Angi en FileVault-gjenopprettingsnøkkel for datamaskiner i institusjonen din

Med gjenopprettingsnøkkelen (IRK) til en institusjon kan du gjenopprette brukernes FileVault-krypterte data når de ikke husker Mac-påloggingspassordet sitt.

Denne avanserte fremgangsmåten er for administratorer og andre som er kjent med kommandolinjen.

Opprett en FileVault-hovednøkkelring

  1. Åpne Terminal-programmet på Mac-maskinen, og skriv deretter denne kommandoen:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Når du blir bedt om det, skriver du inn hovedpassordet for den nye nøkkelringen, og deretter skriver du inn den på nytt når du blir bedt om å angi den igjen. Terminal viser ikke passordet mens du skriver.
  3. Det genereres et nøkkelpar, og det lagres en fil som heter FileVaultMaster.keychain på skrivebordet. Kopier denne filen til en sikker plassering, som for eksempel en kryptert diskfil på en ekstern stasjon. Denne sikre kopien er den private gjenopprettingsnøkkelen som kan låse opp startdisken til alle Mac-maskiner som er konfigurert til å bruke FileVault-hovednøkkelringen. Den skal ikke distribueres. 

I neste del skal du oppdatere FileVaultMaster.keychain-filen som fortsatt er på skrivebordet ditt. Deretter kan du distribuere den nøkkelringen til Mac-maskiner i institusjonen din.

Fjerne den private nøkkelen fra hovednøkkelringen

Når du har opprettet FileVault-hovednøkkelringen, følger du denne fremgangsmåten for å klargjøre en kopi av den for distribusjon:

  1. Dobbeltklikk på FileVaultMaster.keychain-filen på skrivebordet. Nøkkelringtilgang-programmet åpnes.
  2. I sidepanelet til Nøkkelringtilgang velger du FileVaultMaster. Hvis du ser mer enn to objekter oppført til høyre, velger du en annen nøkkelring i sidepanelet, og deretter velger du FileVaultMaster på nytt for å oppdatere listen.
  3. Hvis FileVaultMaster-nøkkelringen er låst, klikker du på  øverst til venstre på Nøkkelringtilgang, og deretter angir du hovedpassordet du opprettet.
  4. Fra de to objektene som vises til høyre, velger du den som er merket som «privat nøkkel» i Type-kolonnen:
    Nøkkelringtilgang, med FileVault-hovedpassordnøkkel valgt
  5. Slett den private nøkkelen: Velg Rediger > Slett fra menylinjen, angi hovedpassordet til nøkkelringen, og klikk deretter på Slett når du blir bedt om å bekrefte.
  6. Avslutt Nøkkelringtilgang.

Nå som hovednøkkelringen på skrivebordet ikke lenger inneholder den private nøkkelen, er den klar for å distribueres.

Distribuer den oppdaterte hovednøkkelringen på alle Mac-maskinene

Når du har fjernet den private nøkkelen fra nøkkelringen, følger du denne fremgangsmåten på alle Mac-maskinene som du ønsker å kunne låse opp med den private nøkkelen din.

  1. Plasser en kopi av den oppdaterte FileVaultMaster.keychain-filen i /Library/Keychains/-mappen.
  2. Åpne Terminal-programmet og skriv inn begge de følgende kommandoene. Med disse kommandoene sikrer du at rettighetene til filen er satt til -rw-r--r--, at filen eies av rotbrukeren og at den er tilordnet gruppen som heter «wheel».
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Hvis FileVault allerede er slått på, angir du denne kommandoen i Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Hvis FileVault er slått av, åpner du Sikkerhet og personvern og slår på FileVault. Du bør se en melding om at det er angitt en gjenopprettingsnøkkel av bedriften, skolen eller institusjonen din. Klikk på Fortsett.
    Sikkerhet og personvern med gjenopprettingsnøkkel-meldingen

Når dette er gjort, er prosessen fullført. Hvis en bruker glemmer macOS-brukerkontopassordet sitt og ikke kan logge på Mac-maskinen sin, kan du bruke den private nøkkelen til å låse opp disken deres.

 

Bruke den private nøkkelen til å låse opp startdisken til en bruker

Hvis en bruker har glemt kontopassordet sitt og ikke kan logge på Mac-maskinen, kan du bruke den private gjenopprettingsnøkkelen til å låse opp startdisken deres og få tilgang til FileVault-krypterte data på den.

  1. På klient-Mac-maskinen starter du fra macOS-gjenoppretting ved å holde nede Kommando-R under oppstart.
  2. Hvis du ikke vet navnet (som f.eks. Macintosh HD) og formatet på startdisken, åpner du Diskverktøy fra macOS-verktøyvinduet, og deretter sjekker du informasjonen som Diskverktøy viser for det volumet til høyre. Hvis du ser «CoreStorage Logical Volume Group» i stedet for «APFS Volume» eller «Mac OS Extended», er formatet Mac OS Extended. Du trenger denne informasjonen til et senere trinn. Avslutt Diskverktøy når du er ferdig.
  3. Koble til den eksterne stasjonen som inneholder den private gjenopprettingsnøkkelen.
  4. Velg Verktøy > Terminal fra menylinjen i macOS-gjenoppretting.
  5. Hvis du lagret den private gjenopprettingsnøkkelen i en kryptert diskfil, bruker du følgende kommando i Terminal for å aktivere den. Erstatt /path med banen til diskfilen, inkludert .dmg-filnavnutvidelsen:
    hdiutil attach /path
    
    Eksempel for en diskfil som heter PrivateKey.dmg på et volum som heter ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Bruk følgende kommando til å låse opp FileVault-hovednøkkelringen. Erstatt /path med banen til FileVaultMaster.keychain på den eksterne stasjonen. For dette trinnet og alle gjenværende trinn: Hvis nøkkelringen er lagret i en kryptert diskfil, må du huske å ta med navnet på den diskfilen i banen.
    security unlock-keychain /path
    
    Eksempel for et volum som heter ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Skriv inn hovedpassordet for å låse opp startdisken. Hvis passordet godkjennes, kommer kommandolinjen tilbake.

Fortsett som beskrevet nedenfor, basert på hvordan brukerens startdisk er formatert.

APFS

 Hvis startdisken er formatert for APFS, må du fullføre disse ekstra trinnene:

  1. Skriv inn følgende kommando for å låse opp den krypterte startdisken. Erstatt «name» med navnet på startvolumet, og erstatt /path med banen til FileVaultMaster.keychain på den eksterne stasjonen eller diskfilen:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Eksempel for et startvolum som heter Macintosh HD og et gjenopprettingsnøkkelvolum som heter ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Skriv inn hovedpassordet for å låse opp nøkkelringen og aktivere startdisken.
  3. Bruk kommandolinjeverktøy som ditto for å sikkerhetskopiere dataene på disken, eller avslutt Terminal og bruk Diskverktøy.

Mac OS Extended (HFS Plus)

Hvis startdisken er formatert for Mac OS Extended, må du fullføre disse ekstra trinnene:

  1. Skriv inn denne kommandoen for å få en liste med disker og CoreStorage-volumer:
    diskutil cs list
    
  2. Velg UUID-en som vises etter «Logical Volume», og kopier den deretter for bruk i et senere trinn.
    Eksempel: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. Bruk følgende kommando for å låse opp den krypterte startdisken. Erstatt UUID med UUID-en du kopierte i forrige trinn, og erstatt /path med banen til FileVaultMaster.keychain på den eksterne stasjonen eller diskfilen:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Eksempel for et gjenopprettingsnøkkelvolum som heter ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Skriv inn hovedpassordet for å låse opp nøkkelringen og aktivere startdisken.
  5. Bruk kommandolinjeverktøy som ditto for å sikkerhetskopiere dataene på disken. Eller avslutt Terminal og bruk Diskverktøy. Eller bruk følgende kommando for å dekryptere den opplåste disken og starte fra den. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Eksempel for et gjenopprettingsnøkkelvolum som heter ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Publiseringsdato: