Este artigo foi arquivado e já não é actualizado pela Apple.

Como utilizar chaves de recuperação institucionais com Macs com processador Intel

Saiba como criar uma chave de recuperação institucional (IRK) para desbloquear computadores Mac com processador Intel encriptados pelo FileVault e recuperar dados.

Este artigo abrange o método antigo de criar uma chave de recuperação institucional (IRK) para desbloquear computadores Mac com processador Intel encriptados pelo FileVault. Se o computador Mac com processador Apple ou o Mac com processador Intel utilizar a MDM, pode depositar a chave de recuperação num servidor em vez de utilizar uma IRK.

Pode utilizar uma chave de recuperação para recuperar o acesso a dados encriptados pelo FileVault para utilizadores que não consigam aceder aos dados com a respetiva palavra-passe. Em computadores Mac com processador Intel, pode utilizar uma chave de recuperação institucional para desbloquear computadores Mac encriptados pelo FileVault e recuperar dados através do modo de disco de destino.

Criar um porta-chaves principal do FileVault

  1. Abra a app Terminal no Mac e introduza o seguinte comando:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. Quando lhe for solicitado, introduza a palavra-passe principal do novo porta-chaves e, em seguida, introduza-a novamente. O Terminal não mostra a palavra-passe enquanto escreve.

  3. É gerado um par de chaves e é guardado na secretária um ficheiro com o nome FileVaultMaster.keychain. Copie este ficheiro para um local seguro, como uma imagem de disco encriptada numa unidade externa. Esta cópia segura é a chave de recuperação privada que permite desbloquear o disco de arranque de qualquer Mac com processador Intel configurado para utilizar o porta-chaves principal do FileVault. Não se destina a distribuição.

Na secção seguinte, irá atualizar o ficheiro FileVaultMaster.keychain que se encontra na secretária. Em seguida, pode implementar esse porta-chaves nos computadores Mac da organização.

Remover a chave privada do porta-chaves principal

Após criar o porta-chaves principal do FileVault, siga estes passos para preparar uma cópia para implementação:

  1. Faça duplo clique no ficheiro FileVaultMaster.keychain na secretária. A app Acesso a Porta-chaves é aberta.

  2. Na barra lateral da app Acesso a Porta-chaves, selecione FileVaultMaster.

  3. Se o porta-chaves FileVaultMaster estiver bloqueado, selecione Ficheiro > Desproteger porta‑chaves "FileVaultMaster" na barra de menus e, em seguida, introduza a palavra-chave principal que criou.

  4. Entre os dois elementos apresentados à direita, selecione aquele que está identificado como "chave privada" na coluna Tipo:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. Apagar a chave privada: selecione Editar > Apagar na barra de menus, introduza a palavra-passe principal do porta-chaves e, em seguida, clique em Apagar quando lhe for solicitada a confirmação.

  6. Saia da app Acesso a Porta-chaves.

Agora que o porta-chaves principal na secretária já não contém a chave privada, está pronto para a implementação.

Implementar o porta-chaves principal atualizado em cada Mac

Após remover a chave privada do porta-chaves, siga estes passos em cada Mac com processador Intel que pretende desbloquear com a chave privada.

  1. Coloque uma cópia do ficheiro FileVaultMaster.keychain atualizado na pasta /Biblioteca/Keychains/.

  2. Abra a app Terminal e introduza os dois comandos seguintes. Estes comandos garantem que as autorizações do ficheiro estão definidas como-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Se o FileVault já estiver ativado, introduza o seguinte comando no Terminal:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Se o FileVault estiver desativado, abra as preferências de Segurança e privacidade e ative o FileVault. Deverá surgir uma mensagem a indicar que foi definida uma chave de recuperação para a empresa, escola ou organização. Clique em Continuar.

    Security & Privacy preferences, showing the Recovery Key message

Esta ação conclui o processo. Se um utilizador se esquecer da palavra-passe de conta de utilizador do macOS e não conseguir iniciar sessão no Mac, poderá utilizar a chave privada para desbloquear o disco.

Utilizar a chave privada para desbloquear o disco de arranque de um utilizador

  1. No Mac que pretende desbloquear, ligue o computador enquanto mantém premida a tecla T.

  2. Assim que vir o logótipo do Thunderbolt, solte a tecla T.

  3. Ligue o Mac a outro Mac (o host) através de um cabo Thunderbolt 3 (USB-C).

  4. Quando lhe for solicitado para introduzir uma palavra-passe para desbloquear o disco, clique em Cancelar.

  5. No Mac host, ligue a unidade externa que contém a chave de recuperação privada.

  6. Se armazenou a chave de recuperação privada numa imagem de disco encriptada, faça duplo clique no ficheiro para montar a imagem e introduza a palavra-passe quando lhe for solicitado.

  7. Se não souber o nome do volume de arranque (como Macintosh HD) no disco que pretende desbloquear, abra o Utilitário de discos e, em seguida, localize o nome do volume na barra lateral. Irá precisar destas informações no próximo passo.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Introduza a palavra-passe principal para desbloquear o disco de arranque. Se a palavra-passe for aceite, o volume é montado na secretária.

Data de publicação: