Menetapkan kode pemulihan FileVault untuk komputer di institusi Anda

IRK (kode pemulihan institusional) memungkinkan Anda memulihkan data terenkripsi FileVault pengguna Anda saat mereka tidak dapat mengingat sandi masuk Mac.

Langkah-langkah lanjutan berikut adalah untuk administrator sistem dan pengguna lainnya yang memahami baris perintah.

Buat rantai kunci master FileVault

  1. Buka app Terminal di Mac, lalu masukkan perintah berikut:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Masukkan sandi master untuk rantai kunci baru saat diminta, lalu masukkan lagi saat diminta menulis ulang. Terminal tidak menampilkan kata sandi saat diketik.
  3. Pasangan kode akan dihasilkan, lalu file bernama FileVaultMaster.keychain akan disimpan di desktop. Salin file ini ke lokasi yang aman, seperti citra disk terenkripsi pada hard disk eksternal. Salinan aman ini adalah kode pemulihan pribadi yang dapat membuka kunci disk mulai dari setiap konfigurasi Mac untuk menggunakan rantai kunci master FileVault. Salinan ini tidak untuk didistribusikan. 

Pada bagian berikutnya, Anda akan memperbarui file FileVaultMaster.keychain yang masih ada di desktop. Setelah itu, Anda dapat menyebarkan rantai kunci tersebut ke komputer Mac di institusi Anda.

Menghapus kode pribadi dari rantai kunci master

Setelah membuat rantai kunci master FileVault, ikuti langkah-langkah berikut agar dapat menyiapkan salinannya untuk penyebaran:

  1. Klik dua kali file FileVaultMaster.keychain di desktop. App Akses Rantai Kunci akan terbuka.
  2. Pada bar samping Akses Rantai Kunci, pilih FileVaultMaster. Jika Anda melihat lebih dari dua item tercantum di sebelah kanan, pilih rantai kunci lainnya pada bar samping, lalu pilih FileVaultMaster lagi untuk me-refresh daftar.
  3. Jika rantai kunci FileVaultMaster terkunci, klik  di sudut kiri atas Akses Rantai Kunci, lalu masukkan sandi master yang telah Anda buat.
  4. Dari dua item yang ditampilkan di sisi kanan, pilih salah satu yang teridentifikasi sebagai ”kode pribadi” pada kolom Jenis:
    Akses Rantai Kunci, menampilkan FileVault Master Password Key pribadi yang dipilih
  5. Menghapus kode pribadi: Pilih Edit >Hapus dari bar menu, masukkan sandi master rantai kunci, lalu klik Hapus saat diminta untuk konfirmasi.
  6. Tutup Akses Rantai Kunci.

Setelah rantai kunci master di desktop Anda tidak lagi berisi kode pribadi, maka siap untuk disebarkan.

Sebarkan rantai kunci master yang telah diperbarui ke setiap Mac

Setelah menghapus kode pribadi dari rantai kunci, ikuti langkah berikut ini di setiap Mac yang akan Anda buka kuncinya dengan kode pribadi.

  1. Tempatkan salinan file FileVaultMaster.keychain yang telah diperbarui dalam folder /Pustaka/Rantai Kunci/.
  2. Buka app Terminal, lalu masukkan kedua perintah di bawah ini. Perintah tersebut akan memastikan bahwa izin file diatur ke -rw-r--r-- dan file dimiliki oleh root serta ditetapkan ke grup bernama wheel.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Jika FileVault diaktifkan, masukkan perintah ini di Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Jika FileVault dinonaktifkan, buka preferensi Keamanan & Privasi, lalu aktifkan FileVault. Anda akan melihat pesan bahwa kode pemulihan telah ditetapkan oleh perusahaan, sekolah, atau institusi Anda. Klik Lanjut.
    Preferensi Keamanan & Privasi, menampilkan pesan Kode Pemulihan

Ini menunjukkan bahwa proses telah selesai. Jika pengguna lupa sandi akun pengguna macOS dan tidak dapat masuk ke Mac, Anda dapat menggunakan kode pribadi untuk membuka kunci disk mereka.

 

Gunakan kode pribadi untuk membuka kunci disk mulai pengguna

Jika pengguna lupa sandi akun dan tidak dapat masuk ke Mac, Anda dapat menggunakan kode pemulihan pribadi untuk membuka kunci disk mulai mereka dan mengakses data terenkripsi FileVault.

  1. Pada Mac klien, mulai dari Pemulihan macOS dengan menahan Command-R saat proses mulai.
  2. Jika Anda tidak tahu nama (seperti Macintosh HD) dan format disk mulai, buka Utilitas Disk dari jendela Utilitas macOS, lalu lihat informasi Utilitas Disk yang ditampilkan untuk volume tersebut di sisi kanan. Jika Anda melihat ”CoreStorage Logical Volume Group”, bukan ”APFS Volume” atau ”Mac OS Extended,” berarti formatnya adalah Mac OS Extended. Anda akan memerlukan informasi ini pada langkah berikutnya. Tutup Utilitas Disk setelah selesai.
  3. Sambungkan hard disk eksternal yang berisi kode pemulihan pribadi.
  4. Dari bar menu dalam Pemulihan macOS, pilih Utilitas > Terminal.
  5. Jika Anda menyimpan kode pemulihan pribadi dalam citra disk terenkripsi, gunakan perintah berikut di Terminal untuk memasang citra tersebut. Ganti /path dengan jalur ke citra disk, termasuk ekstensi nama file .dmg:
    hdiutil attach /path
    
    Contoh citra disk bernama PrivateKey.dmg pada volume bernama ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Gunakan perintah berikut untuk membuka rantai kunci master FileVault. Ganti /path dengan jalur ke FileVaultMaster.keychain di hard disk eksternal. Pada langkah ini dan seluruh langkah berikutnya, jika rantai kunci disimpan di citra disk terenkripsi, pastikan untuk menyertakan nama citra tersebut dalam jalur.
    security unlock-keychain /path
    
    Contoh volume bernama ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Masukkan sandi master untuk membuka kunci disk mulai. Jika sandi diterima, prompt perintah akan ditampilkan kembali.

Lanjutkan sebagaimana dijelaskan di bawah ini, sesuai bagaimana disk mulai pengguna diformat.

APFS

 Jika disk mulai diformat untuk APFS, selesaikan langkah tambahan berikut:

  1. Masukkan perintah berikut untuk membuka kunci disk mulai terenkripsi. Ganti "nama" dengan nama volume mulai, lalu ganti/path dengan jalur ke FileVaultMaster.keychain di hard disk eksternal atau citra disk.
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Contoh volume bernama Macintosh HD dan volume yang berisi kode pemulihan bernama ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Masukkan sandi master untuk membuka rantai kunci dan memasang disk mulai.
  3. Gunakan alat baris perintah seperti ditto untuk mencadangkan data pada disk, atau tutup Terminal dan gunakan Utilitas Disk.

Mac OS Extended (HFS Plus)

Jika disk mulai diformat untuk Mac OS Extended, selesaikan langkah tambahan berikut:

  1. Masukkan perintah ini untuk mendapatkan daftar drive dan volume CoreStorage:
    diskutil cs list
    
  2. Pilih UUID yang ditampilkan setelah “Volume Logis,” lalu salin untuk digunakan pada langkah berikutnya.
    Contoh: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. Gunakan perintah berikut untuk membuka kunci disk mulai terenkripsi. Ganti UUID dengan UUID yang disalin pada langkah sebelumnya, lalu ganti/path dengan jalur ke FileVaultMaster.keychain di hard disk eksternal atau citra disk.
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Contoh volume berisi kode pemulihan bernama ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Masukkan sandi master untuk membuka rantai kunci dan memasang disk mulai.
  5. Gunakan alat baris perintah seperti ditto untuk mencadangkan data pada disk. Atau Tutup Terminal, lalu gunakan Utilitas Disk. Atau gunakan perintah berikut untuk mendekripsi disk yang terkunci dan memulai dari disk tersebut. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Contoh volume berisi kode pemulihan bernama ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Tanggal Dipublikasikan: