Tento článok bol archivovaný a spoločnosť Apple ho už neaktualizuje.

Používanie inštitucionálnych kľúčov obnovy s Macmi s procesorom Intel

Prečítajte si, ako vytvoriť inštitucionálny kľúč obnovy (IRK) na odomykanie Macov s procesorom Intel šifrovaných funkciou FileVault a na obnovenie dát.

Tento článok sa týka staršieho spôsobu vytvorenia inštitucionálneho kľúča obnovy (IRK) na odomykanie Macov s procesorom Intel šifrovaných funkciou FileVault. Ak váš Mac s čipom Apple Silicon alebo procesorom Intel používa správu MDM, namiesto používania inštitucionálneho kľúča obnovy môžete uschovať kľúč obnovy na serveri.

Používatelia, ktorí k dátam nemajú prístup pomocou svojho hesla, môžu pomocou kľúča obnovy znova získať prístup k dátam šifrovaným funkciou FileVault. V prípade Macov s procesorom Intel môžete pomocou inštitucionálneho kľúča obnovy odomknúť Macy šifrované funkciou FileVault a obnoviť dáta pomocou režimu cieľového disku.

Vytvorenie hlavnej kľúčenky funkcie FileVault

  1. Na Macu otvorte apku Terminál a zadajte tento príkaz:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. Po zobrazení výzvy zadajte hlavné heslo novej kľúčenky a po zobrazení výzvy na jeho opätovné zadanie ho zadajte znova. Terminál nezobrazuje heslo pri jeho zadávaní.

  3. Vygeneruje sa dvojica kľúčov a na plochu sa uloží súbor s názvom FileVaultMaster.keychain. Skopírujte tento súbor na bezpečné miesto, ako je napríklad zašifrovaný obraz disku na externom disku. Táto zabezpečená kópia je súkromným kľúčom obnovy, ktorý umožňuje odomknúť štartovací disk ktoréhokoľvek Macu s procesorom Intel nastaveného na používanie hlavnej kľúčenky funkcie FileVault. Nie je určená na distribúciu.

V nasledujúcej časti aktualizujete súbor FileVaultMaster.keychain, ktorý je stále na ploche. Túto kľúčenku potom môžete nasadiť do Macov vo svojej organizácii.

Odstránenie súkromného kľúča z hlavnej kľúčenky

Po vytvorení hlavnej kľúčenky funkcie FileVault pripravte jej kópiu na nasadenie vykonaním nasledujúcich krokov:

  1. Dvakrát kliknite na súbor FileVaultMaster.keychain na ploche. Otvorí sa apka Kľúčenka.

  2. Na postrannom paneli apky Kľúčenka vyberte FileVaultMaster.

  3. Ak je kľúčenka FileVaultMaster zamknutá, v lište vyberte Súbor > Odomknúť kľúčenku „FileVaultMaster“ a zadajte hlavné heslo, ktoré ste vytvorili.

  4. Z dvoch položiek zobrazených napravo vyberte tú, ktorá má v stĺpci Druh označenie „súkromný kľúč“:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. Vymazanie súkromného kľúča: V lište vyberte Upraviť > Vymazať, zadajte hlavné heslo kľúčenky a po zobrazení výzvy na potvrdenie kliknite na Vymazať.

  6. Ukončite apku Kľúčenka.

Teraz, keď hlavná kľúčenka na ploche už neobsahuje súkromný kľúč, je pripravená na nasadenie.

Nasadenie aktualizovanej hlavnej kľúčenky na jednotlivé Macy

Po odstránení súkromného kľúča z kľúčenky vykonajte nasledujúce kroky na každom Macu s procesorom Intel, ktorý chcete odomykať súkromným kľúčom.

  1. Uložte kópiu aktualizovaného súboru FileVaultMaster.keychain do priečinka /Library/Keychains/.

  2. Otvorte apku Terminál a zadajte obidva nasledujúce príkazy. Tieto príkazy nastavia pre súbor povolenia-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Ak je funkcia FileVault už zapnutá, zadajte v Termináli tento príkaz:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Ak je funkcia FileVault vypnutá, otvorte nastavenia Bezpečnosť a súkromie a zapnite funkciu FileVault. Mala by sa zobraziť správa o tom, že vaša spoločnosť, škola alebo organizácia nastavila kľúč obnovy. Kliknite na Pokračovať.

    Security & Privacy preferences, showing the Recovery Key message

Proces je tým dokončený. Ak používateľ zabudne heslo do svojho používateľského účtu systému macOS a nemôže sa prihlásiť do svojho Macu, môžete odomknúť jeho disk pomocou súkromného kľúča.

Odomknutie štartovacieho disku používateľa pomocou súkromného kľúča

  1. Zapnite Mac, ktorý chcete odomknúť, a držte pritom stlačený kláves T.

  2. Keď sa zobrazí logo Thunderbolt, uvoľnite kláves T.

  3. Pripojte Mac k inému Macu (hostiteľovi) pomocou kábla Thunderbolt 3 (USB-C).

  4. Keď sa zobrazí výzva na zadanie hesla na odomknutie disku, kliknite na Zrušiť.

  5. K hostiteľskému Macu pripojte externý disk, ktorý obsahuje súkromný kľúč obnovy.

  6. Ak ste súkromný kľúč obnovy uložili do zašifrovaného obrazu disku, dvojitým kliknutím na súbor pripojte obraz a po zobrazení výzvy zadajte heslo.

  7. Ak nepoznáte názov štartovacieho oddielu (napríklad Macintosh HD) na disku, ktorý chcete odomknúť, otvorte Diskovú utilitu a na postrannom paneli vyhľadajte názov oddielu. Budete ho potrebovať v nasledujúcom kroku.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Zadaním hlavného hesla odomknite štartovací disk. Ak heslo bude prijaté, oddiel sa pripojí na plochu.

Dátum zverejnenia: