Używanie instytucjonalnych kluczy odzyskiwania na komputerach Mac z procesorem Intel

Dowiedz się, jak utworzyć instytucjonalny klucz odzyskiwania (IRK), aby odblokować komputery Mac z procesorem Intel zaszyfrowane za pomocą funkcji FileVault i odzyskać dane.

W tym artykule omówiono starszą metodę tworzenia instytucjonalnego klucza odzyskiwania (IRK) w celu odblokowania komputerów Mac z procesorem Intel zaszyfrowanych za pomocą funkcji FileVault. Jeśli komputer Mac z procesorem Apple lub procesorem Intel korzysta z rozwiązania MDM, zamiast klucza IRK możesz zdeponować klucz odzyskiwania na serwerze.

Możesz użyć klucza odzyskiwania, aby odzyskać dostęp do danych zaszyfrowanych za pomocą funkcji FileVault użytkowników, którzy nie mogą uzyskać dostępu do tych danych za pomocą hasła. Na komputerach Mac z procesorem Intel można użyć instytucjonalnego klucza odzyskiwania, aby odblokować komputery Mac zaszyfrowane za pomocą funkcji FileVault i odzyskać dane w trybie dysku twardego.

Tworzenie głównego pęku kluczy FileVault

  1. Otwórz aplikację Terminal na komputerze Mac i wprowadź następujące polecenie:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Po wyświetleniu odpowiedniego monitu wprowadź hasło główne dla nowego pęku kluczy, a następnie wprowadź je ponownie po pojawieniu się monitu. Aplikacja Terminal nie wyświetla hasła podczas wprowadzania.
  3. Zostanie wygenerowana para kluczy, a plik o nazwie FileVaultMaster.keychain zostanie zachowany na biurku. Skopiuj ten plik w bezpieczne miejsce, na przykład do zaszyfrowanego obrazu dysku przechowywanego na dysku zewnętrznym. Ta bezpieczna kopia to prywatny klucz odzyskiwania, za pomocą którego można odblokować dysk startowy dowolnego komputera Mac z procesorem Intel skonfigurowanego do używania głównego pęku kluczy FileVault. Nie należy jej udostępniać. 

Kolejnym krokiem jest uaktualnienie pliku FileVaultMaster.keychain znajdującego się nadal na biurku. Następnie będzie można zastosować ten pęk kluczy na komputerach Mac w organizacji.


Usuwanie prywatnego klucza z głównego pęku kluczy

Po utworzeniu głównego pęku kluczy FileVault wykonaj następujące czynności, aby przygotować jego kopię do użycia:

  1. Kliknij dwukrotnie plik FileVaultMaster.keychain znajdujący się na biurku. Otworzy się aplikacja Dostęp do pęku kluczy.
  2. Na pasku bocznym aplikacji Dostęp do pęku kluczy wybierz pozycję FileVaultMaster.
  3. Jeśli pęk kluczy FileVaultMaster jest zablokowany, wybierz kolejno opcje Plik > Odblokuj pęk kluczy „FileVaultMaster” z paska menu, a następnie wprowadź utworzone hasło główne.
  4. Z dwóch pozycji wyświetlonych po prawej stronie wybierz tę, która w kolumnie „Rodzaj” oznaczona jest jako „klucz prywatny”.
    Aplikacja Dostęp do pęku kluczy z zaznaczoną nazwą FileVault Master Password Key
  5. Usuń klucz prywatny: z paska menu wybierz kolejno opcje Edycja> Usuń, wprowadź hasło głównego pęku kluczy, a po wyświetleniu monitu o potwierdzenie kliknij opcję Usuń.
  6. Zamknij aplikację Dostęp do pęku kluczy.

Teraz główny pęk kluczy na biurku nie zawiera już prywatnego klucza i jest gotowy do użycia.


Używanie uaktualnionego głównego pęku kluczy na komputerze Mac

Po usunięciu prywatnego klucza z pęku kluczy wykonaj następujące czynności na każdym komputerze Mac z procesorem Intel, który chcesz odblokować za pomocą prywatnego klucza.

  1. Umieść kopię uaktualnionego pliku FileVaultMaster.keychain na ścieżce /Biblioteka/Keychains/ folder.
  2. Otwórz aplikację Terminal i wprowadź oba polecenia. Dzięki tym poleceniom uprawnienia pliku są ustawiane na -rw-r--r--, a plik jest własnością użytkownika root oraz zostaje przypisany do grupy o nazwie wheel.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Jeśli funkcja FileVault jest już włączona, wprowadź niniejsze polecenie w aplikacji Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Jeśli funkcja FileVault jest wyłączona, otwórz preferencje Ochrona i prywatność i włącz ją. Powinien zostać wyświetlony komunikat, że klucz odzyskiwania został skonfigurowany przez firmę, szkołę lub organizację. Kliknij przycisk Kontynuuj.
    Preferencje Ochrona i prywatność z wyświetlonym komunikatem o kluczu odzyskiwania

To koniec procesu. Jeśli użytkownik zapomni hasła użytkownika systemu macOS i nie będzie mógł zalogować się do komputera Mac, możesz użyć prywatnego klucza, aby odblokować jego dysk.


Używanie prywatnego klucza do odblokowania dysku startowego użytkownika

  1. Włącz komputer Mac, który chcesz odblokować, przytrzymując klawisz T.
  2. Zwolnij klawisz T, gdy pojawi się logo Thunderbolt. 
  3. Podłącz komputer Mac do innego komputera Mac (hosta) za pomocą przewodu Thunderbolt 3 (USB-C).
  4. Gdy pojawi się monit o wprowadzenie hasła w celu odblokowania dysku, kliknij opcję Anuluj.
  5. Podłącz dysk zewnętrzny zawierający prywatny klucz odzyskiwania do komputera Mac, który jest hostem.
  6. Jeśli prywatny klucz odzyskiwania został zachowany w zaszyfrowanym obrazie dysku, kliknij dwukrotnie plik, aby zamontować obraz i wprowadź hasło po wyświetleniu monitu.
  7. Jeśli nie znasz nazwy woluminu startowego (np. Macintosh HD) na dysku, który chcesz odblokować, otwórz Narzędzie dyskowe, a następnie znajdź nazwę woluminu na pasku bocznym. Informacja ta będzie potrzebna w następnym kroku.
  8. Otwórz aplikację Terminal, a następnie wprowadź następujące polecenie, aby odblokować zaszyfrowany dysk startowy. Zamień wartość „name” na nazwę woluminu startowego, a wartość /path na ścieżkę do pliku FileVaultMaster.keychain na dysku zewnętrznym lub obrazie dysku:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    Przykładowy wolumin startowy o nazwie Macintosh HD i wolumin z kluczem odzyskiwania o nazwie ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. Wprowadź hasło główne, aby odblokować dysk startowy. Jeśli hasło zostanie przyjęte, wolumin zostanie zamontowany na biurku.
Data publikacji: