Ten artykuł został zarchiwizowany i nie jest już aktualizowany przez firmę Apple.

Używanie instytucjonalnych kluczy odzyskiwania na Macach z procesorem Intel

Dowiedz się, jak utworzyć instytucjonalny klucz odzyskiwania (IRK), aby odblokować Maki z procesorem Intel zaszyfrowane za pomocą funkcji FileVault i odzyskać dane.

W tym artykule omówiono starszą metodę tworzenia instytucjonalnego klucza odzyskiwania (IRK) w celu odblokowania Maków z procesorem Intel zaszyfrowanych za pomocą funkcji FileVault. Jeśli Mac z procesorem Apple lub procesorem Intel korzysta z rozwiązania MDM, zamiast klucza IRK możesz zdeponować klucz odzyskiwania na serwerze.

Możesz użyć klucza odzyskiwania, aby odzyskać dostęp do danych zaszyfrowanych za pomocą funkcji FileVault użytkowników, którzy nie mogą uzyskać dostępu do tych danych za pomocą hasła. Na Macach z procesorem Intel można użyć instytucjonalnego klucza odzyskiwania, aby odblokować Maki zaszyfrowane za pomocą funkcji FileVault i odzyskać dane w trybie dysku twardego.

Tworzenie głównego pęku kluczy FileVault

  1. Otwórz aplikację Terminal na Macu i wprowadź następujące polecenie:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. Po wyświetleniu odpowiedniego monitu wprowadź hasło główne dla nowego pęku kluczy, a następnie wprowadź je ponownie po pojawieniu się monitu. Aplikacja Terminal nie wyświetla hasła podczas wprowadzania.

  3. Zostanie wygenerowana para kluczy, a plik o nazwie FileVaultMaster.keychain zostanie zachowany na biurku. Skopiuj ten plik w bezpieczne miejsce, na przykład do zaszyfrowanego obrazu dysku przechowywanego na dysku zewnętrznym. Ta bezpieczna kopia to prywatny klucz odzyskiwania, za pomocą którego można odblokować dysk startowy dowolnego Maca z procesorem Intel skonfigurowanego do używania głównego pęku kluczy FileVault. Nie należy jej udostępniać.

Kolejnym krokiem jest uaktualnienie pliku FileVaultMaster.keychain znajdującego się nadal na biurku. Następnie będzie można zastosować ten pęk kluczy na Macach w organizacji.

Usuwanie prywatnego klucza z głównego pęku kluczy

Po utworzeniu głównego pęku kluczy FileVault wykonaj następujące czynności, aby przygotować jego kopię do użycia:

  1. Kliknij dwukrotnie plik FileVaultMaster.keychain znajdujący się na biurku. Otworzy się aplikacja Dostęp do pęku kluczy.

  2. Na pasku bocznym aplikacji Dostęp do pęku kluczy wybierz pozycję FileVaultMaster.

  3. Jeśli pęk kluczy FileVaultMaster jest zablokowany, wybierz kolejno opcje Plik > Odblokuj pęk kluczy „FileVaultMaster” z paska menu, a następnie wprowadź utworzone hasło główne.

  4. Z dwóch pozycji wyświetlonych po prawej stronie wybierz tę, która w kolumnie „Rodzaj” oznaczona jest jako „klucz prywatny”:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. Usuń klucz prywatny: z paska menu wybierz kolejno opcje Edycja > Usuń, wprowadź hasło głównego pęku kluczy, a po wyświetleniu monitu o potwierdzenie kliknij opcję Usuń.

  6. Zamknij aplikację Dostęp do pęku kluczy.

Teraz główny pęk kluczy na biurku nie zawiera już prywatnego klucza i jest gotowy do użycia.

Używanie uaktualnionego głównego pęku kluczy na komputerze Mac

Po usunięciu prywatnego klucza z pęku kluczy wykonaj następujące czynności na każdym Macu z procesorem Intel, który chcesz odblokować za pomocą prywatnego klucza.

  1. Umieść kopię uaktualnionego pliku FileVaultMaster.keychain na ścieżce /Biblioteka/Keychains/ folder.

  2. Otwórz aplikację Terminal i wprowadź oba polecenia. Dzięki tym poleceniom uprawnienia pliku są ustawiane na-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Jeśli funkcja FileVault jest już włączona, wprowadź niniejsze polecenie w aplikacji Terminal:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Jeśli funkcja FileVault jest wyłączona, otwórz preferencje Ochrona i prywatność i włącz ją. Powinien zostać wyświetlony komunikat, że klucz odzyskiwania został skonfigurowany przez firmę, szkołę lub organizację. Kliknij przycisk Kontynuuj.

    Security & Privacy preferences, showing the Recovery Key message

To koniec procesu. Jeśli użytkownik zapomni hasła użytkownika systemu macOS i nie będzie mógł zalogować się do Maca, możesz użyć prywatnego klucza, aby odblokować jego dysk.

Używanie prywatnego klucza do odblokowania dysku startowego użytkownika

  1. Włącz Maca, którego chcesz odblokować, przytrzymując klawisz T.

  2. Zwolnij klawisz T, gdy pojawi się logo Thunderbolt.

  3. Podłącz Maca do innego Maca (hosta) za pomocą przewodu Thunderbolt 3 (USB-C).

  4. Gdy pojawi się monit o wprowadzenie hasła w celu odblokowania dysku, kliknij opcję Anuluj.

  5. Podłącz dysk zewnętrzny zawierający prywatny klucz odzyskiwania do Maca, który jest hostem.

  6. Jeśli prywatny klucz odzyskiwania został zachowany w zaszyfrowanym obrazie dysku, kliknij dwukrotnie plik, aby zamontować obraz i wprowadź hasło po wyświetleniu monitu.

  7. Jeśli nie znasz nazwy woluminu startowego (np. Macintosh HD) na dysku, który chcesz odblokować, otwórz Narzędzie dyskowe, a następnie znajdź nazwę woluminu na pasku bocznym. Informacja ta będzie potrzebna w następnym kroku.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Wprowadź hasło główne, aby odblokować dysk startowy. Jeśli hasło zostanie przyjęte, wolumin zostanie zamontowany na biurku.

Data publikacji: