Dit artikel is gearchiveerd,het wordt niet meer bijgewerkt door Apple.

IRK's gebruiken op Intel-Mac-computers

Lees hier hoe je een IRK (Institutional Recovery Key, herstelcode van organisatie) maakt om met FileVault versleutelde Intel-Mac-computers te ontgrendelen en gegevens te herstellen.

Dit artikel behandelt de inmiddels verouderde methode voor het maken van een IRK om met FileVault versleutelde Intel-Mac-computers te ontgrendelen. Als je Mac-computer met Apple Silicon of je Intel-Mac gebruikmaakt van MDM, kun je de herstelcode in bewaring geven op een server in plaats van een IRK te gebruiken.

Met een herstelcode kun je weer toegang krijgen tot met FileVault versleutelde gegevens voor gebruikers die met hun wachtwoord geen toegang tot de gegevens hebben. Op Intel-Mac-computers kun je een IRK gebruiken om met FileVault versleutelde Mac-computers te ontgrendelen en gegevens te herstellen met behulp van de doelschijfmodus.

Een hoofdsleutelhanger voor FileVault aanmaken

  1. Open de Terminal-app op de Mac en voer vervolgens dit commando in:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. Wanneer je daarom wordt gevraagd, voer je het hoofdwachtwoord in voor de nieuwe sleutelhanger. Voer dit nogmaals in wanneer je daarom wordt gevraagd. Terminal toont het wachtwoord niet terwijl je typt.

  3. Er wordt een sleutelpaar gegenereerd en een bestand met de naam FileVaultMaster.keychain wordt op je bureaublad opgeslagen. Kopieer dit bestand naar een veilige locatie, bijvoorbeeld een versleutelde schijfkopie op een externe schijf. Deze beveiligde kopie vormt de private herstelcode waarmee de opstartschijf wordt ontgrendeld van alle Intel-Mac-computers waarop het gebruik van de FileVault-hoofdsleutelhanger is geconfigureerd. Deze is niet bedoeld voor algemeen gebruik.

In het volgende gedeelte ga je het bestand 'FileVaultMaster.keychain' op je bureaublad bijwerken. Vervolgens kun je deze sleutelhanger implementeren op Mac-computers in je organisatie.

De private sleutel verwijderen uit de hoofdsleutelhanger

Nadat je de hoofdsleutelhanger voor FileVault hebt gemaakt, volg je deze stappen om een​kopie ervan voor te bereiden voor implementatie:

  1. Klik dubbel op het bestand 'FileVaultMaster.keychain' op het bureaublad. De app Sleutelhangertoegang wordt geopend.

  2. In de navigatiekolom van Sleutelhangertoegang selecteer je 'FileVaultMaster'.

  3. Als de FileVaultMaster-sleutelhanger is vergrendeld, kies je 'Archief' > 'Ontgrendel sleutelhanger "FileVaultMaster"' in de menubalk en voer je het hoofdwachtwoord in dat je hebt aangemaakt.

  4. Rechts staan twee vermeldingen. Selecteer de vermelding waarbij 'Private sleutel' staat in de kolom 'Soort':

    Keychain Access, showing the private FileVault Master Password Key selected
  5. Verwijder de private sleutel: kies in de menubalk 'Wijzig' > 'Verwijder', geef het hoofdwachtwoord van de sleutelhanger op en klik ter bevestiging op 'Verwijder'.

  6. Stop Sleutelhangertoegang.

De hoofdsleutelhanger op het bureaublad bevat nu geen private sleutel meer en is klaar voor implementatie.

De bijgewerkte hoofdsleutelhanger implementeren op alle Macs

Nadat je de private sleutel uit de sleutelhanger hebt verwijderd, volg je deze stappen op alle Intel-Mac-computers die je met je private sleutel wilt kunnen ontgrendelen.

  1. Zet een kopie van de bijgewerkte versie van het bestand 'FileVaultMaster.keychain' in de map '/Bibliotheek/Keychains/'.

  2. Open de Terminal-app en voer de volgende twee commando's in. Deze commando's zorgen ervoor dat de bevoegdheden van het bestand worden ingesteld op-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Als FileVault al is ingeschakeld, voer je dit commando in Terminal in:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Als FileVault is uitgeschakeld, open je de voorkeuren voor 'Beveiliging en privacy' en schakel je FileVault in. Je ziet nu een bericht dat er een herstelcode is ingesteld door je bedrijf, school of organisatie. Klik op 'Ga door'.

    Security & Privacy preferences, showing the Recovery Key message

Hiermee is de procedure afgerond. Als gebruikers het wachtwoord van hun macOS-gebruikersaccount vergeten en niet kunnen inloggen op hun Mac, kun je de private sleutel gebruiken om hun schijf te ontgrendelen.

De private sleutel gebruiken om de opstartschijf van een gebruiker te ontgrendelen

  1. Start de Mac die je wilt ontgrendelen en houd daarbij de T-toets ingedrukt.

  2. Zodra je het Thunderbolt-logo ziet, laat je de T-toets los.

  3. Verbind de Mac met een andere Mac (de host) met behulp van een Thunderbolt 3-kabel (USB-C).

  4. Als je wordt gevraagd om een wachtwoord in te voeren om de schijf te ontgrendelen, klik je op 'Annuleer'.

  5. Sluit op de host-Mac de externe schijf aan waarop de private herstelcode zich bevindt.

  6. Als je de private herstelcode hebt bewaard in een versleutelde schijfkopie, dubbelklik je op het bestand om de schijfkopie te activeren en voer je het wachtwoord in wanneer daarom wordt gevraagd.

  7. Als je de naam van het opstartvolume (bijvoorbeeld 'Macintosh HD') op de schijf die je wilt ontgrendelen niet weet, open je Schijfhulpprogramma en zoek je de volumenaam op in de navigatiekolom. Je hebt deze informatie nodig bij de volgende stap.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Voer het hoofdwachtwoord in om de opstartschijf te ontgrendelen. Als het wachtwoord wordt geaccepteerd, wordt het volume op het bureaublad geactiveerd.

Publicatiedatum: