Ställ in en återställningsnyckel för FileVault för datorer på din institution

Med en återställningsnyckel för institutioner (IRK) kan du återställa användarnas data som krypterats med FileVault, om en användare inte kan komma ihåg sitt lösenord för inloggning på Mac.

Dessa avancerade steg är avsedda för systemadministratörer och andra användare som är vana vid att använda kommandoraden.

Skapa en huvudnyckelring för FileVault

  1. Öppna appen Terminal på din Mac och ange detta kommando:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. När du uppmanas till det anger du huvudlösenordet för den nya nyckelringen, och ange det igen när du uppmanas om det. Terminal visar inte några tecken när du skriver ditt lösenord.
  3. Ett nyckelpar skapas och en fil med namnet FileVaultMaster.keychain sparas på ditt skrivbord. Kopiera filen till en säker plats, t.ex. en krypterad skivavbild på en extern enhet. Den här säkra kopian är en privat återställningsnyckel som kan låsa upp startskivan på alla datorer som ställts in med huvudnyckelringen för FileVault. Den får inte spridas vidare. 

I nästa avsnitt uppdaterar du FileVaultMaster.keychain file som fortfarande ligger på skrivbordet. Du kan sedan driftsätta den nyckelringen till Mac-datorer på din institution.

Ta bort den privata nyckeln från huvudnyckelringen

När du har skapat huvudnyckelringen för FileVault följer du dessa steg för att förbereda en kopia av den för driftsättningen:

  1. Dubbelklicka på filen FileVaultMaster.keychain på skrivbordet. Appen Nyckelhanterare öppnas.
  2. I sidofältet på Nyckelhanterare väljer du FileVaultMaster. Om du ser fler än två objekt i listan till höger väljer du en annan nyckelring i sidofältet och väljer FileVaultMaster igen för att uppdatera listan.
  3. Om nyckelringen FileVaultMaster är låst klickar  du på hörnet överst till vänster i Nyckelhanterare och anger huvudlösenordet som du skapade.
  4. Två objekt visas till höger. Välj det som identifieras med ”privat nyckel” i kolumnen Typ:
    Det privata huvudlösenordet för FileVault har valts i Nyckelhanterare
  5. Ta bort den privata nyckeln: Välj Redigera > Radera i menyfältet, ange huvudlösenordet för nyckelringen och klicka sedan på Radera när du uppmanas att bekräfta.
  6. Avsluta Nyckelhanterare.

Eftersom huvudnyckelringen på skrivbordet inte längre innehåller den privata nyckeln är nyckelringen redo för driftsättning.

Driftsätt den uppdaterade huvudnyckelringen på varje Mac

När du har tagit bort den privata nyckeln från nyckelringen följer du dessa steg på varje Mac som du vill kunna låsa upp med din privata nyckel.

  1. Lägg en kopia av den uppdaterade filen FileVaultMaster.keychain file i mappen /Bibliotek/Keychains/.
  2. Öppna appen Terminal och ange båda följande kommandon. Med dessa kommandon ställer du att filens behörigheter är inställd på -rw-r--r-- , att filen ägs av ”root” och tilldelad till gruppen ”wheel”.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Om FileVault redan har aktiverats anger du det här kommandot i Terminal:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Om FileVault är avstängt öppnar du inställningarna för Säkerhet och integritet och slår på FileVault. Nu ska ett meddelande visas om att en återställningsnyckel har ställts in av ditt företag, din skola eller institution. Klicka på Fortsätt.
    Meddelandet Återställningsnyckel visas i inställningarna för Säkerhet och integritet

Processen är nu slutförd. Om en användare glömmer sitt kontolösenord för macOS och inte kan logga in på sin Mac kan du använda den privata nyckeln för att låsa upp användarens skiva.

 

Använda den privata nyckeln för att låsa upp en användares startskiva

Om en användare har glömt sitt kontolösenord och inte kan logga in på sin Mac kan du använda den privata återställningsnyckeln för att låsa upp användarens startskiva och komma åt data på den som krypterats med FileVault.

  1. Starta från Återställning för macOS på klientdatorn genom att hålla ned kommando-R när du startar.
  2. Om du inte känner till namnet (t.ex. Macintosh HD) och formatet på startskivan öppnar du Skivverktyg från verktygsfönstret i macOS. Kontrollera sedan informationen om volymen som visas till höger i Skivverktyg. Om du ser ”CoreStorage Logisk volymgrupp” istället för ”APFS-volym” eller ”Mac OS Extended” är formatet Mac OS Extended. Du behöver veta detta i ett senare steg. Avsluta sedan Skivverktyg.
  3. Anslut den externa enheten som innehåller den privata återställningsnyckeln.
  4. I menyfältet i Återställning för macOS väljer du Verktyg > Terminal.
  5. Om du sparade den privata återställningsnyckeln i en krypterad skivavbild använder du följande kommando i Terminal för att montera bilden. Ersätt /path med skivavbildens sökväg, inklusive filtillägget .dmg:
    hdiutil attach /path
    
    Exempel med en skivavbild som döpts till PrivateKey.dmg på volymen ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Använd följande kommando för att låsa upp huvudnyckelringen för FileVault. Ersätt /path med sökvägen till FileVaultMaster.keychain på den externa enheten. I detta och alla följande steg ska du komma ihåg att ta med namnet på skivavbilden i sökvägen om nyckelringen sparades i en krypterad skivavbild.
    security unlock-keychain /path
    
    Exempel för en volym med namnet ThumbDrive:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Ange huvudlösenordet för att låsa upp startskivan. Om lösenordet godkänns visas kommandoraden igen.

Fortsätt enligt anvisningarna nedan, beroende på hur användarens startskiva är formaterad.

APFS

 Om startskivan är formaterad för APFS ska du slutföra dessa ytterligare steg:

  1. Ange följande kommando för att låsa upp den krypterade startskivan. Ersätt ”name” med namnet på startskivan och ersätt /path med sökvägen till FileVaultMaster.keychain på den externa enheten eller skivavbilden:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Exempel med en startskiva som heter Macintosh HD och en volym med återställningsnyckel som heter ThumbDrive:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Ange huvudlösenordet för att låsa upp nyckelringen och montera startskivan.
  3. Använd kommandoradsverktyg som ditto för att säkerhetskopiera data på skivan, eller avsluta Terminal och använd Skivverktyg.

Mac OS Extended (HFS Plus)

Om startskivan är formaterad för Mac OS Extended ska du slutföra dessa ytterligare steg:

  1. Ange detta kommando för att få en lista över enheter och CoreStorage-volymer:
    diskutil cs list
    
  2. Markera det UUID som visas efter ”Logisk volym” och kopiera det. Du behöver det i ett senare steg.
    Exempel: +-> Logisk volym 2F227AED-1398-42F8-804D-882199ABA66B
  3. Använd följande kommando för att låsa upp den krypterade startskivan. Ersätt UUID med det UUID som du kopierade i det föregående steget, och ersätt /path med sökvägen till FileVaultMaster.keychain på den externa enheten eller skivavbilden:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    Exempel med en återställningsvolym som heter ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Ange huvudlösenordet för att låsa upp nyckelringen och montera startskivan.
  5. Använd kommandoradsverktyg som ditto för att säkerhetskopiera data på skivan. Du kan även avsluta Terminal och använda Skivverktyg. Ett annat alternativ är att använda följande kommando för att avkryptera den upplåsta skivan och starta från den. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    Exempel med en återställningsvolym som heter ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Publiceringsdatum: