Definir uma chave de recuperação do FileVault para os computadores na sua instituição

A chave de recuperação institucional (IRK) permite recuperar os dados cifrados do FileVault dos utilizadores, quando estes não se recordarem da palavra-passe de início de sessão no Mac.

Estes passos avançados destinam-se a administradores de sistema e a utilizadores familiarizados com a linha de comandos.

Criar um porta-chaves principal do FileVault

  1. Abra a app Terminal no Mac e introduza o seguinte comando:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Quando lhe for solicitado, introduza a palavra-passe principal do novo porta-chaves e, em seguida, introduza-a novamente. O Terminal não mostra a palavra-passe enquanto escreve.
  3. É gerado um par de chaves e é guardado na secretária um ficheiro com o nome FileVaultMaster.keychain. Copie este ficheiro para um local seguro, como uma imagem de disco cifrada numa unidade externa. Esta cópia segura é a chave de recuperação privada que permite desbloquear o disco de arranque de qualquer Mac configurado para utilizar o porta-chaves principal do FileVault. Não se destina à distribuição. 

Na secção seguinte, irá atualizar o ficheiro FileVaultMaster.keychain que se encontra na secretária. Em seguida, pode implementar esse porta-chaves nos computadores Mac da instituição.

Remover a chave privada do porta-chaves principal

Após criar o porta-chaves principal do FileVault, siga estes passos para preparar uma cópia para implementação:

  1. Faça duplo clique no ficheiro FileVaultMaster.keychain na secretária. A app Acesso a Porta-chaves é aberta.
  2. Na barra lateral da app Acesso a Porta-chaves, selecione FileVaultMaster. Se vir mais de dois elementos na lista apresentada à direita, selecione outro porta-chaves na barra lateral e, em seguida, selecione novamente FileVaultMaster para atualizar a lista.
  3. Se o porta-chaves FileVaultMaster estiver bloqueado, clique em  no canto superior esquerdo da app Acesso a Porta-chaves e introduza a palavra-passe principal que criou.
  4. Entre os dois elementos apresentados à direita, selecione aquele que está identificado como "chave privada" na coluna Tipo:
    App Acesso a Porta-chaves, apresentando a FileVault Master Password Key selecionada
  5. Eliminar a chave privada: selecione Editar > Apagar na barra de menus, introduza a palavra-passe principal do porta-chaves e, em seguida, clique em Apagar quando lhe for solicitada a confirmação.
  6. Saia da app Acesso a Porta-chaves.

Agora que o porta-chaves principal na secretária já não contém a chave privada, está pronto para a implementação.

Implementar o porta-chaves principal atualizado em cada Mac

Após remover a chave privada do porta-chaves, siga estes passos em cada Mac que pretende desbloquear com a chave privada.

  1. Coloque uma cópia do ficheiro atualizado FileVaultMaster.keychain na pasta /Biblioteca/Keychains/.
  2. Abra a app Terminal e introduza os dois comandos seguintes. Estes comandos garantem que as autorizações do ficheiro estão definidas como -rw-r--r-- e que o ficheiro é propriedade de "root" e atribuído ao grupo com o nome "wheel".
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Se o FileVault já estiver ativado, introduza o seguinte comando no Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Se o FileVault estiver desativado, abra as preferências de Segurança e privacidade e ative o FileVault. Deverá surgir uma mensagem a indicar que foi definida uma chave de recuperação para a empresa, escola ou instituição. Clique em Continuar.
    Preferências de segurança e privacidade, apresentando a mensagem de chave de recuperação

Esta ação conclui o processo. Se o utilizador se esquecer da palavra-passe de conta de utilizador do macOS e não conseguir iniciar sessão no Mac, pode utilizar a chave privada para desbloquear o disco.

 

Utilizar a chave privada para desbloquear o disco de arranque de um utilizador

Se um utilizador se esqueceu da palavra-passe da sua conta e não conseguir iniciar sessão no Mac, pode utilizar a chave de recuperação privada para desbloquear o disco de arranque e aceder aos seus dados cifrados do FileVault.

  1. No Mac do cliente, efetue o arranque a partir da Recuperação do macOS premindo continuamente as teclas Comando+R durante o arranque.
  2. Se não souber o nome (como Macintosh HD) e o formato do disco de arranque, abra o Utilitário de discos na janela de Utilitários do macOS e verifique as informações que o Utilitário de discos apresenta para o volume à direita. Se vir "Grupo de volumes lógicos CoreStorage" em vez de "Volume APFS" ou "Mac OS Expandido", o formato é Mac OS Expandido. Irá necessitar destas informações num passo posterior. Saia do Utilitário de discos quando terminar.
  3. Ligue a unidade externa que contém a chave de recuperação privada.
  4. Na barra de menus na Recuperação do macOS, selecione Utilitários > Terminal.
  5. Se armazenou a chave de recuperação privada numa imagem de disco cifrada, utilize o seguinte comando no Terminal para montar a imagem. Substitua /path pelo caminho para a imagem de disco, incluindo a extensão de nome de ficheiro .dmg:
    hdiutil attach /path
    
    Exemplo de uma imagem de disco com o nome PrivateKey.dmg num volume com o nome ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Utilize o seguinte comando para desbloquear o porta-chaves principal do FileVault. Substitua /path pelo caminho para FileVaultMaster.keychain na unidade externa. Neste passo e nos passos seguintes, se o porta-chaves estiver armazenado numa imagem de disco cifrada, inclua o nome da imagem no caminho.
    security unlock-keychain /path
    
    Exemplo de um volume com o nome ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Introduza a palavra-passe principal para desbloquear o disco de arranque. Se a palavra-passe for aceite, a linha de comandos regressa.

Continue conforme descrito abaixo, com base na formatação do disco de arranque do utilizador.

APFS

 Se o disco de arranque estiver formatado para APFS, conclua estes passos adicionais:

  1. Introduza o seguinte comando para desbloquear o disco de arranque cifrado. Substitua "name" pelo nome do volume de arranque, e substitua /path pelo caminho do FileVaultMaster.keychain na unidade externa ou imagem do disco:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Exemplo de um volume de arranque com o nome Macintosh HD e de um volume de chave de recuperação com o nome ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Introduza a palavra-passe principal para desbloquear o porta-chaves e montar o disco de arranque.
  3. Utilize ferramentas de linha de comandos como ditto para criar uma cópia de segurança dos dados no disco ou saia do Terminal e utilize o Utilitário de discos.

Mac OS Expandido (HFS Plus)

Se o disco de arranque estiver formatado para Mac OS Expandido, conclua estes passos adicionais:

  1. Introduza este comando para obter uma lista de unidades e volumes CoreStorage:
    diskutil cs list
    
  2. Selecione o UUID que surge após "Volume lógico" e copie-o para poder utilizá-lo num passo posterior.
    Exemplo: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. Utilize o seguinte comando para desbloquear o disco de arranque cifrado. Substitua UUID pelo UUID que copiou no passo anterior, e substitua /path pelo caminho do FileVaultMaster.keychain na unidade externa ou imagem do disco:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Exemplo de um volume de chave de recuperação com o nome ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Introduza a palavra-passe principal para desbloquear o porta-chaves e montar o disco de arranque.
  5. Utilize ferramentas de linha de comandos, como ditto, para criar uma cópia de segurança dos dados no disco. Também pode sair do Terminal e utilizar o Utilitário de discos. Em alternativa, utilize o comando seguinte para decifrar o disco desbloqueado e iniciar o arranque a partir do disco. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Exemplo de um volume de chave de recuperação com o nome ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Data de publicação: