Como utilizar chaves de recuperação institucionais com Macs com processador Intel
Saiba como criar uma chave de recuperação institucional (IRK) para desbloquear computadores Mac com processador Intel encriptados pelo FileVault e recuperar dados.
Este artigo abrange o método antigo de criar uma chave de recuperação institucional (IRK) para desbloquear computadores Mac com processador Intel encriptados pelo FileVault. Se o computador Mac com processador Apple ou o Mac com processador Intel utilizar a MDM, pode depositar a chave de recuperação num servidor em vez de utilizar uma IRK.
Pode utilizar uma chave de recuperação para recuperar o acesso a dados encriptados pelo FileVault para utilizadores que não consigam aceder aos dados com a respetiva palavra-passe. Em computadores Mac com processador Intel, pode utilizar uma chave de recuperação institucional para desbloquear computadores Mac encriptados pelo FileVault e recuperar dados através do modo de disco de destino.
Criar um porta-chaves principal do FileVault
Abra a app Terminal no Mac e introduza o seguinte comando:
security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
Quando lhe for solicitado, introduza a palavra-passe principal do novo porta-chaves e, em seguida, introduza-a novamente. O Terminal não mostra a palavra-passe enquanto escreve.
É gerado um par de chaves e é guardado na secretária um ficheiro com o nome FileVaultMaster.keychain. Copie este ficheiro para um local seguro, como uma imagem de disco encriptada numa unidade externa. Esta cópia segura é a chave de recuperação privada que permite desbloquear o disco de arranque de qualquer Mac com processador Intel configurado para utilizar o porta-chaves principal do FileVault. Não se destina a distribuição.
Na secção seguinte, irá atualizar o ficheiro FileVaultMaster.keychain que se encontra na secretária. Em seguida, pode implementar esse porta-chaves nos computadores Mac da organização.
Remover a chave privada do porta-chaves principal
Após criar o porta-chaves principal do FileVault, siga estes passos para preparar uma cópia para implementação:
Faça duplo clique no ficheiro FileVaultMaster.keychain na secretária. A app Acesso a Porta-chaves é aberta.
Na barra lateral da app Acesso a Porta-chaves, selecione FileVaultMaster.
Se o porta-chaves FileVaultMaster estiver bloqueado, selecione Ficheiro > Desproteger porta‑chaves "FileVaultMaster" na barra de menus e, em seguida, introduza a palavra-chave principal que criou.
Entre os dois elementos apresentados à direita, selecione aquele que está identificado como "chave privada" na coluna Tipo:
Apagar a chave privada: selecione Editar > Apagar na barra de menus, introduza a palavra-passe principal do porta-chaves e, em seguida, clique em Apagar quando lhe for solicitada a confirmação.
Saia da app Acesso a Porta-chaves.
Agora que o porta-chaves principal na secretária já não contém a chave privada, está pronto para a implementação.
Implementar o porta-chaves principal atualizado em cada Mac
Após remover a chave privada do porta-chaves, siga estes passos em cada Mac com processador Intel que pretende desbloquear com a chave privada.
Coloque uma cópia do ficheiro FileVaultMaster.keychain atualizado na pasta /Biblioteca/Keychains/.
Abra a app Terminal e introduza os dois comandos seguintes. Estes comandos garantem que as autorizações do ficheiro estão definidas como
-rw-r--r--
and the file is owned by root and assigned to the group named wheel.sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
Se o FileVault já estiver ativado, introduza o seguinte comando no Terminal:
sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
Se o FileVault estiver desativado, abra as preferências de Segurança e privacidade e ative o FileVault. Deverá surgir uma mensagem a indicar que foi definida uma chave de recuperação para a empresa, escola ou organização. Clique em Continuar.
Esta ação conclui o processo. Se um utilizador se esquecer da palavra-passe de conta de utilizador do macOS e não conseguir iniciar sessão no Mac, poderá utilizar a chave privada para desbloquear o disco.
Utilizar a chave privada para desbloquear o disco de arranque de um utilizador
No Mac que pretende desbloquear, ligue o computador enquanto mantém premida a tecla T.
Assim que vir o logótipo do Thunderbolt, solte a tecla T.
Ligue o Mac a outro Mac (o host) através de um cabo Thunderbolt 3 (USB-C).
Quando lhe for solicitado para introduzir uma palavra-passe para desbloquear o disco, clique em Cancelar.
No Mac host, ligue a unidade externa que contém a chave de recuperação privada.
Se armazenou a chave de recuperação privada numa imagem de disco encriptada, faça duplo clique no ficheiro para montar a imagem e introduza a palavra-passe quando lhe for solicitado.
Se não souber o nome do volume de arranque (como Macintosh HD) no disco que pretende desbloquear, abra o Utilitário de discos e, em seguida, localize o nome do volume na barra lateral. Irá precisar destas informações no próximo passo.
diskutil ap unlockVolume "name" -recoveryKeychain /path
Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:
diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Introduza a palavra-passe principal para desbloquear o disco de arranque. Se a palavra-passe for aceite, o volume é montado na secretária.