Slik bruker du gjenopprettingsnøkler for institusjoner med Intel-baserte Macer

Finn ut hvordan du oppretter en gjenopprettingsnøkkel for institusjon (IRK) for å låse opp FileVault-krypterte Intel-baserte Macer og gjenopprette data.

Denne artikkelen forklarer den eldre metoden for oppretting av en gjenopprettingsnøkkel for institusjon (IRK) som kan brukes til å låse opp FileVault-krypterte Intel-baserte Macer. Hvis du har en Mac med Apple-chip eller en Intel-basert Mac som bruker MDM, kan du deponere gjenopprettingsnøkkelen til en server i stedet for å bruke en IRK.

Du kan bruke en gjenopprettingsnøkkel til å gjenopprette tilgang til FileVault-krypterte data for brukere som ikke får tilgang til dataene med passordet sitt. På Intel-baserte Macer kan du bruke en gjenopprettingsnøkkel for institusjonen for å låse opp FileVault-krypterte Macer og gjenopprette data med Måldiskmodus.

Opprett en FileVault-hovednøkkelring

  1. Åpne Terminal-programmet på Macen, og skriv deretter denne kommandoen:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Når du blir bedt om det, skriver du inn hovedpassordet for den nye nøkkelringen, og deretter skriver du det inn på nytt når du blir bedt om å angi det igjen. Terminal viser ikke passordet mens du skriver.
  3. Det genereres et nøkkelpar, og det lagres en fil som heter FileVaultMaster.keychain på skrivebordet. Kopier denne filen til en sikker plassering, som for eksempel en kryptert diskfil på en ekstern stasjon. Denne sikre kopien er den private gjenopprettingsnøkkelen som kan låse opp startdisken til alle Intel-baserte Macer som er konfigurert til å bruke FileVault-hovednøkkelringen. Den skal ikke distribueres. 

I neste del skal du oppdatere FileVaultMaster.keychain-filen som fortsatt er på skrivebordet ditt. Deretter kan du distribuere den nøkkelringen til Macer i organisasjonen din.


Fjern den private nøkkelen fra hovednøkkelringen

Når du har opprettet FileVault-hovednøkkelringen, følger du denne fremgangsmåten for å klargjøre en kopi av den for distribusjon:

  1. Dobbeltklikk på FileVaultMaster.keychain-filen på skrivebordet. Nøkkelringtilgang-programmet åpnes.
  2. I sidepanelet til Nøkkelringtilgang velger du FileVaultMaster.
  3. Hvis FileVaultMaster-nøkkelringen er låst, velger du Fil > Lås opp nøkkelringen «FileVaultMaster» fra menylinjen, og deretter angir du hovedpassordet du opprettet.
  4. Fra de to objektene som vises til høyre, velger du det som er merket som «privat nøkkel» i Type-kolonnen:
    Nøkkelringtilgang, med FileVault-hovedpassordnøkkel valgt
  5. Slett den private nøkkelen: Velg Rediger > Slett fra menylinjen, angi hovedpassordet til nøkkelringen, og klikk deretter på Slett når du blir bedt om å bekrefte.
  6. Avslutt Nøkkelringtilgang.

Nå som hovednøkkelringen på skrivebordet ikke lenger inneholder den private nøkkelen, er den klar for å distribueres.


Distribuer den oppdaterte hovednøkkelringen på alle Macene

Når du har fjernet den private nøkkelen fra nøkkelringen, følger du denne fremgangsmåten på alle Intel-baserte Macer som du ønsker å kunne låse opp med den private nøkkelen din.

  1. Plasser en kopi av den oppdaterte FileVaultMaster.keychain-filen i /Library/Keychains/-mappen.
  2. Åpne Terminal-programmet og skriv inn begge de følgende kommandoene. Med disse kommandoene sikrer du at rettighetene til filen er satt til -rw-r--r--, at filen eies av rotbrukeren og at den er tilordnet gruppen som heter «wheel».
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Hvis FileVault allerede er slått på, angir du denne kommandoen i Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Hvis FileVault er slått av, åpner du Sikkerhet og personvern og slår på FileVault. Du skal se en melding om at det er angitt en gjenopprettingsnøkkel av bedriften, skolen eller organisasjonen din. Klikk på Fortsett.
    Sikkerhet og personvern med gjenopprettingsnøkkel-meldingen

Når dette er gjort, er prosessen fullført. Hvis en bruker glemmer macOS-brukerkontopassordet sitt og ikke kan logge på Macen sin, kan du bruke den private nøkkelen til å låse opp disken deres.


Bruk den private nøkkelen til å låse opp startdisken til en bruker

  1. Slå på Macen du vil låse opp, og hold inne T-tasten.
  2. Når du ser Thunderbolt-logoen, slipper du T-tasten. 
  3. Koble Macen til en annen Mac (verten) med en Thunderbolt 3 (USB-C)-kabel.
  4. Når du blir bedt om å skrive inn et passord for å låse opp disken, klikker du på Avbryt.
  5. Koble den eksterne stasjonen som inneholder den private gjenopprettingsnøkkelen, til Macen som brukes som vert.
  6. Hvis du har lagret den private gjenopprettingsnøkkelen i en kryptert diskfil, dobbeltklikker du på filen for å aktivere diskfilen, og deretter skriver du inn passordet når du blir bedt om det.
  7. Hvis du ikke vet navnet på startvolumet (f.eks. Macintosh HD) på disken du vil låse opp, åpner du Diskverktøy og finner volumnavnet i sidepanelet. Du trenger denne informasjonen i det neste trinnet.
  8. Åpne Terminal og skriv inn den følgende kommandoen for å låse opp den krypterte startdisken. Erstatt "navn" med navnet på startvolumet, og erstatt /bane med banen til FileVaultMaster.keychain på den eksterne stasjonen eller diskfilen:
    diskutil ap unlockVolume "navn" -recoveryKeychain /bane
    Eksempel for et startvolum som heter Macintosh HD og et gjenopprettingsnøkkelvolum som heter ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. Skriv inn hovedpassordet for å låse opp startdisken. Hvis passordet godtas, aktiveres volumet på skrivebordet.
Publiseringsdato: