Ustawianie klucza odzyskiwania FileVault dla komputerów w instytucji

Instytucjonalny klucz odzyskiwania (IRK) pozwala odzyskać zaszyfrowane dane użytkowników funkcji FileVault, którzy zapomną hasła logowania do komputera Mac.

Te zaawansowane instrukcje są przeznaczone dla administratorów systemu i innych użytkowników potrafiących obsługiwać wiersz polecenia.

Tworzenie głównego pęku kluczy FileVault

  1. Otwórz aplikację Terminal na komputerze Mac i wprowadź następujące polecenie:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Po wyświetleniu odpowiedniego monitu wprowadź hasło główne dla nowego pęku kluczy, a następnie wprowadź je ponownie po pojawieniu się monitu. Aplikacja Terminal nie wyświetla hasła podczas wprowadzania.
  3. Zostanie wygenerowana para kluczy, a plik o nazwie FileVaultMaster.keychain zostanie zachowany na biurku. Skopiuj ten plik w bezpieczne miejsce, na przykład do zaszyfrowanego obrazu dysku przechowywanego na dysku zewnętrznym. Ta bezpieczna kopia to prywatny klucz odzyskiwania, za pomocą którego można odblokować dysk startowy dowolnego komputera Mac skonfigurowanego do używania głównego pęku kluczy FileVault. Nie należy jej udostępniać. 

Kolejnym krokiem jest uaktualnienie pliku FileVaultMaster.keychain znajdującego się nadal na biurku. Następnie będzie można zastosować ten pęk kluczy na komputerach Mac w instytucji.

Usuwanie prywatnego klucza z głównego pęku kluczy

Po utworzeniu głównego pęku kluczy FileVault wykonaj następujące czynności, aby przygotować jego kopię do użycia:

  1. Kliknij dwukrotnie plik FileVaultMaster.keychain znajdujący się na biurku. Otworzy się aplikacja Dostęp do pęku kluczy.
  2. Na pasku bocznym aplikacji Dostęp do pęku kluczy wybierz pozycję FileVaultMaster. Jeśli z prawej strony znajdują się co najmniej dwie pozycje, wybierz inny pęk kluczy na pasku. Ponownie wybierz pozycję FileVaultMaster, aby odświeżyć listę.
  3. Jeśli pęk kluczy FileVaultMaster jest zablokowany, kliknij ikonę  w lewym górnym rogu aplikacji Dostęp do pęku kluczy, a następnie wprowadź utworzone hasło główne.
  4. Z dwóch pozycji wyświetlonych po prawej stronie wybierz tę, która w kolumnie „Rodzaj” oznaczona jest jako „klucz prywatny”.
    Aplikacja Dostęp do pęku kluczy z zaznaczoną nazwą FileVault Master Password Key
  5. Usuń klucz prywatny: z paska menu wybierz kolejno opcje Edycja> Usuń, wprowadź hasło głównego pęku kluczy, a po wyświetleniu monitu o potwierdzenie kliknij opcję Usuń.
  6. Zamknij aplikację Dostęp do pęku kluczy.

Teraz główny pęk kluczy na biurku nie zawiera już prywatnego klucza i jest gotowy do użycia.

Używanie uaktualnionego głównego pęku kluczy na komputerze Mac

Po usunięciu prywatnego klucza z pęku kluczy wykonaj następujące czynności na każdym komputerze Mac, który chcesz odblokować za pomocą prywatnego klucza.

  1. Umieść kopię uaktualnionego pliku FileVaultMaster.keychain na ścieżce /Biblioteka/Keychains/ folder.
  2. Otwórz aplikację Terminal i wprowadź oba polecenia. Dzięki tym poleceniom uprawnienia pliku są ustawiane na -rw-r--r--, a plik jest własnością użytkownika root oraz zostaje przypisany do grupy o nazwie wheel.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Jeśli funkcja FileVault jest już włączona, wprowadź niniejsze polecenie w aplikacji Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Jeśli funkcja FileVault jest wyłączona, otwórz preferencje Ochrona i prywatność i włącz ją. Powinien zostać wyświetlony komunikat, że klucz odzyskiwania został skonfigurowany przez firmę, szkołę lub instytucję. Kliknij opcję Dalej.
    Preferencje Ochrona i prywatność z wyświetlonym komunikatem o kluczu odzyskiwania

To koniec procesu. Jeśli użytkownik zapomni hasła użytkownika systemu macOS i nie będzie mógł zalogować się do komputera Mac, możesz użyć prywatnego klucza, aby odblokować jego dysk.

 

Używanie prywatnego klucza do odblokowania dysku startowego użytkownika

Jeśli użytkownik zapomni hasła do konta i nie może zalogować się do komputera Mac, możesz użyć prywatnego klucza odzyskiwania, aby odblokować jego dysk startowy i uzyskać dostęp do zaszyfrowanych danych funkcji FileVault.

  1. Na komputerze Mac klienta uruchom funkcję odzyskiwania systemu macOS, przytrzymując klawisze Command+R podczas uruchamiania.
  2. Jeśli nie znasz nazwy (np. Macintosh HD) ani formatu dysku startowego, otwórz Narzędzie dyskowe z okna Narzędzia macOS, a następnie sprawdź informacje dla tego woluminu wyświetlane z prawej strony przez Narzędzie dyskowe. Jeśli zamiast informacji „Wolumin APFS” lub „Mac OS Extended” widnieje informacja „Grupa woluminów logicznych CoreStorage”, format woluminu to Mac OS Extended. Informacja ta będzie potrzebna w następnym kroku. Gdy skończysz, zamknij Narzędzie dyskowe.
  3. Podłącz dysk zewnętrzny zawierający prywatny klucz odzyskiwania.
  4. Z paska menu w trybie odzyskiwania systemu macOS wybierz opcje Narzędzia > Terminal.
  5. Jeśli prywatny klucz odzyskiwania znajduje się na zaszyfrowanym obrazie dysku, wprowadź następujące polecenie w aplikacji Terminal, aby go zamontować. Zamień wartość /path na ścieżkę, na której znajduje się obraz dysku wraz z rozszerzeniem nazwy pliku .dmg:
    hdiutil attach /path
    
    Przykładowy obraz dysku o nazwie PrivateKey.dmg na woluminie o nazwie ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Użyj następującego polecenia, aby odblokować główny pęk kluczy FileVault. Zamień wartość /path na ścieżkę do pliku FileVaultMaster.keychain na dysku zewnętrznym. Uwaga: jeśli pęk kluczy jest przechowywany na zaszyfrowanym obrazie dysku, pamiętaj, żeby w każdym kroku dodać nazwę tego obrazu do ścieżki.
    security unlock-keychain /path
    
    Przykładowy wolumin o nazwie ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Wprowadź hasło główne, aby odblokować dysk startowy. Jeśli hasło zostanie przyjęte, wiersz polecenia wyświetli się ponownie.

Wykonaj poniższe czynności zgodnie z formatem dysku startowego.

APFS

 Jeśli dysk startowy jest w formacie APFS, wykonaj te dodatkowe kroki:

  1. Wprowadź następujące polecenie, aby odblokować zaszyfrowany dysk startowy. Zamień wartość „name" na nazwę woluminu startowego, a wartość /path na ścieżkę do pliku FileVaultMaster.keychain na dysku zewnętrznym lub obrazie dysku:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Przykładowy wolumin startowy o nazwie Macintosh HD i wolumin z kluczem odzyskiwania o nazwie ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Wprowadź hasło główne, aby odblokować pęk kluczy i zamontować dysk startowy.
  3. Użyj narzędzi uruchamianych w wierszu poleceń takich jak ditto, aby utworzyć backup na dysku lub zakończ aplikację Terminal i użyj Narzędzia dyskowego.

Mac OS Extended (HFS Plus)

Jeśli dysk startowy jest w formacie Mac OS Extended, wykonaj te dodatkowe kroki:

  1. Wprowadź niniejsze polecenia, aby otrzymać listę dysków oraz woluminów CoreStorage:
    diskutil cs list
    
  2. Zaznacz identyfikator UUID znajdujący się po informacji „Wolumin logiczny” i skopiuj go, gdyż będzie potrzebny w następnym kroku.
    Przykład: +-> Wolumin logiczny 2F227AED-1398-42F8-804D-882199ABA66B
  3. Wprowadź następujące polecenie, aby odblokować zaszyfrowany dysk startowy. Zamień identyfikator UUID na identyfikator UUID skopiowany w poprzednim kroku, a wartość /path na ścieżkę do pliku FileVaultMaster.keychain na dysku zewnętrznym lub obrazie dysku:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Przykładowy wolumin z kluczem odzyskiwania o nazwie ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Wprowadź hasło główne, aby odblokować pęk kluczy i zamontować dysk startowy.
  5. Użyj narzędzi uruchamianych w wierszu poleceń takich jak ditto, aby utworzyć backup danych na dysku. Lub zakończ aplikację Terminal i użyj Narzędzia dyskowego. Użyj następującego polecenia, aby odszyfrować odblokowany dysk i uruchomić z niego komputer. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Przykładowy wolumin z kluczem odzyskiwania o nazwie ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Data publikacji: