Questo articolo è stato archiviato e non viene più aggiornato da Apple.

Come utilizzare le chiavi di recupero istituzionali con i Mac con processore Intel

Scopri come creare una chiave di recupero istituzionale (IRK, Institutional Recovery Key) per sbloccare i computer Mac con processore Intel crittografati tramite FileVault e recuperare i dati.

Questo articolo illustra il metodo legacy per creare una chiave di recupero istituzionale (IRK) per sbloccare i Mac con processore Intel crittografati tramite FileVault. Se il tuo computer Mac con processore Apple o processore Intel utilizza MDM, puoi eseguire l'escrow della chiave di recupero su un server anziché utilizzare una chiave IRK.

Puoi utilizzare una chiave di recupero per consentire agli utenti che non riescono ad accedere con la propria password ai dati crittografati tramite FileVault di ottenere nuovamente l'accesso a tali dati. Sui computer Mac con processore Intel, puoi utilizzare una chiave di recupero istituzionale per sbloccare i computer Mac crittografati tramite FileVault e recuperare i dati utilizzando la modalità disco di destinazione.

Creare un portachiavi master FileVault

  1. Apri l'app Terminale sul Mac, poi inserisci questo comando:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. Quando richiesto, inserisci la password master per il nuovo portachiavi, poi inseriscila di nuovo quando ti viene chiesto di farlo. Terminale non mostra la password durante la digitazione.

  3. Verrà generata una coppia di chiavi e sulla scrivania verrà salvato un file denominato FileVaultMaster.keychain. Copia questo file in una posizione sicura, come un'immagine disco crittografata su un'unità esterna. Questa copia sicura è la chiave di recupero privata in grado di sbloccare il disco di avvio di qualsiasi Mac con processore Intel configurato per utilizzare il portachiavi master FileVault. Non è destinata alla distribuzione.

Nella sezione seguente, aggiornerai il file FileVaultMaster.keychain che si trova ancora sulla tua scrivania. In seguito potrai distribuire il portachiavi aggiornato ai computer Mac della tua organizzazione.

Rimuovere la chiave privata dal portachiavi master

Dopo aver creato il portachiavi master FileVault, segui questa procedura per prepararne una copia per la distribuzione:

  1. Fai doppio clic sul file FileVaultMaster.keychain sulla scrivania. Si apre l'app Accesso Portachiavi.

  2. Nella barra laterale di Accesso Portachiavi, seleziona FileVaultMaster.

  3. Se il portachiavi FileVaultMaster è bloccato, scegli File > Sblocca portachiavi “FileVaultMaster” dalla barra dei menu e poi inserisci la password master che hai creato.

  4. Tra i due elementi mostrati sulla destra, seleziona quello identificato come “chiave privata” nella colonna Tipo:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. Elimina la chiave privata: scegli Modifica > Elimina dalla barra dei menu, inserisci la password master del portachiavi, poi fai clic su Elimina quando ti viene chiesto di confermare.

  6. Esci da Accesso Portachiavi.

Ora che il portachiavi master sulla scrivania non contiene più la chiave privata, è pronto per essere distribuito.

Distribuire il portachiavi master aggiornato su tutti i Mac

Dopo aver rimosso la chiave privata dal portachiavi, segui questa procedura su ciascun Mac con processore Intel che vuoi poter sbloccare con la tua chiave privata.

  1. Metti una copia del file FileVaultMaster.keychain aggiornato nella cartella /Libreria/Keychains/.

  2. Apri l'app Terminale e inserisci entrambi i seguenti comandi. Questi comandi consentono di far sì che le autorizzazioni del file siano impostate su-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Se FileVault è già attivo, inserisci questo comando in Terminale:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Se FileVault è disattivato, apri le preferenze Sicurezza e Privacy e attiva FileVault. Dovrebbe comparire un messaggio che indica che è stata impostata una chiave di recupero per la tua azienda, scuola o organizzazione. Fai clic su Continua.

    Security & Privacy preferences, showing the Recovery Key message

La procedura è ora terminata. Se un utente dimentica la password dell'account utente macOS e non riesce più ad accedere al suo Mac, puoi utilizzare la chiave privata per sbloccarne il disco.

Usare la chiave privata per sbloccare il disco di avvio di un utente

  1. Accendi il Mac che desideri sbloccare tenendo premuto il tasto T.

  2. Quando viene visualizzato il logo Thunderbolt, rilascia il tasto T.

  3. Collega il Mac a un altro Mac (l'host) utilizzando un cavo Thunderbolt 3 (USB-C).

  4. Quando ti viene chiesto di inserire una password per sbloccare il disco, fai clic su Annulla.

  5. Sul Mac host, collega l'unità esterna che contiene la chiave di recupero privata.

  6. Se hai memorizzato la chiave di recupero privata in un'immagine disco crittografata, fai doppio clic sul file per attivare l'immagine e inserisci la password quando richiesto.

  7. Se non conosci il nome del volume di avvio (ad esempio Macintosh HD) sul disco che desideri sbloccare, apri Utility Disco e poi individua il nome del volume nella barra laterale. Queste informazioni ti serviranno al passaggio successivo.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Inserisci la password master per sbloccare il disco di avvio. Se la password viene accettata, il volume viene attivato sulla scrivania.

Data di pubblicazione: