Данная статья была помещена в архив и больше не обновлялась.

Использование корпоративных ключей восстановления на компьютерах Mac с процессором Intel

Узнайте, как создать корпоративный ключ восстановления (IRK), чтобы разблокировать компьютеры Mac с процессором Intel и шифрованием FileVault, а также восстановить данные.

В этой статье описывается устаревший метод создания корпоративного ключа восстановления (IRK) для разблокировки компьютеров Mac с процессором Intel и шифрованием FileVault. Если вы располагаете компьютером Mac с чипом Apple или компьютером Mac с процессором Intel, для управления которым используется MDM, вы можете не использовать IRK, а сохранить ключ восстановления на сервере.

Ключ восстановления можно использовать для восстановления доступа к данным, защищенным шифрованием FileVault, у тех пользователей, которые не могут получить доступ к данным с помощью своего пароля. На компьютерах Mac с процессором Intel можно использовать корпоративный ключ восстановления, чтобы разблокировать компьютеры Mac с шифрованием FileVault и восстановить данные в режиме внешнего диска.

Создание мастер-связки ключей FileVault

  1. Откройте приложение «Терминал» на компьютере Mac и введите следующую команду:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. При появлении запроса введите мастер-пароль для новой связки ключей, затем введите его еще раз при появлении соответствующего запроса. Приложение «Терминал» не отображает пароль во время ввода.

  3. Генерируется пара ключей, и на рабочем столе сохраняется файл с именем FileVaultMaster.keychain. Скопируйте этот файл в безопасное место, такое как зашифрованный образ диска на внешнем накопителе. Эта защищенная копия представляет собой закрытый ключ восстановления, позволяющий разблокировать загрузочный диск любого компьютера Mac с процессором Intel, настроенного для использования мастер-связки ключей FileVault. Она не предназначена для распространения.

В следующем разделе приведена процедура обновления файла FileVaultMaster.keychain, который все еще находится на рабочем столе. Затем можно выполнить развертывание соответствующей связки ключей на компьютерах Mac в организации.

Удаление закрытого ключа из мастер-связки ключей

После создания мастер-связки ключей FileVault выполните следующие действия, чтобы подготовить ее копию для развертывания.

  1. Дважды щелкните файл FileVaultMaster.keychain на рабочем столе. Будет открыта приложение «Связка ключей».

  2. В боковом меню приложения «Связка ключей» выберите FileVaultMaster.

  3. Если связка ключей FileVaultMaster заблокирована, выберите «Файл» > «Открыть связку ключей "FileVaultMaster"» в строке меню и введите созданный мастер-пароль.

  4. Из двух элементов справа выберите в столбце «Тип» ключ, обозначенный как «закрытый ключ»:

    Keychain Access, showing the private FileVault Master Password Key selected
  5. Удалите закрытый ключ: выберите в строке меню «Правка» > «Удалить», введите мастер-пароль связки ключей, затем нажмите кнопку «Удалить» в окне подтверждения.

  6. Закройте приложение «Связка ключей».

Теперь, когда мастер-связка ключей на рабочем столе не содержит закрытого ключа, она готова для развертывания.

Развертывание обновленной мастер-связки ключей на каждом компьютере Mac

После удаления закрытого ключа из связки ключей выполните следующие действия на каждом компьютере Mac с процессором Intel, для разблокирования которого предполагается использовать закрытый ключ.

  1. Скопируйте обновленный файл FileVaultMaster.keychain в папку /Библиотеки/Keychains/.

  2. Откройте приложение «Терминал» и введите обе следующих команды. Эти команды задают для файла разрешения-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Если функция FileVault уже включена, введите в приложении «Терминал» следующую команду:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Если функция FileVault выключена, откройте окно настроек «Защита и безопасность» и включите FileVault. Должно появиться сообщение о том, что вашей компанией, учебным заведением или организацией установлен ключ восстановления. Нажмите кнопку «Продолжить».

    Security & Privacy preferences, showing the Recovery Key message

На этом процесс завершен. Если кто-то из пользователей забудет пароль своей учетной записи macOS и не сможет войти на свой компьютер Mac, воспользуйтесь ключом восстановления для разблокирования его диска.

Использование закрытого ключа для разблокирования загрузочного диска пользователя

  1. Включите компьютер Mac, который требуется разблокировать, удерживая клавишу T.

  2. Когда появится логотип Thunderbolt, отпустите клавишу T.

  3. Подключите компьютер Mac к другому компьютеру Mac (хост-компьютеру) с использованием кабеля Thunderbolt 3 (USB-C).

  4. При появлении запроса на ввод пароля для разблокировки диска нажмите «Отменить».

  5. На хост-компьютере Mac подключите внешний диск, содержащий закрытый ключ восстановления.

  6. Если вы сохранили закрытый ключ восстановления в зашифрованном образе диска, дважды щелкните файл, чтобы подключить образ, и введите пароль при появлении запроса.

  7. Если вы не знаете имя загрузочного тома (например, Macintosh HD) на диске, который требуется разблокировать, откройте Дисковую утилиту и найдите имя тома в боковом меню. Эти сведения потребуются на следующем шаге.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Введите мастер-пароль, чтобы разблокировать загрузочный диск. Если пароль будет принят, том подключится и отобразится на рабочем столе.

Дата публикации: