วิธีใช้กุญแจการกู้คืนสำหรับสถาบันกับ Mac ที่ใช้ Intel

เรียนรู้วิธีสร้างกุญแจการกู้คืนสำหรับสถาบัน (Institutional Recovery Key - IRK) เพื่อปลดล็อคคอมพิวเตอร์ Mac ที่ใช้ Intel และเข้ารหัส FileVault และกู้คืนข้อมูล

บทความนี้ครอบคลุมถึงวิธีการเดิมในการสร้างกุญแจการกู้คืนสำหรับสถาบัน (Institutional Recovery Key - IRK) เพื่อปลดล็อค Mac ที่ใช้ Intel และเข้ารหัส FileVault หากคอมพิวเตอร์ Mac ของคุณที่ใช้ Apple Silicon หรือ Mac ที่ใช้ Intel ใช้ MDM คุณสามารถโอนกุญแจการกู้คืนไปยังเซิร์ฟเวอร์แทนที่จะใช้ IRK

คุณสามารถใช้กุญแจการกู้คืนเพื่อเข้าถึงข้อมูลที่เข้ารหัส FileVault อีกครั้งสำหรับผู้ใช้ที่ไม่สามารถเข้าถึงข้อมูลด้วยรหัสผ่านได้บนคอมพิวเตอร์ Mac ที่ใช้ Intel คุณสามารถใช้กุญแจการกู้คืนสำหรับสถาบันเพื่อปลดล็อคคอมพิวเตอร์ Mac ที่เข้ารหัส FileVault และกู้คืนข้อมูลโดยใช้โหมดดิสก์เป้าหมายได้

สร้างพวงกุญแจหลัก FileVault

  1. เปิดแอพเทอร์มินัลบน Mac แล้วป้อนคำสั่งนี้
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. เมื่อระบบแจ้ง ให้ป้อนรหัสหลักสำหรับพวงกุญแจใหม่ แล้วป้อนอีกครั้งเมื่อระบบแจ้งให้พิมพ์ซ้ำ เทอร์มินัลจะไม่แสดงรหัสผ่านขณะที่คุณพิมพ์
  3. เมื่อสร้างคู่กุญแจแล้ว ไฟล์ที่ชื่อ FileVaultMaster.keychain จะบันทึกในเดสก์ท็อปของคุณ คัดลอกไฟล์นี้ไปยังตำแหน่งที่ปลอดภัย เช่น ดิสก์อิมเมจที่เข้ารหัสในไดรฟ์ภายนอก สำเนาที่ปลอดภัยนี้เป็นกุญแจการกู้คืนส่วนตัวที่สามารถปลดล็อคดิสก์เริ่มต้นระบบของ Mac ที่ใช้ Intel เครื่องใดก็ตามที่ตั้งค่าไว้ให้ใช้พวงกุญแจหลัก FileVault สำเนานี้ไม่ได้มีไว้เพื่อแจกจ่าย

ในส่วนถัดไป คุณจะต้องอัพเดทไฟล์ FileVaultMaster.keychain ที่ยังคงอยู่ในเดสก์ท็อปของคุณ จากนั้นคุณสามารถปรับใช้พวงกุญแจนั้นไปยังคอมพิวเตอร์ Mac ในองค์กรของคุณ


ลบกุญแจส่วนตัวออกจากพวงกุญแจหลัก

หลังจากสร้างพวงกุญแจหลัก FileVault ให้ทำตามขั้นตอนเหล่านี้เพื่อเตรียมสำเนาพวงกุญแจสำหรับการปรับใช้

  1. คลิกสองครั้งที่ไฟล์ FileVaultMaster.keychain บนเดสก์ท็อป แอพการเข้าถึงพวงกุญแจจะเปิดขึ้น
  2. ในแถบด้านข้างของการเข้าถึงพวงกุญแจ ให้เลือก FileVaultMaster
  3. หากพวงกุญแจ FileVaultMaster ถูกล็อค ให้เลือกไฟล์ > ปลดล็อคพวงกุญแจ "FileVaultMaster" จากแถบเมนู จากนั้นป้อนรหัสผ่านหลักที่คุณสร้างขึ้น
  4. จากสองรายการที่แสดงทางด้านขวา ให้เลือกรายการที่ระบุว่า "กุญแจส่วนตัว" ในคอลัมน์ชนิด
    การเข้าถึงพวงกุญแจที่แสดง FileVault Master Password Key ที่เลือกไว้
  5. ลบกุญแจส่วนตัว โดยเลือกแก้ไข > ลบ จากแถบเมนู ป้อนรหัสผ่านหลักของพวงกุญแจ แล้วคลิกลบเมื่อระบบขอให้ยืนยัน
  6. ออกจากการเข้าถึงพวงกุญแจ

เมื่อพวงกุญแจหลักบนเดสก์ท็อปของคุ๕ณไม่มีกุญแจส่วนตัวอีกต่อไป แสดงว่าพร้อมสำหรับการปรับใช้แล้ว


ปรับใช้พวงกุญแจหลักที่อัพเดทแล้วใน Mac แต่ละเครื่อง

หลังจากลบกุญแจส่วนตัวออกจากพวงกุญแจแล้ว ให้ทำตามขั้นตอนเหล่านี้บน Mac ที่ใช้ Intel แต่ละเครื่องที่คุณต้องการให้ปลดล็อคได้ด้วยการใช้กุญแจส่วนตัวของคุณ

  1. วางสำเนาของไฟล์ FileVaultMaster.keychain ที่อัพเดทไว้ในโฟลเดอร์ /ไลบรารี/Keychains/
  2. เปิดแอพเทอร์มินัล แล้วป้อนคำสั่งทั้งสองต่อไปนี้ คำสั่งเหล่านี้จะช่วยให้แน่ใจว่ามีการตั้งค่าสิทธิ์ของไฟล์เป็น -rw-r--r-- และไฟล์เป็นของรายการรากและได้รับการมอบหมายให้กับกลุ่มที่ชื่อ wheel
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. หาก FileVault เปิดไว้อยู่แล้ว ให้ป้อนคำสั่งนี้ในเทอร์มินัล
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. หาก FileVault ปิดอยู่ ให้เปิดการตั้งค่าความปลอดภัยและความเป็นส่วนตัว และเปิด FileVault คุณควรจะเห็นข้อความที่บอกว่ากุญแจการกู้คืนได้รับการตั้งค่าโดยบริษัท โรงเรียน หรือองค์กรของคุณ คลิกดำเนินการต่อ
    การตั้งค่าความปลอดภัยและความเป็นส่วนตัวที่แสดงข้อความกุญแจการกู้คืน

ขั้นตอนนี้เป็นการเสร็จสิ้นกระบวนการ หากผู้ใช้ลืมรหัสผ่านบัญชีผู้ใช้ macOS ของตนและไม่สามารถเข้าสู่ระบบ Mac ได้ คุณสามารถใช้กุญแจส่วนตัวในการปลดล็อคดิสก์ของพวกเขาได้


ใช้กุญแจส่วนตัวเพื่อปลดล็อคดิสก์เริ่มต้นระบบของผู้ใช้

  1. บน Mac ที่คุณต้องการปลดล็อค ให้เปิดคอมพิวเตอร์ในขณะที่กดปุ่ม T ค้างไว้
  2. เมื่อคุณเห็นโลโก้ Thunderbolt ให้ปล่อยปุ่ม T 
  3. เชื่อมต่อ Mac กับ Mac เครื่องอื่น (โฮสต์) โดยใช้สาย Thunderbolt 3 (USB-C)
  4. เมื่อคุณได้รับแจ้งให้ป้อนรหัสผ่านเพื่อปลดล็อคดิสก์ ให้คลิกยกเลิก
  5. บน Mac ที่เป็นโฮสต์ ให้เชื่อมต่อไดรฟ์ภายนอกที่มีกุญแจการกู้คืนส่วนตัว
  6. หากคุณเก็บกุญแจการกู้คืนส่วนตัวไว้ในดิสก์อิมเมจที่เข้ารหัส ให้ดับเบิ้ลคลิกที่ไฟล์เพื่อเชื่อมต่ออิมเมจและป้อนรหัสผ่านเมื่อได้รับแจ้ง
  7. หากคุณไม่ทราบชื่อของไดรฟ์ข้อมูลเริ่มต้นระบบ (เช่น Macintosh HD) บนดิสก์ที่คุณต้องการปลดล็อค ให้เปิดยูทิลิตี้ดิสก์ จากนั้นค้นหาชื่อดิสก์โวลุ่มในแถบด้านข้าง คุณจะต้องใช้ข้อมูลนี้ในขั้นตอนถัดไป
  8. เปิดเทอร์มินัล จากนั้นป้อนคำสั่งต่อไปนี้เพื่อปลดล็อคดิสก์เริ่มต้นระบบที่เข้ารหัส แทนที่ "name" ด้วยชื่อของดิสก์โวลุ่มเริ่มต้นระบบและแทนที่ /path ด้วยพาธไปยัง FileVaultMaster.keychain บนไดรฟ์ภายนอกหรือดิสก์อิมเมจ:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    ตัวอย่างสำหรับดิสก์โวลุ่มเริ่มต้นระบบที่ชื่อ Macintosh HD และดิสก์โวลุ่มกุญแจการกู้คืนที่ชื่อ ThumbDrive
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. ป้อนรหัสผ่านหลักเพื่อปลดดิสก์เริ่มต้นระบบ หากยอมรับรหัสผ่าน ไดรฟ์ข้อมูลจะติดตั้งบนเดสก์ท็อป
วันที่เผยแพร่: