Esse artigo foi arquivado e não será mais atualizado pela Apple.

Como usar uma chave reserva institucional em computadores Mac com processador Intel

Saiba como criar uma chave reserva institucional (IRK) para desbloquear os computadores Mac com processador Intel e criptografia FileVault e recuperar os dados.

Este artigo aborda o método antigo de criação de uma chave reserva institucional (IRK) para desbloquear computadores Mac com processador Intel e criptografia FileVault. Se o computador Mac com Apple Silicon ou processador Intel usar MDM, você poderá colocar a chave reserva em custódia em um servidor em vez de usar uma IRK.

Você pode usar uma chave reserva para recuperar o acesso aos dados criptografados do FileVault para usuários que não conseguem acessar os dados usando a senha. Em computadores Mac com processador Intel, você pode usar uma chave reserva institucional para desbloquear computadores Mac com criptografia FileVault e recuperar os dados usando o Modo Disco de Destino.

Criar chaves mestras do FileVault

  1. Abra o app Terminal no Mac e insira este comando:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. Quando necessário, insira a senha mestre das novas chaves. Insira-a novamente quando solicitada. O Terminal não mostra a senha conforme você a digita.

  3. Um par de chaves é gerado, e um arquivo chamado FileVaultMaster.keychain é salvo na mesa. Copie esse arquivo para um local seguro, por exemplo, uma imagem de disco criptografada ou uma unidade externa. Essa cópia segura é a chave reserva privada que desbloqueia o disco de inicialização de qualquer configuração do Mac com processador Intel para usar as chaves mestras do FileVault. Não a distribua.

Na próxima seção, você atualizará o arquivo FileVaultMaster.keychain que continua na mesa. Depois, você poderá implantar essa chave nos computadores Mac de sua organização.

Remover a chave privada das chaves mestras

Após criar uma chave mestra do FileVault, siga estas etapas para preparar uma cópia para implantação:

  1. Clique duas vezes no arquivo FileVaultMaster.keychain na mesa. O app Acesso às Chaves será aberto.

  2. Na barra lateral do Acesso às Chaves, selecione FileVaultMaster.

  3. Se as chaves do FileVaultMaster estiverem bloqueadas, selecione Arquivo > Desbloquear Chaves "FileVaultMaster" na barra de menus. Em seguida, insira a senha mestre que você criou.

  4. Nos dois itens exibidos à direita, selecione aquele identificado como "chave privada" na coluna Tipo:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. Apague a chave privada: selecione Editar > Apagar na barra de menus, insira a senha mestra das chaves e clique em Apagar quando precisar confirmar.

  6. Feche o Acesso às Chaves.

Agora que as chaves mestras na mesa não contêm mais a chave privada, elas estão prontas para a implantação.

Implantar as chaves mestras atualizadas em cada Mac

Após remover a chave privada das chaves, siga estas etapas em cada Mac com processador Intel que deseja desbloquear usando a chave privada.

  1. Coloque uma cópia do arquivo FileVaultMaster.keychain atualizado na pasta /Biblioteca/Chaves.

  2. Abra o app Terminal e insira os dois comandos abaixo. Eles garantem que as permissões do arquivo estejam definidas como-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Se o FileVault já estiver ativado, insira este comando no Terminal:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Se o FileVault estiver desativado, abra as preferências "Segurança e Privacidade" e ative o FileVault. Você deve ver uma mensagem informando que a chave reserva foi definida pela empresa, escola ou organização. Clique em Continuar.

    Security & Privacy preferences, showing the Recovery Key message

Isso conclui o processo. Se um usuário esquecer a senha da conta de usuário do macOS e não conseguir iniciar sessão no Mac, ele poderá usar a chave privada para desbloquear o disco.

Usar a chave privada para desbloquear o disco de inicialização de um usuário

  1. No Mac que você quer desbloquear, ligue o computador enquanto mantém pressionada a tecla T.

  2. Depois de ver o logotipo do Thunderbolt, solte a tecla T.

  3. Conecte o Mac a outro Mac (host) usando um cabo Thunderbolt 3 (USB-C).

  4. Quando a senha for solicitada para desbloquear o disco, clique em Cancelar.

  5. No Mac host, conecte a unidade externa que contém a chave reserva privada.

  6. Se você tiver armazenado a chave reserva privada em uma imagem de disco criptografada, clique duas vezes no arquivo para instalar a imagem e insira a senha, quando solicitada.

  7. Se você não souber o nome do volume de inicialização (como Macintosh HD) no disco que deseja desbloquear, abra o Utilitário de Disco e localize o nome do volume na barra lateral. Você precisará dessa informação na etapa seguinte.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Insira a senha mestra para desbloquear o disco de inicialização. Se a senha for aceita, o volume será instalado na Mesa.

Data da publicação: