Como usar uma chave reserva institucional com computadores Mac com processador Intel

Saiba como criar uma chave reserva institucional (IRK) para desbloquear os computadores Mac com processador Intel e criptografia FileVault e recuperar os dados.

Este artigo aborda o método antigo de criação de uma chave reserva institucional (IRK) para desbloquear computadores Mac com processador Intel e criptografia FileVault. Se o computador Mac com Apple Silicon ou processador Intel usar MDM, você poderá colocar a chave reserva em custódia em um servidor em vez de usar uma IRK.

Você pode usar uma chave reserva para recuperar o acesso aos dados criptografados do FileVault para usuários que não conseguem acessar os dados usando a senha. Em computadores Mac com processador Intel, você pode usar uma chave reserva institucional para desbloquear computadores Mac com criptografia FileVault e recuperar os dados usando o Modo Disco de Destino.

Criar chaves mestras do FileVault

  1. Abra o app Terminal no Mac e insira este comando:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Quando solicitada, insira a senha mestre das novas chaves. Depois, insira-as novamente quando solicitadas. O Terminal não mostra a senha conforme você a digita.
  3. Um par de chaves é gerado, e um arquivo chamado FileVaultMaster.keychain é salvo na mesa. Copie esse arquivo para um local seguro, por exemplo, uma imagem de disco criptografada ou uma unidade externa. Essa cópia segura é a chave reserva privada que desbloqueia o disco de inicialização de qualquer configuração do Mac com processador Intel para usar as chaves mestras do FileVault. Não a distribua. 

Na próxima seção, você atualizará o arquivo FileVaultMaster.keychain que continua na mesa. Depois, você poderá implantar essa chave nos computadores Mac de sua organização.


Remover a chave privada das chaves mestras

Após criar uma chave mestra do FileVault, siga estas etapas para preparar uma cópia para implantação:

  1. Clique duas vezes no arquivo FileVaultMaster.keychain na mesa. O app Acesso às Chaves será aberto.
  2. Na barra lateral do Acesso às Chaves, selecione FileVaultMaster.
  3. Se as chaves do FileVaultMaster estiverem bloqueadas, selecione Arquivo > Desbloquear Chaves "FileVaultMaster" na barra de menus e, em seguida, insira a senha mestre que você criou.
  4. Nos dois itens exibidos à direita, selecione aquele identificado como "chave privada" na coluna Tipo:
    Acesso às Chaves mostrando a FileVault Master Password Key privada selecionada
  5. Apague a chave privada: selecione Editar > Apagar na barra de menus, insira a senha mestra das chaves e clique em Apagar quando for solicitado a confirmar.
  6. Feche o Acesso às Chaves.

Agora que as chaves mestras na mesa não contêm mais a chave privada, elas estão prontas para a implantação.


Implantar as chaves mestras atualizadas em cada Mac

Após remover a chave privada das chaves, siga estas etapas em cada Mac com processador Intel que deseja desbloquear usando a chave privada.

  1. Coloque uma cópia do arquivo FileVaultMaster.keychain atualizado na pasta /Biblioteca/Chaves.
  2. Abra o app Terminal e insira ambos os comandos abaixo. Eles garantem que as permissões do arquivo estejam definidas como -rw-r--r-- e que o arquivo seja propriedade de root e atribuído para o grupo chamado wheel.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Se o FileVault já estiver ativado, insira este comando no Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Se o FileVault estiver desativado, abra as preferências "Segurança e Privacidade" e ative o FileVault. Você deve ver uma mensagem informando que a chave reserva foi definida pela empresa, escola ou organização. Clique em Continuar.
    Preferências

Isso conclui o processo. Se um usuário esquecer a senha da conta de usuário do macOS e não conseguir iniciar sessão no Mac, ele poderá usar a chave privada para desbloquear o disco.


Usar a chave privada para desbloquear o disco de inicialização de um usuário

  1. No Mac que você quer desbloquear, ligue o computador enquanto mantém pressionada a tecla T.
  2. Depois de ver o logotipo do Thunderbolt, solte a tecla T. 
  3. Conecte o Mac a outro Mac (host) usando um cabo Thunderbolt 3 (USB-C).
  4. Quando a senha for solicitada para desbloquear o disco, clique em Cancelar.
  5. No Mac host, conecte o drive externo que contém a chave reserva privada.
  6. Se você armazenou a chave reserva privada em uma imagem de disco criptografada, clique duas vezes no arquivo para instalar a imagem e insira a senha quando ela for solicitada.
  7. Se você não souber o nome do volume de inicialização (como Macintosh HD) no disco que deseja desbloquear, abra o Utilitário de Disco e localize o nome do volume na barra lateral. Você precisará dessa informação na etapa seguinte.
  8. Abra o Terminal e digite o seguinte comando para desbloquear o disco de inicialização criptografado. Substitua "name" pelo nome do volume de inicialização e substitua /path pelo caminho para FileVaultMaster.keychain no drive externo ou na imagem de disco:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    Exemplo de um volume de inicialização chamado Macintosh HD e de um volume de chave reserva chamado ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. Insira a senha mestra para desbloquear o disco de inicialização. Se a senha for aceita, o volume será instalado na Mesa.
Data da publicação: