Denne artikkelen har blitt arkivert og oppdateres ikke lenger av Apple.

Slik bruker du gjenopprettingsnøkler for institusjoner med Intel-baserte Macer

Finn ut hvordan du oppretter en gjenopprettingsnøkkel for institusjon (IRK) for å låse opp FileVault-krypterte Intel-baserte Macer og gjenopprette data.

Denne artikkelen forklarer den eldre metoden for oppretting av en gjenopprettingsnøkkel for institusjon (IRK) som kan brukes til å låse opp FileVault-krypterte Intel-baserte Macer. Hvis du har en Mac med Apple-chip eller en Intel-basert Mac som bruker MDM, kan du deponere gjenopprettingsnøkkelen til en server i stedet for å bruke en IRK.

Du kan bruke en gjenopprettingsnøkkel til å gjenopprette tilgang til FileVault-krypterte data for brukere som ikke får tilgang til dataene med passordet sitt. På Intel-baserte Macer kan du bruke en gjenopprettingsnøkkel for institusjonen for å låse opp FileVault-krypterte Macer og gjenopprette data med Måldiskmodus.

Opprett en FileVault-hovednøkkelring

  1. Åpne Terminal-programmet på Macen og skriv deretter inn den følgende kommandoen:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. Når du blir bedt om det, skriver du inn hovedpassordet for den nye nøkkelringen, og deretter skriver du det inn på nytt når du blir bedt om å angi det igjen. Terminal viser ikke passordet mens du skriver.

  3. Det genereres et nøkkelpar, og det lagres en fil som heter FileVaultMaster.keychain på skrivebordet. Kopier denne filen til en sikker plassering, som for eksempel en kryptert diskfil på en ekstern stasjon. Denne sikre kopien er den private gjenopprettingsnøkkelen som kan låse opp startdisken til alle Intel-baserte Macer som er konfigurert til å bruke FileVault-hovednøkkelringen. Den skal ikke distribueres.

I neste del skal du oppdatere FileVaultMaster.keychain-filen som fortsatt er på skrivebordet ditt. Deretter kan du distribuere den nøkkelringen til Macer i organisasjonen din.

Fjern den private nøkkelen fra hovednøkkelringen

Når du har opprettet FileVault-hovednøkkelringen, følger du denne fremgangsmåten for å klargjøre en kopi av den for distribusjon:

  1. Dobbeltklikk på FileVaultMaster.keychain-filen på skrivebordet. Nøkkelringtilgang-appen åpnes.

  2. I sidepanelet til Nøkkelringtilgang velger du FileVaultMaster.

  3. Hvis FileVaultMaster-nøkkelringen er låst, velger du Fil > Lås opp nøkkelringen «FileVaultMaster» fra menylinjen, og angir deretter hovedpassordet du opprettet.

  4. Av de to objektene som vises på høyre side velger du den som er identifisert som «privat nøkkel» i Type-kolonnen:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. Slett den private nøkkelen: Velg Rediger > Slett fra menylinjen, angi hovedpassordet til nøkkelringen, og klikk deretter på Slett når du blir bedt om å bekrefte.

  6. Avslutt Nøkkelringtilgang.

Nå som hovednøkkelringen på skrivebordet ikke lenger inneholder den private nøkkelen, er den klar for å distribueres.

Distribuer den oppdaterte hovednøkkelringen på alle Macene

Når du har fjernet den private nøkkelen fra nøkkelringen, følger du denne fremgangsmåten på hver Intel-baserte Mac som du ønsker å kunne låse opp med den private nøkkelen.

  1. Plasser en kopi av den oppdaterte FileVaultMaster.keychain-filen i /Library/Keychains/-mappen.

  2. Åpne Terminal-programmet og skriv inn begge de følgende kommandoene. Disse kommandoene påser at filens tillatelser er satt til-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Hvis FileVault allerede er slått på, skriver du inn denne kommandoen i Terminal:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Hvis FileVault er slått av, åpner du Sikkerhet og personvern og slår på FileVault. Du skal se en melding om at det er angitt en gjenopprettingsnøkkel av bedriften, skolen eller organisasjonen din. Klikk på Fortsett.

    Security & Privacy preferences, showing the Recovery Key message

Når dette er gjort, er prosessen fullført. Hvis en bruker glemmer macOS-brukerkontopassordet og ikke kan logge på Macen sin, kan du bruke den private nøkkelen til å låse opp disken deres.

Bruk den private nøkkelen til å låse opp startdisken til en bruker

  1. Slå på Macen du vil låse opp, og hold inne T-tasten.

  2. Når du ser Thunderbolt-logoen, slipper du T-tasten.

  3. Koble Macen til en annen Mac (verten) med en Thunderbolt 3 (USB-C)-kabel.

  4. Når du blir bedt om å skrive inn et passord for å låse opp disken, klikker du på Avbryt.

  5. Koble den eksterne stasjonen som inneholder den private gjenopprettingsnøkkelen, til Macen som brukes som vert.

  6. Hvis du har lagret den private gjenopprettingsnøkkelen i en kryptert diskfil, dobbeltklikker du på filen for å aktivere diskfilen, og deretter skriver du inn passordet når du blir bedt om det.

  7. Hvis du ikke vet navnet på startvolumet (f.eks. Macintosh HD) på disken du vil låse opp, åpner du Diskverktøy og finner volumnavnet i sidepanelet. Du trenger denne informasjonen i det neste trinnet.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Skriv inn hovedpassordet for å låse opp startdisken. Hvis passordet godtas, aktiveres volumet på skrivebordet.

Publiseringsdato: