IRK's gebruiken op Intel-Mac-computers

Lees hier hoe u een IRK (Institutional Recovery Key, herstelcode van organisatie) maakt om met FileVault versleutelde Intel-Mac-computers te ontgrendelen en gegevens te herstellen.

Dit artikel behandelt de inmiddels verouderde methode voor het maken van een IRK om met FileVault versleutelde Intel-Mac-computers te ontgrendelen. Als uw Mac-computer met Apple Silicon of uw Intel-Mac gebruikmaakt van MDM, kunt u de herstelcode in bewaring geven op een server in plaats van een IRK te gebruiken.

Met een herstelcode kunt u weer toegang krijgen tot met FileVault versleutelde gegevens voor gebruikers die met hun wachtwoord geen toegang tot de gegevens hebben. Op Intel-Mac-computers kunt u een IRK gebruiken om met FileVault versleutelde Mac-computers te ontgrendelen en gegevens te herstellen met behulp van de doelschijfmodus.

Een hoofdsleutelhanger voor FileVault aanmaken

  1. Open de Terminal-app op uw Mac en voer dit commando in:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Wanneer u daarom wordt gevraagd, voert u het hoofdwachtwoord in voor de nieuwe sleutelhanger. Voer dit nogmaals in wanneer u daarom wordt gevraagd. Terminal geeft het wachtwoord niet weer wanneer u het typt.
  3. Er wordt een sleutelpaar aangemaakt en er wordt een bestand met de naam 'FileVaultMaster.keychain' bewaard op uw bureaublad. Kopieer dit bestand naar een veilige locatie, bijvoorbeeld een versleutelde schijfkopie op een externe schijf. Deze beveiligde kopie vormt de private herstelcode waarmee de opstartschijf wordt ontgrendeld van alle Intel-Mac-computers waarop het gebruik van de FileVault-hoofdsleutelhanger is geconfigureerd. Het is niet de bedoeling dat deze aan gebruikers wordt uitgedeeld.

In het volgende gedeelte gaat u het bestand 'FileVaultMaster.keychain' op uw bureaublad bijwerken. Vervolgens kunt u deze sleutelhanger implementeren op Mac-computers in uw organisatie.


De persoonlijke code verwijderen uit de hoofdsleutelhanger

Na aanmaak van de FileVault-hoofdsleutelhanger volgt u deze stappen om er een implementatiekopie van te maken:

  1. Klik dubbel op het bestand 'FileVaultMaster.keychain' op het bureaublad. De app Sleutelhangertoegang wordt geopend.
  2. In de navigatiekolom van Sleutelhangertoegang selecteert u 'FileVaultMaster'.
  3. Als de FileVaultMaster-sleutelhanger is vergrendeld, kiest u 'Archief' > 'Ontgrendel sleutelhanger 'FileVaultMaster' in de menubalk en voert u het hoofdwachtwoord in dat u hebt aangemaakt.
  4. Rechts staan twee vermeldingen. Selecteer de vermelding waarbij 'Private sleutel' staat in de kolom 'Soort':
    Sleutelhangertoegang, met de private FileVault-hoofdwachtwoordsleutel geselecteerd
  5. Verwijder de private sleutel: kies in de menubalk 'Wijzig' > 'Verwijder', geef het hoofdwachtwoord van de sleutelhanger op en klik ter bevestiging op 'Verwijder'.
  6. Stop Sleutelhangertoegang.

De hoofdsleutelhanger op het bureaublad bevat nu geen private sleutel meer en is klaar voor implementatie.


De bijgewerkte hoofdsleutelhanger implementeren op alle Macs

Nadat u de private sleutel uit de sleutelhanger hebt verwijderd, volgt u deze stappen op alle Intel-Mac-computers die u met uw private sleutel wilt kunnen ontgrendelen.

  1. Zet een kopie van de bijgewerkte versie van het bestand 'FileVaultMaster.keychain' in de map '/Bibliotheek/Keychains/'.
  2. Open de Terminal-app en voer de volgende twee commando's in. Deze commando's zorgen ervoor dat de bevoegdheden van het bestand worden ingesteld op -rw-r--r--, dat 'root' de eigenaar wordt van het bestand en dat het bestand wordt toegewezen aan de groep 'wheel'.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Als FileVault al is ingeschakeld, voert u in Terminal dit commando in:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Als FileVault is uitgeschakeld, opent u het voorkeurenpaneel 'Beveiliging en privacy' en schakelt u FileVault in. U ziet nu een bericht dat er een herstelcode is ingesteld door uw bedrijf, school of organisatie. Klik op 'Ga door'.
    Voorkeurenpaneel 'Beveiliging en privacy' met het bericht over herstelcode

Hiermee is de procedure afgerond. Als een gebruiker het wachtwoord van zijn of haar macOS-gebruikersaccount niet meer weet en niet kan inloggen bij de Mac, kunt u de schijf ontgrendelen met de private sleutel.


De private sleutel gebruiken om de opstartschijf van een gebruiker te ontgrendelen

  1. Start de Mac die u wilt ontgrendelen, en houd daarbij de T-toets ingedrukt.
  2. Zodra u het Thunderbolt-logo ziet, laat u de T-toets los. 
  3. Verbind de Mac met een andere Mac (de host) met behulp van een Thunderbolt 3-kabel (USB-C).
  4. Als u wordt gevraagd om een wachtwoord in te voeren om de schijf te ontgrendelen, klikt u op 'Annuleer'.
  5. Sluit op de host-Mac de externe schijf aan waarop de private herstelcode zich bevindt.
  6. Als u de private herstelcode hebt bewaard in een versleutelde schijfkopie, dubbelklikt u op het bestand om de schijfkopie te activeren en voert u het wachtwoord in wanneer daarom wordt gevraagd.
  7. Als u de naam van het opstartvolume (bijvoorbeeld 'Macintosh HD') op de schijf die u wilt ontgrendelen niet weet, opent u Schijfhulpprogramma en zoekt u de volumenaam op in de navigatiekolom. U hebt deze informatie nodig bij de volgende stap.
  8. Open Terminal en voer vervolgens het volgende commando in om de versleutelde opstartschijf te ontgrendelen. Vervang 'naam' door de naam van het opstartvolume en vervang '/pad' door het pad naar FileVaultMaster.keychain op de externe schijf of schijfkopie:
    diskutil ap unlockVolume "naam" -recoveryKeychain /pad
    Voorbeeld voor een opstartvolume met de naam 'Macintosh HD' en een volume met de naam 'ThumbDrive' waar de herstelcode op staat:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. Voer het hoofdwachtwoord in om de opstartschijf te ontgrendelen. Als het wachtwoord wordt geaccepteerd, wordt het volume op het bureaublad geactiveerd.
Publicatiedatum: