Estes passos avançados destinam-se a administradores de sistema e a utilizadores familiarizados com a linha de comandos.
Criar um porta-chaves principal do FileVault
- Abra a app Terminal no Mac e introduza o seguinte comando:
security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
- Quando lhe for solicitado, introduza a palavra-passe principal do novo porta-chaves e, em seguida, introduza-a novamente. O Terminal não mostra a palavra-passe enquanto escreve.
- É gerado um par de chaves e é guardado na secretária um ficheiro com o nome FileVaultMaster.keychain. Copie este ficheiro para um local seguro, como uma imagem de disco cifrada numa unidade externa. Esta cópia segura é a chave de recuperação privada que permite desbloquear o disco de arranque de qualquer Mac configurado para utilizar o porta-chaves principal do FileVault. Não se destina à distribuição.
Na secção seguinte, irá atualizar o ficheiro FileVaultMaster.keychain que se encontra na secretária. Em seguida, pode implementar esse porta-chaves nos computadores Mac da instituição.
Remover a chave privada do porta-chaves principal
Após criar o porta-chaves principal do FileVault, siga estes passos para preparar uma cópia para implementação:
- Faça duplo clique no ficheiro FileVaultMaster.keychain na secretária. A app Acesso a Porta-chaves é aberta.
- Na barra lateral da app Acesso a Porta-chaves, selecione FileVaultMaster. Se vir mais de dois elementos na lista apresentada à direita, selecione outro porta-chaves na barra lateral e, em seguida, selecione novamente FileVaultMaster para atualizar a lista.
- Se o porta-chaves FileVaultMaster estiver bloqueado, clique em
no canto superior esquerdo da app Acesso a Porta-chaves e introduza a palavra-passe principal que criou. - Entre os dois elementos apresentados à direita, selecione aquele que está identificado como "chave privada" na coluna Tipo:
- Eliminar a chave privada: selecione Editar > Apagar na barra de menus, introduza a palavra-passe principal do porta-chaves e, em seguida, clique em Apagar quando lhe for solicitada a confirmação.
- Saia da app Acesso a Porta-chaves.
Agora que o porta-chaves principal na secretária já não contém a chave privada, está pronto para a implementação.
Implementar o porta-chaves principal atualizado em cada Mac
Após remover a chave privada do porta-chaves, siga estes passos em cada Mac que pretende desbloquear com a chave privada.
- Coloque uma cópia do ficheiro atualizado FileVaultMaster.keychain na pasta /Biblioteca/Keychains/.
- Abra a app Terminal e introduza os dois comandos seguintes. Estes comandos garantem que as autorizações do ficheiro estão definidas como
-rw-r--r--e que o ficheiro é propriedade de "root" e atribuído ao grupo com o nome "wheel".
sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
- Se o FileVault já estiver ativado, introduza o seguinte comando no Terminal:
sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
- Se o FileVault estiver desativado, abra as preferências de Segurança e privacidade e ative o FileVault. Deverá surgir uma mensagem a indicar que foi definida uma chave de recuperação para a empresa, escola ou instituição. Clique em Continuar.
Esta ação conclui o processo. Se o utilizador se esquecer da palavra-passe de conta de utilizador do macOS e não conseguir iniciar sessão no Mac, pode utilizar a chave privada para desbloquear o disco.
Utilizar a chave privada para desbloquear o disco de arranque de um utilizador
Se um utilizador se esqueceu da palavra-passe da sua conta e não conseguir iniciar sessão no Mac, pode utilizar a chave de recuperação privada para desbloquear o disco de arranque e aceder aos seus dados cifrados do FileVault.
- No Mac do cliente, efetue o arranque a partir da Recuperação do macOS premindo continuamente as teclas Comando+R durante o arranque.
- Se não souber o nome (como Macintosh HD) e o formato do disco de arranque, abra o Utilitário de discos na janela de Utilitários do macOS e verifique as informações que o Utilitário de discos apresenta para o volume à direita. Se vir "Grupo de volumes lógicos CoreStorage" em vez de "Volume APFS" ou "Mac OS Expandido", o formato é Mac OS Expandido. Irá necessitar destas informações num passo posterior. Saia do Utilitário de discos quando terminar.
- Ligue a unidade externa que contém a chave de recuperação privada.
- Na barra de menus na Recuperação do macOS, selecione Utilitários > Terminal.
- Se armazenou a chave de recuperação privada numa imagem de disco cifrada, utilize o seguinte comando no Terminal para montar a imagem. Substitua /path pelo caminho para a imagem de disco, incluindo a extensão de nome de ficheiro .dmg:
hdiutil attach /path
Exemplo de uma imagem de disco com o nome PrivateKey.dmg num volume com o nome ThumbDrive:
hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg - Utilize o seguinte comando para desbloquear o porta-chaves principal do FileVault. Substitua /path pelo caminho para FileVaultMaster.keychain na unidade externa. Neste passo e nos passos seguintes, se o porta-chaves estiver armazenado numa imagem de disco cifrada, inclua o nome da imagem no caminho.
security unlock-keychain /path
Exemplo de um volume com o nome ThumbDrive:
security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain
- Introduza a palavra-passe principal para desbloquear o disco de arranque. Se a palavra-passe for aceite, a linha de comandos regressa.
Continue conforme descrito abaixo, com base na formatação do disco de arranque do utilizador.
APFS
Se o disco de arranque estiver formatado para APFS, conclua estes passos adicionais:
- Introduza o seguinte comando para desbloquear o disco de arranque cifrado. Substitua "name" pelo nome do volume de arranque, e substitua /path pelo caminho do FileVaultMaster.keychain na unidade externa ou imagem do disco:
diskutil ap unlockVolume "name" -recoveryKeychain /path
Exemplo de um volume de arranque com o nome Macintosh HD e de um volume de chave de recuperação com o nome ThumbDrive:
diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain - Introduza a palavra-passe principal para desbloquear o porta-chaves e montar o disco de arranque.
- Utilize ferramentas de linha de comandos como
dittopara criar uma cópia de segurança dos dados no disco ou saia do Terminal e utilize o Utilitário de discos.
Mac OS Expandido (HFS Plus)
Se o disco de arranque estiver formatado para Mac OS Expandido, conclua estes passos adicionais:
- Introduza este comando para obter uma lista de unidades e volumes CoreStorage:
diskutil cs list
- Selecione o UUID que surge após "Volume lógico" e copie-o para poder utilizá-lo num passo posterior.
Exemplo: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
- Utilize o seguinte comando para desbloquear o disco de arranque cifrado. Substitua UUID pelo UUID que copiou no passo anterior, e substitua /path pelo caminho do FileVaultMaster.keychain na unidade externa ou imagem do disco:
diskutil cs unlockVolume UUID -recoveryKeychain /path
Exemplo de um volume de chave de recuperação com o nome ThumbDrive:
diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain - Introduza a palavra-passe principal para desbloquear o porta-chaves e montar o disco de arranque.
- Utilize ferramentas de linha de comandos, como
ditto, para criar uma cópia de segurança dos dados no disco. Também pode sair do Terminal e utilizar o Utilitário de discos. Em alternativa, utilize o comando seguinte para decifrar o disco desbloqueado e iniciar o arranque a partir do disco.
diskutil cs decryptVolume UUID -recoveryKeychain /path
Exemplo de um volume de chave de recuperação com o nome ThumbDrive:
diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain