FileVaultMaster.keychain fájlból a /Library/Keychains/ mappába.
  2. Nyissa meg a Terminal alkalmazást, és írja be a következő parancsokat. Ezek a parancsok biztosítják, hogy a fájl engedélyeinek beállítása -rw-r--r--, és a fájl tulajdonosa a root, illetve a „wheel” nevű csoporthoz tartozik.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Ha a FileVault már be van kapcsolva, írja be ezt a parancsot a Terminalba:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Ha a FileVault ki van kapcsolva, nyissa meg a Biztonság és adatvédelem beállításokat, és kapcsolja be a FileVault funkciót. Ekkor meg kell jelennie egy üzenetnek, amely szerint a vállalat, az iskola vagy az intézmény beállított egy visszaállítási kulcsot. Kattintson a Folytatás gombra.
    Biztonság és adatvédelem beállítások, amelyben a Visszaállítási kulcsra vonatkozó üzenet látható

Ezzel befejezte a folyamatot. Ha egy felhasználó elfelejti a macOS-felhasználói fiók jelszavát, és nem tud bejelentkezni a Mac számítógépbe, a magánkulccsal feloldhatja a lemez zárolását.

 

A felhasználó indítólemezének feloldása a magánkulccsal

Ha egy felhasználó elfelejtette a fiók jelszavát, és nem tud bejelentkezni a Mac számítógépbe, a visszaállítási magánkulccsal feloldhatja az indítólemezt, és hozzáférhet a FileVault-titkosítással kódolt adatokhoz.

  1. A kliens Macen indításkor nyomja le a Command+R billentyűket, és végezzen rendszerindítást a macOS Visszaállításból.
  2. Ha nem ismeri az indítólemez nevét (például Macintosh HD) és formátumát, nyissa meg a macOS Segédprogramok ablakában a Lemezkezelőt, majd ellenőrizze, hogy a Lemezkezelő milyen adatokat jelenít meg az adott kötetre vonatkozóan a jobb oldalon. Ha a „CoreStorage Logical Volume Group” jelenik meg az „APFS Volume” vagy a „Mac OS kiterjesztett” helyett, a formátum Mac OS kiterjesztett. Erre az információra egy későbbi lépésben lesz szüksége. Amikor befejezte a műveletet, lépjen ki a Lemezkezelőből.
  3. Csatlakoztassa a visszaállítási magánkulcsot tartalmazó külső meghajtót.
  4. A macOS Visszaállítás menüsávján válassza ki a Segédprogramok > Terminal elemet.
  5. Ha a visszaállítási magánkulcsot egy titkosított lemezképen tárolta, a Terminalba írja be a következő parancsot a kép csatolásához. A /path elem helyére írja be a lemezképre mutató útvonalat, a .dmg fájlnévkiterjesztéssel együtt:
    hdiutil attach /path
    
    Példa egy PrivateKey.dmg nevű lemezképhez, amely egy ThumbDrive elnevezésű köteten helyezkedik el:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. A FileVault-főkulcskarika feloldásához használja a következő parancsot. A /path elem helyére írja be a külső meghajtón a FileVaultMaster.keychain fájlra mutató útvonalat. Ha a kulcskarikát egy titkosított lemezképen tárolta, ne felejtse el az adott kép nevét az útvonalba belefoglalni ebben, és az összes későbbi lépésben.
    security unlock-keychain /path
    
    Példa egy ThumbDrive elnevezésű kötettel:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Az indítólemez feloldásához adja meg a főjelszót. Ha a rendszer elfogadja a jelszót, a parancssor újból megjelenik.

Folytassa az alábbiak szerint, a felhasználói indítólemez formázásának megfelelően.

APFS

 Ha az indítólemez APFS fájlrendszerrel formázott, végezze el az alábbi, kiegészítő lépéseket:

  1. A titkosított indítólemez feloldásához adja meg a következő parancsot. A "name" elem helyére írja be a rendszerindító kötet nevét, és a/path elemet cserélje le a külső meghajtón vagy a lemezképen a FileVaultMaster.keychain fájlra mutató útvonalra:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Példa egy Macintosh HD elnevezésű rendszerindító kötetre és egy ThumbDrive elnevezésű, visszaállítási kulcsot tartalmazó kötetre:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. A kulcskarika feloldásához és az indítólemez csatolásához adja meg a főjelszót.
  3. Ha biztonsági mentést szeretne végezni a lemez adatairól, használjon olyan parancssori eszközöket, mint a ditto, vagy lépjen ki a Terminalból, és használja a Lemezkezelőt.

Mac OS kiterjesztett (HFS Plus)

Ha az indítólemez Mac OS kiterjesztett fájlrendszerrel formázott, végezze el az alábbi, kiegészítő lépéseket:

  1. A meghajtók és a CoreStorage-kötetek listájának megjelenítéséhez írja be ezt a parancsot:
    diskutil cs list
    
  2. Válassza ki a „Logikaikötet-csoport” után megjelenő UUID-t, és másolja át egy későbbi lépéshez.
    Példa: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. A titkosított indítólemez feloldásához használja a következő parancsot. Az UUID elem helyére írja be az előző lépésben átmásolt UUID-t, és a/path elemet cserélje le a külső meghajtón vagy a lemezképen a FileVaultMaster.keychain fájlra mutató útvonalra:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Példa egy ThumbDrive elnevezésű, visszaállítási kulcsot tartalmazó kötettel:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. A kulcskarika feloldásához és az indítólemez csatolásához adja meg a főjelszót.
  5. Ha biztonsági mentést szeretne végezni a lemez adatairól, használjon olyan parancssori eszközöket, mint a ditto. Vagy lépjen ki a Terminalból, és használja a Lemezkezelőt. Vagy használja a következő parancsot a feloldott lemez titkosításának feloldásához, és végezzen arról lemezindítást. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Példa egy ThumbDrive elnevezésű, visszaállítási kulcsot tartalmazó kötettel:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Közzététel dátuma: