Como usar uma chave reserva institucional em computadores Mac com processador Intel
Saiba como criar uma chave reserva institucional (IRK) para desbloquear os computadores Mac com processador Intel e criptografia FileVault e recuperar os dados.
Este artigo aborda o método antigo de criação de uma chave reserva institucional (IRK) para desbloquear computadores Mac com processador Intel e criptografia FileVault. Se o computador Mac com Apple Silicon ou processador Intel usar MDM, você poderá colocar a chave reserva em custódia em um servidor em vez de usar uma IRK.
Você pode usar uma chave reserva para recuperar o acesso aos dados criptografados do FileVault para usuários que não conseguem acessar os dados usando a senha. Em computadores Mac com processador Intel, você pode usar uma chave reserva institucional para desbloquear computadores Mac com criptografia FileVault e recuperar os dados usando o Modo Disco de Destino.
Criar chaves mestras do FileVault
Abra o app Terminal no Mac e insira este comando:
security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
Quando necessário, insira a senha mestre das novas chaves. Insira-a novamente quando solicitada. O Terminal não mostra a senha conforme você a digita.
Um par de chaves é gerado, e um arquivo chamado FileVaultMaster.keychain é salvo na mesa. Copie esse arquivo para um local seguro, por exemplo, uma imagem de disco criptografada ou uma unidade externa. Essa cópia segura é a chave reserva privada que desbloqueia o disco de inicialização de qualquer configuração do Mac com processador Intel para usar as chaves mestras do FileVault. Não a distribua.
Na próxima seção, você atualizará o arquivo FileVaultMaster.keychain que continua na mesa. Depois, você poderá implantar essa chave nos computadores Mac de sua organização.
Remover a chave privada das chaves mestras
Após criar uma chave mestra do FileVault, siga estas etapas para preparar uma cópia para implantação:
Clique duas vezes no arquivo FileVaultMaster.keychain na mesa. O app Acesso às Chaves será aberto.
Na barra lateral do Acesso às Chaves, selecione FileVaultMaster.
Se as chaves do FileVaultMaster estiverem bloqueadas, selecione Arquivo > Desbloquear Chaves "FileVaultMaster" na barra de menus. Em seguida, insira a senha mestre que você criou.
Nos dois itens exibidos à direita, selecione aquele identificado como "chave privada" na coluna Tipo:
Apague a chave privada: selecione Editar > Apagar na barra de menus, insira a senha mestra das chaves e clique em Apagar quando precisar confirmar.
Feche o Acesso às Chaves.
Agora que as chaves mestras na mesa não contêm mais a chave privada, elas estão prontas para a implantação.
Implantar as chaves mestras atualizadas em cada Mac
Após remover a chave privada das chaves, siga estas etapas em cada Mac com processador Intel que deseja desbloquear usando a chave privada.
Coloque uma cópia do arquivo FileVaultMaster.keychain atualizado na pasta /Biblioteca/Chaves.
Abra o app Terminal e insira os dois comandos abaixo. Eles garantem que as permissões do arquivo estejam definidas como
-rw-r--r--
and the file is owned by root and assigned to the group named wheel.sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
Se o FileVault já estiver ativado, insira este comando no Terminal:
sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
Se o FileVault estiver desativado, abra as preferências "Segurança e Privacidade" e ative o FileVault. Você deve ver uma mensagem informando que a chave reserva foi definida pela empresa, escola ou organização. Clique em Continuar.
Isso conclui o processo. Se um usuário esquecer a senha da conta de usuário do macOS e não conseguir iniciar sessão no Mac, ele poderá usar a chave privada para desbloquear o disco.
Usar a chave privada para desbloquear o disco de inicialização de um usuário
No Mac que você quer desbloquear, ligue o computador enquanto mantém pressionada a tecla T.
Depois de ver o logotipo do Thunderbolt, solte a tecla T.
Conecte o Mac a outro Mac (host) usando um cabo Thunderbolt 3 (USB-C).
Quando a senha for solicitada para desbloquear o disco, clique em Cancelar.
No Mac host, conecte a unidade externa que contém a chave reserva privada.
Se você tiver armazenado a chave reserva privada em uma imagem de disco criptografada, clique duas vezes no arquivo para instalar a imagem e insira a senha, quando solicitada.
Se você não souber o nome do volume de inicialização (como Macintosh HD) no disco que deseja desbloquear, abra o Utilitário de Disco e localize o nome do volume na barra lateral. Você precisará dessa informação na etapa seguinte.
diskutil ap unlockVolume "name" -recoveryKeychain /path
Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:
diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Insira a senha mestra para desbloquear o disco de inicialização. Se a senha for aceita, o volume será instalado na Mesa.