Impostare una chiave di recupero FileVault per i computer nel tuo istituto

Una chiave di recupero istituzionale (IRK) consente di recuperare i dati codificati con FileVault degli utenti nel caso in cui non ricordino la password di login del Mac.

Questi passaggi avanzati sono destinati agli amministratori di sistema e a chi ha familiarità con la riga di comando.

Creare un portachiavi master FileVault

  1. Apri l'app Terminale sul Mac, quindi inserisci questo comando:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Quando richiesto, inserisci la password master per il nuovo portachiavi, quindi inseriscila di nuovo quando ti viene chiesto di digitarla di nuovo. Terminale non mostra la password durante la digitazione.
  3. Verrà generata una coppia di chiavi e sulla scrivania verrà salvato un file denominato FileVaultMaster.keychain. Copia questo file in un luogo sicuro, come un'immagine disco codificata su un'unità esterna. Questa copia sicura è la chiave di recupero privata in grado di sbloccare il disco di avvio di qualsiasi Mac configurato per utilizzare il portachiavi master FileVault. Non è destinata alla distribuzione. 

Nella sezione seguente, aggiornerai il file FileVaultMaster.keychain che si trova ancora sulla tua scrivania. In seguito potrai distribuire il portachiavi aggiornato ai computer Mac del tuo istituto.

Rimuovere la chiave privata dal portachiavi master

Dopo aver creato il portachiavi master FileVault, segui questa procedura per prepararne una copia per la distribuzione:

  1. Fai doppio clic sul file FileVaultMaster.keychain sulla scrivania. Si apre l'app Accesso Portachiavi.
  2. Nella barra laterale di Accesso Portachiavi, seleziona FileVaultMaster. Nel caso vi siano più di due elementi nell'elenco sulla destra, seleziona un altro portachiavi nella barra laterale, quindi seleziona di nuovo FileVaultMaster per aggiornare l'elenco.
  3. Se il portachiavi FileVaultMaster è bloccato, fai clic su  nell'angolo in alto a sinistra di Accesso Portachiavi, quindi inserisci la password master che hai creato.
  4. Dei due elementi sulla destra, seleziona quello identificato come “chiave privata” nella colonna Tipo:
    Accesso Portachiavi, con FileVault Master Password Key selezionata
  5. Elimina la chiave privata: scegli Modifica > Elimina dalla barra dei menu, inserisci la password master del portachiavi, quindi fai clic su Elimina quando ti viene chiesto di confermare.
  6. Esci da Accesso Portachiavi.

Ora che il portachiavi master sulla scrivania non contiene più la chiave privata, è pronto per essere distribuito.

Distribuire il portachiavi master aggiornato su tutti i Mac

Dopo aver rimosso la chiave privata dal portachiavi, segui questa procedura su tutti i Mac che vuoi poter sbloccare con la chiave privata.

  1. Metti una copia del file FileVaultMaster.keychain aggiornato nella cartella /Libreria/Keychains/ .
  2. Apri l'app Terminale e inserisci entrambi i seguenti comandi. Questi comandi consentono di impostare le autorizzazioni del file su -rw-r--r-- e il file diviene proprietà dell'utente root e viene assegnato al gruppo denominato wheel.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Se FileVault è già attivato, inserisci questo comando in Terminale:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Se FileVault è disattivato, apri le preferenze Sicurezza e Privacy e attiva FileVault. Dovrebbe comparire il messaggio “È stata impostata una chiave di recupero per la tua azienda, scuola o istituzione”. Fai clic su Continua.
    Preferenze Sicurezza e Privacy, con il messaggio sulla chiave di recupero

La procedura è ora terminata. Se un utente dimentica la password dell'account utente macOS e non riesce più ad accedere al suo Mac, puoi utilizzare la chiave privata per sbloccare il disco.

 

Usare la chiave privata per sbloccare il disco di avvio di un utente

Se un utente dimentica la password del suo account e non riesce ad accedere al suo Mac, puoi utilizzare la chiave di recupero privata per sbloccarne il disco di avvio e accedere ai dati codificati con FileVault.

  1. Sul client Mac, esegui l'avvio da macOS Recovery tenendo premuti i tasti Comando-R durante l'avvio.
  2. Se non conosci il nome (come Macintosh HD) e il formato del disco di avvio, apri Utility Disco dalla finestra Utility macOS e controlla sulla destra le informazioni di Utility Disco relative al volume. Se vedi “Gruppo volume logico CoreStorage” invece di “Volume APFS” o “Mac OS esteso”, il formato è Mac OS esteso. Queste informazioni ti serviranno più avanti. Al termine esci da Utility Disco.
  3. Collega l'unità esterna contenente la chiave di recupero privata.
  4. Dalla barra dei menu in macOS Recovery, scegli Utility > Terminale.
  5. Se hai memorizzato la chiave di recupero privata in un'immagine disco codificata, usa il seguente comando in Terminale per attivare tale immagine. Sostituisci /path con il percorso dell'immagine disco, comprensivo dell'estensione del file .dmg:
    hdiutil attach /path
    
    Esempio di immagine disco denominata PrivateKey.dmg su un volume denominato ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Usa il seguente comando per sbloccare il portachiavi master FileVault. Sostituisci /path con il percorso del file FileVaultMaster.keychain sull'unità esterna. In questo passaggio e in quelli seguenti, se il portachiavi è archiviato in un immagine disco codificata, ricordati di includere il nome dell'immagine nel percorso.
    security unlock-keychain /path
    
    Esempio per un volume denominato ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Inserisci la password master per sbloccare il disco di avvio. Se la password viene accettata, compare di nuovo il prompt dei comandi.

Continua come descritto di seguito, in base al tipo di formattazione del disco di avvio dell'utente.

APFS

 Se il formato del disco di avvio è APFS, completa questi passaggi aggiuntivi:

  1. Inserisci il seguente comando per sbloccare il disco di avvio codificato. Sostituisci “name” con il nome del volume di avvio e /path con il percorso del file FileVaultMaster.keychain nell'unità esterna o nell'immagine disco:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Esempio per un volume di avvio denominato Macintosh HD e un volume della chiave di recupero denominato ThumbDrive:
    diskutil ap unlockVolume “Macintosh HD” -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Inserisci la password master per sbloccare il portachiavi e attivare il disco di avvio.
  3. Usa uno degli strumenti della riga di comando, come ditto, per eseguire il backup dei dati sul disco; in alternativa, puoi uscire da Terminale e usare Utility Disco.

Mac OS esteso (HFS Plus)

Se il formato del disco di avvio è Mac OS esteso, completa questi passaggi aggiuntivi:

  1. Inserisci questo comando per ottenere un elenco delle unità e dei volumi CoreStorage:
    diskutil cs list
    
  2. Seleziona l'UUID visualizzato dopo “Volume logico”, quindi copialo per usarlo in uno dei passaggi successivi.
    Esempio: +-> Volume logico 2F227AED-1398-42F8-804D-882199ABA66B
  3. Usa il seguente comando per sbloccare il disco di avvio codificato. Sostituisci UUID con l'UUID copiato al passaggio precedente e sostituisci /path con il percorso del file FileVaultMaster.keychain nell'unità esterna o nell'immagine disco:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Esempio per un volume della chiave di recupero denominato ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Inserisci la password master per sbloccare il portachiavi e attivare il disco di avvio.
  5. Usa uno degli strumenti della riga di comando, come ditto, per eseguire il backup dei dati sul disco; in alternativa, puoi uscire da Terminale e usare Utility Disco. Oppure, usa il seguente comando per decodificare il disco sbloccato e utilizzarlo per eseguire l'avvio. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Esempio per un volume della chiave di recupero denominato ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Data di pubblicazione: