Ta članek je bil premaknjen v arhiv in ga Apple ne posodablja več.

Uporaba institucionalnih obnovitvenih ključev z računalniki Mac s procesorjem Intel

Nauči se ustvariti institucionalni obnovitveni ključ (IRK) za odklepanje računalnikov Mac s šifriranjem FileVault in procesorjem Intel ter obnovitev podatkov.

Ta članek zajema starejši način ustvarjanja institucionalnih obnovitvenih ključev (IRK) za odklepanje računalnikov Mac s šifriranjem FileVault in procesorjem Intel. Če računalnik Mac s silicijevim čipom Apple ali Mac s procesorjem Intel uporablja MDM, lahko namesto uporabe IRK-ja obnovitveni ključ shraniš na strežnik.

Z obnovitvenim ključem lahko ponovno pridobiš dostop do podatkov, šifriranih s funkcijo FileVault, za uporabnike, ki do podatkov ne morejo dostopati z geslom. V računalnikih Mac s procesorjem Intel lahko z institucionalnim obnovitvenim ključem odkleneš računalnike Mac s šifriranjem FileVault in obnoviš podatke z načinom Target Disk Mode (Način ciljnega diska).

Ustvarjanje glavne verige ključev FileVault

  1. V računalniku Mac odpri aplikacijo Terminal in vnesi ta ukaz:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. Ko si pozvan, vnesi glavno geslo za novo verigo ključev in ga ob ponovnem pozivu znova vnesi. Aplikacija Terminal ne prikaže gesla, ko ga vnašate.

  3. Ustvari se par ključev, datoteka z imenom FileVaultMaster.keychain pa se shrani na namizje. Kopiraj to datoteko na varno lokacijo, kot je šifriran posnetek diska ali zunanji disk. Ta varna kopija je zasebni obnovitveni ključ, ki lahko odklene zagonski disk katerega koli računalnika Mac s procesorjem Intel, ki je nastavljen za uporabo glavne verige ključev FileVault. Ni za distribucijo.

V naslednjem razdelku boš posodobil datoteko FileVaultMaster.keychain, ki je še vedno na namizju. Nato lahko to verigo ključev uvedeš v računalnike Mac v svoji organizaciji.

Odstranjevanje zasebnega ključa iz glavne verige ključev

Koustvariš glavno verigo ključev FileVault, v skladu z naslednjim postopkom pripravi njeno kopijo za uvajanje:

  1. Dvoklikni datoteko FileVaultMaster.keychain na namizju. Odpre se aplikacija Keychain Access (Dostop do verige ključev).

  2. V stranski vrstici aplikacije Keychain Access izberi FileVaultMaster.

  3. Če je veriga ključev FileVaultMaster zaklenjena, v menijski vrstici izberi »File« (Datoteka) > »Unlock Keychain "FileVaultMaster"« (Odkleni verigo ključev »FileVaultMaster«) in nato vnesi glavno geslo, ki si ga ustvaril/-a.

  4. Izmed dveh elementov, prikazanih na desni, izberi tistega, ki je v stolpcu »Kind« (Vrsta) označen kot »private key« (zasebni ključ):

    Keychain Access, showing the private FileVault Master Password Key selected

  5. Brisanje zasebnega ključa: v menijski vrstici izberi »Edit« (Uredi) > »Delete« (Izbriši), vnesi glavno geslo verige ključev in nato ob pozivu za potrditev klikni »Delete« (Izbriši).

  6. Zapri aplikacijo Keychain Access.

Ko glavna veriga ključev na namizju ne vsebuje več zasebnega ključa, je pripravljena na uvedbo.

Uvedba posodobljene glavne verige ključev v vsakem računalniku Mac

Po tem, ko zasebni ključ odstraniš iz verige ključev, izvedi spodnje korake v vsakem računalniku Mac s procesorjem Intel, ki ga želiš odkleniti z zasebnim ključem.

  1. Kopijo posodobljene datoteke FileVaultMaster.keychain shrani v mapo /Library/Keychains/.

  2. Odpri aplikacijo Terminal in vnesi naslednja ukaza. Ta ukaza poskrbita, da so dovoljenja datoteke nastavljena na-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Če je FileVault že vklopljen, v terminalu vnesi ta ukaz:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Če je funkcija FileVault izklopljena, odpri nastavitve varnosti in zasebnosti in vklopi funkcijo FileVault. Prikazati bi se moralo sporočilo, da je obnovitveni ključ nastavilo tvoje podjetje, šola ali organizacija. Klikni »Continue« (Nadaljuj).

    Security & Privacy preferences, showing the Recovery Key message

S tem je postopek zaključen. Če uporabnik pozabi geslo za uporabniški račun v sistemu macOS in se ne more prijaviti v računalnik Mac, lahko z zasebnim ključem odkleneš njegov disk.

Odklepanje uporabnikovega zagonskega diska z zasebnim ključem

  1. Računalnik Mac, ki ga želiš odkleniti, vklopi in hkrati pridrži tipko T.

  2. Ko se prikaže logotip Thunderbolt, spusti tipko T.

  3. S kablom Thunderbolt 3 (USB-C) računalnik Mac poveži z drugim (gostitelj).

  4. Ob pozivu za vnos gesla za odklepanje diska klikni »Cancel« (Prekliči).

  5. V gostiteljski računalnik Mac priključi zunanji pogon, ki vsebuje zasebni obnovitveni ključ.

  6. Če si zasebni obnovitveni ključ shranil v šifriran posnetek diska, dvoklikni datoteko, da vpneš posnetek, in ob pozivu vnesi geslo.

  7. Če ne poznaš imena zagonskega nosilca (kot je Macintosh HD) na disku, ki ga želiš odkleniti, odpri Disk Utility (Pripomoček za disk) in nato v stranski vrstici poišči ime nosilca. Ta podatek boš potreboval v naslednjem koraku.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Vnesi glavno geslo, da odkleneš zagonski disk. Če je geslo sprejeto, se nosilec pripne na namizje.

Datum objave: