Een FileVault-herstelcode instellen voor computers van uw instelling

Met een IRK (Institutional Recovery Key) kunt u gebruikersgegevens die met FileVault zijn gecodeerd, herstellen als de gebruiker het inlogwachtwoord van de Mac is vergeten.

Deze geavanceerde stappen zijn bedoeld voor systeembeheerders en anderen die bekend zijn met de commandoregel.

Een hoofdsleutelhanger voor FileVault aanmaken

  1. Open de Terminal-app en voer dit commando in:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Wanneer u daarom wordt gevraagd, voert u het hoofdwachtwoord in voor de nieuwe sleutelhanger. Voer dit nogmaals in wanneer u daarom wordt gevraagd. Terminal geeft het wachtwoord niet weer wanneer u het typt.
  3. Er wordt een sleutelpaar aangemaakt en er wordt een bestand met de naam 'FileVaultMaster.keychain' bewaard op uw bureaublad. Kopieer dit bestand naar een veilige locatie, bijvoorbeeld een gecodeerde schijfkopie op een extern station. Deze beveiligde kopie vormt de private herstelcode waarmee de opstartschijf wordt ontgrendeld van alle Macs waarop het gebruik van de FileVault-hoofdsleutelhanger is geconfigureerd. Het is niet de bedoeling dat deze aan gebruikers wordt uitgedeeld.

In het volgende gedeelte gaat u het bestand 'FileVaultMaster.keychain' op uw bureaublad bijwerken. Vervolgens kunt u deze sleutelhanger implementeren op Mac-computers in uw instelling.

De persoonlijke code verwijderen uit de hoofdsleutelhanger

Na aanmaak van de FileVault-hoofdsleutelhanger volgt u deze stappen om er een implementatiekopie van te maken:

  1. Klik dubbel op het bestand 'FileVaultMaster.keychain' op het bureaublad. De app Sleutelhangertoegang wordt geopend.
  2. In de navigatiekolom van Sleutelhangertoegang selecteert u 'FileVaultMaster'. Als u rechts meer dan twee vermeldingen ziet, selecteert u een andere sleutelhanger in de navigatiekolom en selecteert u nogmaals 'FileVaultMaster' om de lijst te vernieuwen.
  3. Als de sleutelhanger 'FileVaultMaster' vergrendeld is, klikt u linksboven in Sleutelhangertoegang op  en voert u vervolgens het eerder aangemaakte hoofdwachtwoord in.
  4. Rechts staan twee vermeldingen. Selecteer de vermelding waarbij 'Private sleutel' staat in de kolom 'Soort':
    Sleutelhangertoegang, met de private FileVault-hoofdwachtwoordsleutel geselecteerd
  5. Verwijder de private sleutel: kies in de menubalk 'Wijzig' > 'Verwijder', geef het hoofdwachtwoord van de sleutelhanger op en klik ter bevestiging op 'Verwijder'.
  6. Stop Sleutelhangertoegang.

De hoofdsleutelhanger op het bureaublad bevat nu geen private sleutel meer en is klaar voor implementatie.

De bijgewerkte hoofdsleutelhanger implementeren op alle Macs

Nadat u de private sleutel uit de sleutelhanger hebt verwijderd, volgt u deze stappen op alle Macs die u met uw private sleutel wilt kunnen ontgrendelen.

  1. Zet een kopie van de bijgewerkte versie van het bestand 'FileVaultMaster.keychain' in de map '/Library/Keychains/'.
  2. Open de Terminal-app en voer de volgende twee commando's in. Deze commando's zorgen ervoor dat de bevoegdheden van het bestand worden ingesteld op -rw-r--r--, dat 'root' de eigenaar wordt van het bestand en dat het bestand wordt toegewezen aan de groep 'wheel'.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Als FileVault al is ingeschakeld, voert u in Terminal dit commando in:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Als FileVault is uitgeschakeld, opent u het voorkeurenpaneel 'Beveiliging en privacy' en schakelt u FileVault in. U ziet nu een bericht dat er een herstelcode is ingesteld door uw bedrijf, school of instelling. Klik op 'Ga door'.
    Voorkeurenpaneel 'Beveiliging en privacy' met het bericht over herstelcode

Hiermee is de procedure afgerond. Als een gebruiker het wachtwoord van zijn of haar macOS-gebruikersaccount niet meer weet en niet kan inloggen bij de Mac, kunt u de schijf ontgrendelen met de private sleutel.

 

De private sleutel gebruiken om de opstartschijf van een gebruiker te ontgrendelen

Als een gebruiker het wachtwoord van zijn/haar account niet meer weet en niet kan inloggen op de Mac, kunt u de private herstelcode gebruiken om de opstartschijf te ontgrendelen en toegang te krijgen tot de met FileVault gecodeerde gegevens.

  1. Start de client-Mac op vanuit macOS Recovery door Command-R ingedrukt te houden tijdens het opstarten.
  2. Als u de naam (bijvoorbeeld Macintosh HD) en de structuur van de opstartschijf niet weet, opent u Schijfhulpprogramma in het venster 'Hulpprogramma's' en controleert u rechts de informatie die Schijfhulpprogramma geeft over dat volume. Als er 'Logische CoreStorage-volumegroep' staat in plaats van 'APFS-volume' of 'Mac OS Uitgebreid', is de structuur Mac OS Uitgebreid. U hebt deze informatie later nodig. Stop Schijfhulpprogramma wanneer dit klaar is.
  3. Sluit de externe schijf aan waarop de private herstelcode zich bevindt.
  4. Selecteer 'Hulpprogramma's' > 'Terminal' in de menubalk van macOS Recovery.
  5. Als u de sleutelhanger met de private herstelcode hebt bewaard in een gecodeerde schijfkopie, gebruikt u het volgende Terminal-commando om die schijfkopie te activeren. Vervang /path door het pad naar de schijfkopie, inclusief de extensie '.dmg'.
    hdiutil attach /path
    
    Voorbeeld voor een schijfkopie met de naam 'PrivateKey.dmg' op een volume met de naam 'ThumbDrive':
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Gebruik het volgende commando om de FileVault-hoofdsleutelhanger te ontgrendelen. Vervang /path door het pad naar 'FileVaultMaster.keychain' op de externe schijf. In deze en alle volgende stappen geldt dat als de sleutelhanger zich bevindt op een gecodeerde schijfkopie, u de naam van die schijfkopie in het pad moet opnemen.
    security unlock-keychain /path
    
    Voorbeeld voor een volume met de naam 'ThumbDrive':
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Voer het hoofdwachtwoord in om de opstartschijf te ontgrendelen. Als het wachtwoord wordt geaccepteerd, wordt de commandoregel opnieuw weergegeven.

Ga verder zoals hieronder wordt beschreven, afhankelijk van hoe de opstartschijf van de gebruiker is geformatteerd.

APFS

Als de opstartschijf is geformatteerd als APFS, voert u de volgende extra stappen uit:

  1. Voer het volgende commando in om de gecodeerde opstartschijf te ontgrendelen. Vervang 'name' door de naam van het opstartvolume, en vervang /path door het pad naar 'FileVaultMaster.keychain' op de externe schijf of schijfkopie:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Voorbeeld voor een opstartvolume met de naam 'Macintosh HD' en een volume met de naam 'ThumbDrive' waar de herstelcode op staat:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Voer het hoofdwachtwoord in om de sleutelhanger te ontgrendelen en de opstartschijf te activeren.
  3. Met commandoregelprogramma's zoals ditto kunt u nu een reservekopie maken van de gegevens op de schijf, of u kunt Terminal stoppen en Schijfhulpprogramma gebruiken.

Mac OS Uitgebreid (HFS+)

Als de opstartschijf is geformatteerd als Mac OS Uitgebreid, voert u de volgende extra stappen uit:

  1. Voer dit commando in om een lijst te zien van stations en CoreStorage-volumes:
    diskutil cs list
    
  2. Selecteer de UUID die achter 'Logical Volume' staat en kopieer deze voor gebruik in een volgende stap.
    Voorbeeld: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. Gebruik het volgende commando om de gecodeerde opstartschijf te ontgrendelen. Vervang UUID door de UUID die u in de vorige stap hebt gekopieerd, en vervang /path door het pad naar 'FileVaultMaster.keychain' op de externe schijf of schijfkopie:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Voorbeeld voor een herstelcode op een volume met de naam 'ThumbDrive':
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Voer het hoofdwachtwoord in om de sleutelhanger te ontgrendelen en de opstartschijf te activeren.
  5. Met commandoregelprogramma's zoals ditto kunt u nu een reservekopie maken van de gegevens op de schijf, of u kunt Terminal stoppen en Schijfhulpprogramma gebruiken. U kunt ook het volgende commando gebruiken om de ontgrendelde schijf te decoderen en ervan op te starten.
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Voorbeeld voor een herstelcode op een volume met de naam 'ThumbDrive':
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Publicatiedatum: