Definir uma chave reserva do FileVault para os computadores de sua instituição

Uma chave reserva institucional (IRK) permitirão que você recupere os dados do usuário que foram criptografados com o FileVault quando ele não conseguir se lembrar da senha de início de sessão do Mac.

Estas etapas avançadas são destinadas a administradores de sistema e outras pessoas familiarizadas com a linha de comando.

Criar chaves mestras do FileVault

  1. Abra o app Terminal no Mac e insira este comando:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Quando solicitada, insira a senha mestre das novas chaves. Depois, insira-as novamente quando solicitadas. O Terminal não mostra a senha conforme você a digita.
  3. Um par de chaves é gerado, e um arquivo chamado FileVaultMaster.keychain é salvo na mesa. Copie esse arquivo para um local seguro, por exemplo, uma imagem de disco criptografada ou uma unidade externa. Essa cópia segura é a chave reserva privada que desbloqueia o disco de inicialização de qualquer configuração do Mac para usar as chaves mestras do FileVault. Não a distribua. 

Na próxima seção, você atualizará o arquivo FileVaultMaster.keychain que continua na mesa. Depois, você poderá implantar essa chave nos computadores Mac de sua instituição.

Remover a chave privada das chaves mestras

Após criar uma chave mestra do FileVault, siga estas etapas para preparar uma cópia para implantação:

  1. Clique duas vezes no arquivo FileVaultMaster.keychain na mesa. O app Acesso às Chaves será aberto.
  2. Na barra lateral do Acesso às Chaves, selecione FileVaultMaster. Se houver mais de dois itens indicados à direita, selecione outras chaves na barra lateral e, depois, selecione FileVaultMaster novamente para atualizar a lista.
  3. Se as chaves FileVaultMaster estiverem bloqueadas, clique em  no canto superior esquerdo do Acesso às Chaves e insira a senha mestra que você criou.
  4. Nos dois itens exibidos à direita, selecione aquele identificado como "chave privada" na coluna Tipo:
    Acesso às Chaves mostrando a FileVault Master Password Key privada selecionada
  5. Apague a chave privada: selecione Editar > Apagar na barra de menus, insira a senha mestra das chaves e clique em Apagar quando for solicitado a confirmar.
  6. Feche o Acesso às Chaves.

Agora que as chaves mestras na mesa não contêm mais a chave privada, elas estão prontas para a implantação.

Implantar as chaves mestras atualizadas em cada Mac

Após remover a chave privada das chaves, siga estas etapas em cada Mac que deseja desbloquear usando a chave privada.

  1. Coloque uma cópia do arquivo FileVaultMaster.keychain atualizado na pasta /Biblioteca/Chaves.
  2. Abra o app Terminal e insira ambos os comandos abaixo. Eles garantem que as permissões do arquivo estejam definidas como -rw-r--r-- e que o arquivo seja propriedade de root e atribuído para o grupo chamado wheel.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Se o FileVault já estiver ativado, insira este comando no Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Se o FileVault estiver desativado, abra as preferências "Segurança e Privacidade" e ative o FileVault. Você deve ver uma mensagem informando que a chave reserva foi definida pela empresa, escola ou instituição. Clique em Continuar.
    Preferências

Isso conclui o processo. Se um usuário esquecer a senha da conta de usuário do macOS e não conseguir iniciar sessão no Mac, ele poderá usar a chave privada para desbloquear o disco.

 

Usar a chave privada para desbloquear o disco de inicialização de um usuário

Se um usuário esquecer a senha da conta e não conseguir iniciar sessão no Mac, ele poderá usar a chave reserva privada para desbloquear o disco de inicialização e acessar os dados que foram criptografados com o FileVault.

  1. No Mac do cliente, mantenha as teclas Command + R pressionadas durante a inicialização para inicializar usando a Recuperação do macOS.
  2. Se você não souber o nome (por exemplo, Macintosh HD) ou o formato do disco de inicialização, abra o Utilitário de Disco na janela "Utilitários do macOS" e verifique à direita a informação exibida no Utilitário de Disco referente àquele volume. Se "Grupo de Volumes Lógicos de CoreStorage" for exibido em vez de "Volume APFS" e "Mac OS Expandido", o formato será "Mac OS Expandido". Você precisará dessa informação em uma etapa posterior. Ao terminar, encerre o Utilitário de Disco.
  3. Conecte a unidade externa que contém a chave reserva privada.
  4. Na barra de menus na Recuperação do macOS, selecione Utilitários > Terminal.
  5. Se você tiver armazenado a chave reserva privada em uma imagem de disco criptografada, use o seguinte comando no Terminal para instalar a imagem. Substitua /path pelo caminho da imagem de disco, incluindo extensão do nome do arquivo .dmg.
    hdiutil attach /path
    
    Exemplo de uma imagem de disco chamada PrivateKey.dmg em um volume chamado ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Use o seguinte comando para desbloquear as chaves mestras do FileVault. Substitua /path pelo caminho do arquivo FileVaultMaster.keychain na unidade externa. Nesta etapa e em todas as outras restantes, se as chaves estiverem armazenadas em uma imagem de disco criptografada, lembre-se de incluir o nome da imagem no caminho.
    security unlock-keychain /path
    
    Exemplo de um volume chamado ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Insira a senha mestra para desbloquear o disco de inicialização. Se a senha for aceita, o Prompt de Comando informará isso a você.

Continue conforme descrito abaixo, com base em como o disco de inicialização do usuário está formatado.

APFS

 Se o disco de inicialização estiver formatado para APFS, siga mais estas etapas:

  1. Insira o seguinte comando para desbloquear o disco de inicialização criptografado. Substitua "name" pelo nome do volume de inicialização e substitua /path pelo caminho do FileVaultMaster.keychain na unidade externa ou na imagem de disco:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Exemplo de um volume de inicialização chamado Macintosh HD e de um volume de chave reserva chamado ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Insira a senha mestra para desbloquear as chaves e instalar o disco de inicialização.
  3. Use as ferramentas da linha de comando, como ditto para fazer backup dos dados no disco ou encerre o Terminal e use o Utilitário de Disco.

Mac OS Expandido (HFS Plus)

Se o disco de inicialização estiver formatado para Mac OS Expandido, siga mais estas etapas:

  1. Insira este comando para obter uma lista de unidades e volumes CoreStorage:
    diskutil cs list
    
  2. Selecione o UUID que aparece após "Logical Volume" e copie-o para usá-lo em uma etapa posterior.
    Exemplo: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. Use o seguinte comando para desbloquear o disco de inicialização criptografado. Substitua UUID pelo UUID que você copiou na etapa anterior e substitua /path pelo caminho do FileVaultMaster.keychain na unidade externa ou na imagem de disco:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Exemplo de um volume de chave reserva chamado ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Insira a senha mestra para desbloquear as chaves e instalar o disco de inicialização.
  5. Use as ferramentas da linha de comando, como ditto para fazer backup dos dados em um disco. Você também pode encerrar o Terminal e usar o Utilitário de Disco. Ou use o seguinte comando para descriptografar o disco desbloqueado e usá-lo para inicializar. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Exemplo de um volume de chave reserva chamado ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Data da publicação: