Acest articol a fost arhivat şi nu mai este actualizat de Apple.

Cum se utilizează cheile de recuperare instituționale pentru computerele Mac cu procesor Intel

Află cum să creezi o cheie de recuperare instituțională (IRK) pentru a debloca computerele Mac cu procesor Intel criptate prin FileVault și pentru a recupera datele.

Acest articol se referă la metoda veche de creare a unei chei de recuperare instituționale (IRK) pentru a debloca computere Mac cu procesor Intel criptate prin FileVault. În cazul în care computerul Mac cu cip Apple sau computerul Mac cu procesor Intel utilizează MDM, poți plasa în custodie cheia de recuperare pe un server în loc să folosești o cheie IRK.

Poți utiliza o cheie de recuperare pentru a redobândi accesul la datele criptate prin FileVault pentru utilizatorii care nu pot accesa datele cu parola lor. Pe computerele Mac cu procesor Intel, poți utiliza o cheie de recuperare instituțională pentru a debloca computerele Mac criptate prin FileVault și pentru a recupera datele folosind modul disc țintă.

Crearea unui portchei principal FileVault

  1. Deschide aplicația Terminal pe computerul Mac, apoi introdu această comandă:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. Când ți se solicită, introdu parola principală pentru noul portchei, apoi introdu-o din nou când ți se solicită să o tastezi încă o dată. Aplicația Terminal nu afișează parola în timp ce o tastezi.

  3. Este generată o pereche de chei, iar un fișier numit FileVaultMaster.keychain este salvat pe desktop. Copiază acest fișier într-o locație sigură, precum o imagine de disc criptată pe o unitate externă. Această copie securizată este cheia de recuperare privată care poate debloca discul de pornire al oricărui computer Mac cu procesor Intel configurat să utilizeze portcheiul principal FileVault. Aceasta nu este destinată distribuirii.

În secțiunea următoare, vei actualiza fișierul FileVaultMaster.keychain care se află în continuare pe desktop. Apoi, poți implementa portcheiul respectiv pe computerele Mac din organizația ta.

Scoate cheia privată din portcheiul principal

După ce ai creat portcheiul principal FileVault, urmează acești pași pentru a pregăti o copie a acestuia pentru implementare:

  1. Fă dublu clic pe fișierul FileVaultMaster.keychain de pe desktop. Se deschide aplicația Acces portchei.

  2. În bara laterală a aplicației Acces portchei, selectează FileVaultMaster.

  3. Dacă portcheiul FileVaultMaster este blocat, alege Fișier > Deblochează portcheiul „FileVaultMaster” din bara de meniu, apoi introdu parola principală pe care ai creat-o.

  4. Dintre cele două elemente afișate în partea dreaptă, selectează-l pe cel identificat drept „cheie privată” în coloana Tip:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. Pentru a șterge cheia privată: alege Editare > Șterge din bara de meniu, introdu parola principală a portcheiului, apoi fă clic pe Șterge când ți se solicită confirmarea.

  6. Închide aplicația Acces portchei.

Portcheiul principal de pe desktop nu mai conține cheia privată, prin urmare, este gata pentru implementare.

Implementarea portcheiului principal actualizat pe fiecare computer Mac

După ce ai scos cheia privată din portchei, urmează acești pași pe fiecare computer Mac cu procesor Intel pe care vrei să îl poți debloca cu cheia privată.

  1. Plasează o copie a fișierului FileVaultMaster.keychain actualizat în dosarul /Library/Keychains/.

  2. Deschide aplicația Terminal și introdu cele două comenzi de mai jos. Aceste comenzi asigură faptul că permisiunile pentru fișier sunt setate la-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Dacă FileVault este deja activat, introdu această comandă în aplicația Terminal:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Dacă FileVault este dezactivat, deschide preferințele Securitate și confidențialitate și activează FileVault. Ar trebui să vezi un mesaj conform căruia o cheie de recuperare a fost configurată de compania, școala sau organizația ta. Fă clic pe Continuare.

    Security & Privacy preferences, showing the Recovery Key message

Procesul este astfel finalizat. Dacă un utilizator își uită parola contului de utilizator macOS și nu se poate conecta la computerul Mac, poți să utilizezi cheia privată pentru a-i debloca discul.

Utilizarea cheii private pentru deblocarea discului de pornire al unui utilizator

  1. Pe computerul Mac pe care vrei să îl deblochezi, pornește computerul în timp ce ții apăsată tasta T.

  2. Ridică degetul de pe tasta T după ce apare sigla Thunderbolt.

  3. Conectează computerul Mac la un alt computer Mac (gazda) folosind un cablu Thunderbolt 3 (USB-C).

  4. Când ți se solicită să introduci o parolă pentru a debloca discul, fă clic pe Anulați.

  5. Pe computerul Mac gazdă, conectează unitatea externă care conține cheia de recuperare privată.

  6. Dacă ai stocat cheia de recuperare privată într-o imagine de disc criptată, fă dublu clic pe fișier pentru a monta imaginea și introdu parola când ți se solicită acest lucru.

  7. Dacă nu cunoști numele volumului de pornire (cum ar fi Macintosh HD) de pe discul pe care vrei să îl deblochezi, deschide Utilitar disc, apoi găsește numele volumului în bara laterală. Vei avea nevoie de aceste informații la pasul următor.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Introdu parola principală pentru a debloca discul de pornire. Dacă parola este acceptată, volumul se montează pe desktop.

Data publicării: