บทความนี้ถูกเก็บถาวรและไม่ได้รับการอัพเดทจาก Apple อีกต่อไป

วิธีใช้กุญแจการกู้คืนสำหรับสถาบันกับ Mac ที่ใช้ Intel

เรียนรู้วิธีสร้างกุญแจการกู้คืนสำหรับสถาบัน (Institutional Recovery Key - IRK) เพื่อปลดล็อคคอมพิวเตอร์ Mac ที่ใช้ Intel และเข้ารหัส FileVault และกู้คืนข้อมูล

บทความนี้ครอบคลุมถึงวิธีการเดิมในการสร้างกุญแจการกู้คืนสำหรับสถาบัน (Institutional Recovery Key - IRK) เพื่อปลดล็อค Mac ที่ใช้ Intel และเข้ารหัส FileVault หากคอมพิวเตอร์ Mac ที่มี Apple silicon หรือ Mac ที่ใช้ Intel ใช้ MDM คุณสามารถโอนคีย์การกู้คืนไปยังเซิร์ฟเวอร์ แทนที่จะใช้ IRK

คุณสามารถใช้กุญแจการกู้คืนเพื่อเข้าถึงข้อมูลที่เข้ารหัส FileVault อีกครั้งสำหรับผู้ใช้ที่ไม่สามารถเข้าถึงข้อมูลด้วยรหัสผ่านได้ บนคอมพิวเตอร์ Mac ที่ใช้ Intel คุณสามารถใช้กุญแจการกู้คืนสำหรับสถาบันเพื่อปลดล็อคคอมพิวเตอร์ Mac ที่เข้ารหัส FileVault และกู้คืนข้อมูลโดยใช้โหมดดิสก์เป้าหมายได้

สร้างพวงกุญแจหลัก FileVault

  1. เปิดแอปเทอร์มินัลบน Mac แล้วป้อนคำสั่งนี้:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. เมื่อระบบแจ้ง ให้ป้อนรหัสหลักสำหรับพวงกุญแจใหม่ แล้วป้อนอีกครั้งเมื่อระบบแจ้งให้พิมพ์ซ้ำ เทอร์มินัลจะไม่แสดงรหัสผ่านขณะที่คุณพิมพ์

  3. เมื่อสร้างคู่กุญแจแล้ว ไฟล์ที่ชื่อ FileVaultMaster.keychain จะบันทึกในเดสก์ท็อปของคุณ คัดลอกไฟล์นี้ไปยังตำแหน่งที่ปลอดภัย เช่น ดิสก์อิมเมจที่เข้ารหัสในไดรฟ์ภายนอก สำเนาที่ปลอดภัยนี้เป็นกุญแจการกู้คืนส่วนตัวที่สามารถปลดล็อคดิสก์เริ่มต้นระบบ สำเนานี้ไม่ได้มีไว้เพื่อแจกจ่าย

ในส่วนถัดไป คุณจะต้องอัปเดตไฟล์ FileVaultMaster.keychain ที่ยังคงอยู่ในเดสก์ท็อปของคุณ จากนั้นคุณสามารถปรับใช้พวงกุญแจนั้นไปยังคอมพิวเตอร์ Mac ในองค์กรของคุณ

ลบกุญแจส่วนตัวออกจากพวงกุญแจหลัก

หลังจากสร้างพวงกุญแจหลัก FileVault ให้ทำตามขั้นตอนเหล่านี้เพื่อเตรียมสำเนาพวงกุญแจสำหรับการปรับใช้

  1. คลิกสองครั้งที่ไฟล์ FileVaultMaster.keychain บนเดสก์ท็อป แอปการเข้าถึงพวงกุญแจจะเปิดขึ้น

  2. ในแถบด้านข้างของการเข้าถึงพวงกุญแจ ให้เลือก FileVaultMaster

  3. หากพวงกุญแจ FileVaultMaster ถูกล็อค ให้เลือกไฟล์ > ปลดล็อคพวงกุญแจ "FileVaultMaster" จากแถบเมนู จากนั้นป้อนรหัสผ่านหลักที่คุณสร้างขึ้น

  4. จากสองรายการที่แสดงทางด้านขวา ให้เลือกรายการที่ระบุว่าเป็น "กุญแจส่วนตัว" ในคอลัมน์ชนิด:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. ลบกุญแจส่วนตัว โดยเลือกแก้ไข > ลบจากแถบเมนู ป้อนรหัสผ่านหลักของพวงกุญแจ แล้วคลิกลบเมื่อระบบขอให้ยืนยัน

  6. ออกจากการเข้าถึงพวงกุญแจ

เมื่อพวงกุญแจหลักบนเดสก์ท็อปของคุ๕ณไม่มีกุญแจส่วนตัวอีกต่อไป แสดงว่าพร้อมสำหรับการปรับใช้แล้ว

ปรับใช้พวงกุญแจหลักที่อัปเดตแล้วใน Mac แต่ละเครื่อง

หลังจากลบกุญแจส่วนตัวออกจากพวงกุญแจแล้ว ให้ทำตามขั้นตอนเหล่านี้บน Mac ที่ใช้ Intel แต่ละเครื่องที่คุณต้องการให้ปลดล็อคได้ด้วยการใช้กุญแจส่วนตัวของคุณ

  1. วางสำเนาของไฟล์ FileVaultMaster.keychain ที่อัปเดตไว้ในโฟลเดอร์ /ไลบรารี/Keychains/

  2. เปิดแอปเทอร์มินัล แล้วป้อนคำสั่งทั้งสองต่อไปนี้ คำสั่งเหล่านี้จะช่วยให้แน่ใจว่ามีการตั้งค่าสิทธิ์ของไฟล์เป็น-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. หากเปิด FileVault ไว้แล้ว ให้ป้อนคำสั่งนี้ในเทอร์มินัล:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. หาก FileVault ปิดอยู่ ให้เปิดการตั้งค่าความปลอดภัยและความเป็นส่วนตัว และเปิด FileVault คุณควรจะเห็นข้อความที่บอกว่ากุญแจการกู้คืนได้รับการตั้งค่าโดยบริษัท โรงเรียน หรือองค์กรของคุณ คลิกดำเนินการต่อ

    Security & Privacy preferences, showing the Recovery Key message

ขั้นตอนนี้เป็นการเสร็จสิ้นกระบวนการ หากผู้ใช้ลืมรหัสผ่านบัญชีผู้ใช้ macOS ของตนและไม่สามารถเข้าสู่ระบบ Mac ได้ คุณสามารถใช้กุญแจส่วนตัวในการปลดล็อคดิสก์ของพวกเขาได้

ใช้กุญแจส่วนตัวเพื่อปลดล็อคดิสก์เริ่มต้นระบบของผู้ใช้

  1. บน Mac ที่คุณต้องการปลดล็อค ให้เปิดคอมพิวเตอร์ในขณะที่กดปุ่ม T ค้างไว้

  2. เมื่อคุณเห็นโลโก้ Thunderbolt ให้ปล่อยปุ่ม T

  3. เชื่อมต่อ Mac กับ Mac เครื่องอื่น (โฮสต์) โดยใช้สาย Thunderbolt 3 (USB-C)

  4. เมื่อคุณได้รับแจ้งให้ป้อนรหัสผ่านเพื่อปลดล็อคดิสก์ ให้คลิกยกเลิก

  5. บน Mac ที่เป็นโฮสต์ ให้เชื่อมต่อไดรฟ์ภายนอกที่มีกุญแจการกู้คืนส่วนตัว

  6. หากคุณเก็บกุญแจการกู้คืนส่วนตัวไว้ในดิสก์อิมเมจที่เข้ารหัส ให้ดับเบิ้ลคลิกที่ไฟล์เพื่อเชื่อมต่ออิมเมจและป้อนรหัสผ่านเมื่อได้รับแจ้ง

  7. หากคุณไม่ทราบชื่อของไดรฟ์ข้อมูลเริ่มต้นระบบ (เช่น Macintosh HD) บนดิสก์ที่คุณต้องการปลดล็อค ให้เปิดยูทิลิตี้ดิสก์ จากนั้นค้นหาชื่อดิสก์โวลุ่มในแถบด้านข้าง คุณจะต้องใช้ข้อมูลนี้ในขั้นตอนถัดไป

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. ป้อนรหัสผ่านหลักเพื่อปลดดิสก์เริ่มต้นระบบ หากยอมรับรหัสผ่าน ไดรฟ์ข้อมูลจะติดตั้งบนเดสก์ท็อป

วันที่เผยแพร่: