Come utilizzare le chiavi di recupero istituzionali con i Mac basati su Intel

Scopri come creare una chiave di recupero istituzionale (IRK) per sbloccare computer Mac basati su Intel codificati con FileVault e recuperare i dati.

Questo articolo illustra il metodo legacy di creazione di una chiave di recupero istituzionale (IRK) per sbloccare i Mac basati su Intel codificati con FileVault. Se il tuo computer Mac con processore Apple o basato su Intel utilizza MDM, puoi archiviare la chiave di recupero su un server anziché utilizzare una chiave IRK.

Puoi utilizzare una chiave di recupero per consentire agli utenti che non riescono ad accedere con la propria password ai dati codificati con FileVault di accedervi di nuovo. Sui computer Mac basati su Intel, puoi utilizzare una chiave di recupero istituzionale per sbloccare i computer Mac codificati con FileVault e recuperare i dati utilizzando la modalità disco di destinazione.

Creare un portachiavi master FileVault

  1. Apri l'app Terminale sul Mac, quindi inserisci questo comando:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Quando richiesto, inserisci la password master per il nuovo portachiavi, quindi inseriscila di nuovo quando ti viene chiesto di digitarla di nuovo. Terminale non mostra la password durante la digitazione.
  3. Verrà generata una coppia di chiavi e sulla scrivania verrà salvato un file denominato FileVaultMaster.keychain. Copia questo file in un luogo sicuro, come un'immagine disco codificata su un'unità esterna. Questa copia sicura è la chiave di recupero privata in grado di sbloccare il disco di avvio di qualsiasi Mac basato su Intel configurato per utilizzare il portachiavi master FileVault. Non è destinata alla distribuzione. 

Nella sezione seguente, aggiornerai il file FileVaultMaster.keychain che si trova ancora sulla tua scrivania. In seguito potrai distribuire il portachiavi aggiornato ai computer Mac della tua organizzazione.


Rimuovere la chiave privata dal portachiavi master

Dopo aver creato il portachiavi master FileVault, segui questa procedura per prepararne una copia per la distribuzione:

  1. Fai doppio clic sul file FileVaultMaster.keychain sulla scrivania. Si apre l'app Accesso Portachiavi.
  2. Nella barra laterale di Accesso Portachiavi, seleziona FileVaultMaster.
  3. Se il portachiavi FileVaultMaster è bloccato, scegli File > Sblocca portachiavi “FileVaultMaster” dalla barra dei menu, quindi inserisci la password master che hai creato.
  4. Dei due elementi sulla destra, seleziona quello identificato come “chiave privata” nella colonna Tipo:
    Accesso Portachiavi, con FileVault Master Password Key selezionata
  5. Elimina la chiave privata: scegli Modifica > Elimina dalla barra dei menu, inserisci la password master del portachiavi, quindi fai clic su Elimina quando ti viene chiesto di confermare.
  6. Esci da Accesso Portachiavi.

Ora che il portachiavi master sulla scrivania non contiene più la chiave privata, è pronto per essere distribuito.


Distribuire il portachiavi master aggiornato su tutti i Mac

Dopo aver rimosso la chiave privata dal portachiavi, segui questa procedura su tutti i Mac basati su Intel che vuoi poter sbloccare con la chiave privata.

  1. Metti una copia del file FileVaultMaster.keychain aggiornato nella cartella /Libreria/Keychains/ .
  2. Apri l'app Terminale e inserisci entrambi i seguenti comandi. Questi comandi consentono di impostare le autorizzazioni del file su -rw-r--r-- e il file diviene proprietà dell'utente root e viene assegnato al gruppo denominato wheel.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Se FileVault è già attivato, inserisci questo comando in Terminale:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Se FileVault è disattivato, apri le preferenze Sicurezza e Privacy e attiva FileVault. Dovrebbe comparire un messaggio che indica che è stata impostata una chiave di recupero per la tua azienda, scuola o organizzazione. Fai clic su Continua.
    Preferenze Sicurezza e Privacy, con il messaggio sulla chiave di recupero

La procedura è ora terminata. Se un utente dimentica la password dell'account utente macOS e non riesce più ad accedere al suo Mac, puoi utilizzare la chiave privata per sbloccare il disco.


Usare la chiave privata per sbloccare il disco di avvio di un utente

  1. Accendi il Mac che desideri sbloccare tenendo premuto il tasto T.
  2. Quando viene visualizzato il logo Thunderbolt, rilascia il tasto T. 
  3. Collega il Mac a un altro Mac (l'host) utilizzando un cavo Thunderbolt 3 (USB-C).
  4. Quando ti viene chiesto di inserire una password per sbloccare il disco, fai clic su Annulla.
  5. Sul Mac host, collega l'unità esterna che contiene la chiave di recupero privata.
  6. Se hai memorizzato la chiave di recupero privata in un'immagine disco codificata, fai doppio clic sul file per attivare l'immagine e inserisci la password quando richiesto.
  7. Se non conosci il nome del volume di avvio (ad esempio Macintosh HD) sul disco che desideri sbloccare, apri Utility Disco, quindi individua il nome del volume nella barra laterale. Queste informazioni ti serviranno al passaggio successivo.
  8. Apri Terminale, quindi inserisci il comando riportato più avanti per sbloccare il disco di avvio codificato. Sostituisci “nome” con il nome del volume di avvio e /percorso con il percorso del file FileVaultMaster.keychain sull'unità esterna o sull'immagine disco:
    diskutil ap unlockVolume “nome” -recoveryKeychain /percorso
    Esempio per un volume di avvio denominato Macintosh HD e un volume della chiave di recupero denominato ThumbDrive:
    diskutil ap unlockVolume “Macintosh HD” -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. Inserisci la password master per sbloccare il disco di avvio. Se la password viene accettata, il volume viene attivato sulla scrivania.
Data di pubblicazione: