Установка ключа восстановления FileVault для компьютеров в организации

Корпоративный ключ восстановления позволяет восстанавливать защищенные шифрованием FileVault данные пользователей, забывших свои пароли входа на компьютер Mac.

Эти расширенные инструкции предназначены для системных администраторов и других пользователей, имеющих опыт работы с командной строкой.

Создание мастер-связки ключей FileVault

  1. Откройте программу «Терминал» на компьютере Mac и введите следующую команду:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. При появлении запроса введите мастер-пароль для новой связки ключей, затем введите его еще раз при появлении соответствующего запроса. Программа «Терминал» не отображает пароль во время ввода.
  3. Генерируется пара ключей, и на рабочем столе сохраняется файл с именем FileVaultMaster.keychain. Скопируйте этот файл в безопасное место, такое как зашифрованный образ диска на внешнем накопителе. Эта защищенная копия представляет собой закрытый ключ восстановления, позволяющий разблокировать загрузочный диск любого компьютера Mac, настроенного для использования мастер-ключа FileVault. Она не предназначена для распространения. 

В следующем разделе приведена процедура обновления файла FileVaultMaster.keychain, который все еще находится на рабочем столе. Затем можно выполнить развертывание соответствующей связки ключей на компьютерах Mac в организации.

Удаление закрытого ключа из мастер-связки ключей

После создания мастер-связки ключей FileVault выполните следующие действия, чтобы подготовить ее копию для развертывания.

  1. Дважды щелкните файл FileVaultMaster.keychain на рабочем столе. Будет открыта программа «Связка ключей».
  2. На боковой панели программы «Связка ключей» выберите FileVaultMaster. Если в списке справа отображается более двух элементов, выберите на боковой панели другую связку ключей, затем снова выберите FileVaultMaster, чтобы обновить список.
  3. Если связка ключей FileVaultMaster заблокирована, щелкните значок  в левом верхнем углу окна «Связка ключей» и введите созданный вами мастер-пароль.
  4. Из двух элементов справа выделите тот, для которого в столбце «Тип» указано «Закрытый ключ»:
    Окно программы «Связка ключей» с выделенным закрытым ключом мастер-пароля FileVault
  5. Удалите закрытый ключ: выберите в строке меню «Правка» > «Удалить», введите мастер-пароль связки ключей, затем нажмите кнопку «Удалить» в окне подтверждения.
  6. Закройте программу «Связка ключей».

Теперь, когда мастер-связка ключей на рабочем столе не содержит закрытого ключа, она готова для развертывания.

Развертывание обновленной мастер-связки ключей на каждом компьютере Mac

После удаления закрытого ключа из связки ключей выполните следующие действия на каждом компьютере Mac, для разблокирования которого предполагается использовать закрытый ключ.

  1. Скопируйте обновленный файл FileVaultMaster.keychain в папку /Библиотеки/Keychains/.
  2. Откройте программу «Терминал» и введите обе следующих команды. Эти команды задают для файла разрешения -rw-r--r-- и запуск от имени учетной записи пользователя root, а также присваивают его группе с именем wheel.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Если функция FileVault уже включена, введите в программе «Терминал» следующую команду:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Если функция FileVault выключена, откройте окно настроек «Защита и безопасность» и включите FileVault. Должно появиться сообщение о том, что вашей компанией, школой или организацией установлен ключ восстановления. Нажмите кнопку «Продолжить».
    Окно настроек «Защита и безопасность» с сообщением о ключе восстановления

На этом процесс завершен. Если кто-то из пользователей забудет пароль своей учетной записи macOS и не сможет войти на свой компьютер Mac, воспользуйтесь ключом восстановления для разблокирования его диска.

 

Использование закрытого ключа для разблокирования загрузочного диска пользователя

Если пользователь забыл пароль своей учетной записи и не может войти на свой компьютер Mac, вы можете разблокировать загрузочный диск пользователя с помощью закрытого ключа восстановления и получить доступ к защищенным FileVault данным.

  1. Запустите компьютер Mac клиента из раздела восстановления macOS, удерживая при запуске нажатыми клавиши Command-R.
  2. Если вы не знаете имя (такое как Macintosh HD) и формат загрузочного диска, откройте программу «Дисковая утилита» из окна «Утилиты macOS» и просмотрите сведения о соответствующем томе в правой части окна. Если вместо «Том APFS» или «Mac OS Extended» отображается «Группа логических томов CoreStorage», том имеет формат Mac OS Extended. Эти сведения потребуются позднее. По завершении выйдите из программы «Дисковая утилита».
  3. Подключите внешний накопитель, содержащий закрытый ключ восстановления.
  4. В строке меню в режиме восстановления macOS выберите «Утилиты» > «Терминал».
  5. Если закрытый ключ восстановления хранится в зашифрованном образе диска, используйте в программе «Терминал» следующую команду, чтобы подключить этот образ. Замените /path на путь к образу диска, включая расширение .dmg:
    hdiutil attach /path
    
    Пример для образа диска с именем PrivateKey.dmg на томе с именем ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Используйте следующую команду, чтобы разблокировать мастер-связку ключей FileVault. Замените /path на путь к файлу FileVaultMaster.keychain на внешнем накопителе. Если связка ключей хранится в зашифрованном образе диска, на этом и всех оставшихся шагах не забывайте включать в путь имя соответствующего образа.
    security unlock-keychain /path
    
    Пример для тома с именем ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Введите мастер-пароль, чтобы разблокировать загрузочный диск. Если пароль принят, выполняется возврат в командную строку.

Для продолжения выберите ниже процедуру, соответствующую формату загрузочного диска пользователя.

APFS

 Если загрузочный диск отформатирован с использованием файловой системы APFS, выполните следующие дополнительные действия:

  1. Введите следующую команду, чтобы разблокировать зашифрованный загрузочный диск. Замените "имя" на имя загрузочного тома, а /path на путь к файлу FileVaultMaster.keychain на внешнем накопителе или образе диска:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Пример для загрузочного тома с именем Macintosh HD и тома ключа восстановления с именем ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Введите мастер-пароль, чтобы разблокировать связку ключей и подключить загрузочный диск.
  3. Используйте средства командной строки, такие как ditto, для резервного копирования данных на диск, или выйдите из программы «Терминал» и воспользуйтесь программой «Дисковая утилита».

Mac OS Extended (HFS Plus)

Если загрузочный диск отформатирован с использованием файловой системы Mac OS Extended, выполните следующие дополнительные действия:

  1. Введите следующую команду, чтобы получить список дисков и томов CoreStorage:
    diskutil cs list
    
  2. Выделите UUID, отображаемый после слов «Логический том», и скопируйте его для использования в дальнейшем.
    Пример: +-> Логический том 2F227AED-1398-42F8-804D-882199ABA66B
  3. Используйте следующую команду, чтобы разблокировать зашифрованный загрузочный диск. Замените UUID на UUID, скопированный на предыдущем шаге, а /path на путь к файлу FileVaultMaster.keychain на внешнем накопителе или образе диска:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Пример для тома ключа восстановления с именем ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Введите мастер-пароль, чтобы разблокировать связку ключей и подключить загрузочный диск.
  5. Используйте средства командной строки, такие как ditto, для резервного копирования данных на диск, или выйдите из программы «Терминал» и воспользуйтесь программой «Дисковая утилита». Либо используйте следующую команду, чтобы расшифровать заблокированный диск и выполнить запуск с него. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Пример для тома ключа восстановления с именем ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Дата публикации: