Institucionālo atkopšanas atslēgu izmantošana Mac datoros ar Intel procesoru
Uzziniet, kā izveidot institucionālu atkopšanas atslēgu (IAA), lai atbloķētu FileVault šifrētus Mac datorus ar Intel procesoru un atkoptu datus.
Šajā rakstā ir sniegta informācija par metodi darbam ar vecākiem produktiem: institucionālas atkopšanas atslēgas (IAA) izveidi, lai atbloķētu FileVault šifrētus Mac datorus ar Intel procesoru. Ja Mac datorā ar Apple mikroshēmu vai Mac datorā ar Intel procesoru darbojas MDM, varat glabāt atkopšanas atslēgu serverī, nevis izmantot IAA.
Varat izmantot atkopšanas atslēgu, lai atgūtu piekļuvi FileVault šifrētiem tādu lietotāju datiem, kuri nevar piekļūt datiem ar savu paroli. Mac datoros ar Intel procesoru varat izmantot institucionālo atkopšanas atslēgu, lai atbloķētu FileVault šifrētus Mac datorus un atkoptu datus, izmantojot mērķa diska režīmu.
FileVault galvenās atslēgas ķēdes izveide
Mac datorā atveriet lietotni Terminal un pēc tam ievadiet šādu komandu:
security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
Pēc uzaicinājuma ievadiet jaunās atslēgas ķēdes galveno paroli un, kad tiek parādīts uzaicinājums ierakstīt paroli atkārtoti, ievadiet to vēlreiz. Lietotne Terminal rakstīšanas laikā nerāda paroli.
Tiek izveidots atslēgu pāris, un darbvirsmā tiek saglabāts fails ar nosaukumu FileVaultMaster.keychain. Kopējiet šo failu drošā vietā, piemēram, šifrētā diska attēlā ārējā diskā. Šī drošā kopija ir privātā atkopšanas atslēga, ar kuru var atbloķēt startēšanas disku jebkurā Mac datorā ar Intel procesoru, kas ir iestatīts izmantot FileVault galveno atslēgas ķēdi. Tā nav paredzēta izplatīšanai.
Nākamajā sadaļā jūs atjaunināsiet failu FileVaultMaster.keychain, kas joprojām atrodas darbvirsmā. Šo atslēgas ķēdi varat izvietot Mac datoros savā organizācijā.
Privātās atslēgas noņemšana no galvenās atslēgas ķēdes
Pēc FileVault galvenās atslēgas ķēdes izveides veiciet tālāk aprakstītās darbības, lai sagatavotu tās kopiju izvietošanai.
Darbvirsmā veiciet dubultklikšķi uz faila FileVaultMaster.keychain. Tiek atvērta lietotne Keychain Access.
Lietotnes Keychain Access sānjoslā atlasiet FileVaultMaster.
Ja FileVaultMaster atslēgas ķēde ir bloķēta, izvēļņu joslā izvēlieties File (Fails) > Unlock Keychain “FileVaultMaster” (Atbloķēt atslēgas ķēdi “FileVaultMaster”) un pēc tam ievadiet izveidoto galveno paroli.
No diviem labajā pusē parādītajiem vienumiem izvēlieties to, kuram kolonnā Kind (Veids) ir norādīts “private key” (“privātā atslēga”)
Izdzēsiet privāto atslēgu: izvēļņu joslā izvēlieties Edit (Rediģēt) > Delete (Dzēst), ievadiet atslēgas ķēdes galveno paroli un pēc tam, kad tiek lūgts apstiprinājums, noklikšķiniet uz Delete (Dzēst).
Aizveriet lietotni Keychain Access.
Tagad galvenajā atslēgas ķēdē darbvirsmā vairs nav privātās atslēgas, un tā ir gatava izvietošanai.
Atjauninātās galvenās atslēgas ķēdes izvietošana katrā Mac datorā
Pēc privātās atslēgas izņemšanas no atslēgas ķēdes veiciet tālāk aprakstītās darbības katrā Mac datorā ar Intel procesoru, kuru vēlaties atbloķēt, izmantojot privāto atslēgu.
Ievietojiet atjauninātā faila FileVaultMaster.keychain kopiju mapē /Library/Keychains/.
Atveriet lietotni Terminal un ievadiet abas tālāk norādītās komandas. Šīs komandas nodrošina, lai faila atļauju iestatījumi būtu
-rw-r--r--
and the file is owned by root and assigned to the group named wheel.sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
Ja funkcija FileVault jau ir ieslēgta, ievadiet lietotnē Terminal šādu komandu:
sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
Ja funkcija FileVault ir izslēgta, atveriet preferenču sadaļu Security & Privacy (Drošība un privātums) un ieslēdziet FileVault. Ir jābūt redzamam ziņojumam, kurā norādīts, ka atkopšanas atslēgu ir iestatījis jūsu uzņēmums, mācību iestāde vai organizācija. Noklikšķiniet uz Continue (Turpināt).
Līdz ar to process ir pabeigts. Ja lietotājs aizmirst sava macOS lietotāja konta paroli un nevar pieteikties Mac datorā, varat izmantot privāto atslēgu, lai atbloķētu disku.
Privātās atslēgas izmantošana, lai atbloķētu lietotāja startēšanas disku
Ieslēdziet Mac datoru, kuru vēlaties atbloķēt, turot nospiestu taustiņu T.
Kad tiek parādīts Thunderbolt logotips, atlaidiet taustiņu T.
Savienojiet Mac datoru ar citu Mac datoru (resursdatoru), izmantojot Thunderbolt 3 (USB-C) kabeli.
Kad tiek parādīts uzaicinājums ievadīt paroli diska atbloķēšanai, noklikšķiniet uz Cancel (Atcelt).
Mac resursdatoram pievienojiet ārējo disku, kurā ir privātā atkopšanas atslēga.
Ja privāto atkopšanas atslēgu esat saglabājis šifrētā diska attēlā, veiciet dubultklikšķi uz faila, lai pievienotu attēlu, un pēc uzaicinājuma ievadiet paroli.
Ja nezināt startēšanas sējuma nosaukumu (piemēram, Macintosh HD), diskā, kuru vēlaties atbloķēt, atveriet Disk Utility (Diska utilītprogramma) un sānjoslā atrodiet sējuma nosaukumu. Šī informācija būs nepieciešama nākamajā darbībā.
diskutil ap unlockVolume "name" -recoveryKeychain /path
Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:
diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Ievadiet galveno paroli, lai atbloķētu startēšanas disku. Ja parole tiek pieņemta, sējums tiek uzstādīts darbvirsmā.