ตั้งกุญแจการกู้คืน FileVault สำหรับคอมพิวเตอร์ในสถาบันของคุณ

กุญแจการกู้คืนสำหรับสถาบัน (Institutional Recovery Key - IRK) ช่วยให้คุณสามารถกู้คืนข้อมูลที่เข้ารหัสด้วย FileVault ของผู้ใช้ของคุณ เมื่อผู้ใช้จำรหัสผ่านเข้าสู่ระบบ Mac ไม่ได้

ขั้นตอนขั้นสูงเหล่านี้มีไว้สำหรับผู้ดูแลระบบ และผู้ใดก็ตามที่มีความคุ้นเคยกับบรรทัดคำสั่ง

สร้างพวงกุญแจหลัก FileVault

  1. เปิดแอพเทอร์มินัลบน Mac แล้วป้อนคำสั่งนี้
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. เมื่อระบบแจ้ง ให้ป้อนรหัสหลักสำหรับพวงกุญแจใหม่ แล้วป้อนอีกครั้งเมื่อระบบแจ้งให้พิมพ์ซ้ำ เทอร์มินัลจะไม่แสดงรหัสผ่านขณะที่คุณพิมพ์
  3. เมื่อสร้างคู่กุญแจแล้ว ไฟล์ที่ชื่อ FileVaultMaster.keychain จะบันทึกในเดสก์ท็อปของคุณ คัดลอกไฟล์นี้ไปยังตำแหน่งที่ปลอดภัย เช่น ดิสก์อิมเมจที่เข้ารหัสในไดรฟ์ภายนอก สำเนาที่ปลอดภัยนี้เป็นกุญแจการกู้คืนที่สามารถปลดล็อคดิสก์เริ่มต้นระบบของ Mac เครื่องใดก็ตามที่ตั้งค่าไว้ให้ใช้พวงกุญแจหลัก FileVault สำเนานี้ไม่ได้มีไว้เพื่อแจกจ่าย

ในส่วนถัดไป คุณจะต้องอัพเดทไฟล์ FileVaultMaster.keychain ที่ยังคงอยู่ในเดสก์ท็อปของคุณ จากนั้นคุณสามารถปรับใช้พวงกุญแจนั้นไปยังคอมพิวเตอร์ Mac ในสถาบันของคุณ

ลบกุญแจส่วนตัวออกจากพวงกุญแจหลัก

หลังจากสร้างพวงกุญแจหลัก FileVault ให้ทำตามขั้นตอนเหล่านี้เพื่อเตรียมสำเนาพวงกุญแจสำหรับการปรับใช้

  1. คลิกสองครั้งที่ไฟล์ FileVaultMaster.keychain บนเดสก์ท็อป แอพการเข้าถึงพวงกุญแจจะเปิดขึ้น
  2. ในแถบด้านข้างของการเข้าถึงพวงกุญแจ ให้เลือก FileVaultMaster หากคุณเห็นมากกว่าสองรายการทางด้านขวา ให้เลือกพวงกุญแจในแถบด้านข้าง แล้วเลือก FileVaultMaster อีกครั้งเพื่อรีเฟรชรายการ
  3. หากพวงกุญแจ FileVaultMaster ถูกล็อค ให้คลิก ที่มุมซ้ายบนของการเข้าถึงพวงกุญแจ แล้วป้อนรหัสผ่านหลักที่คุณสร้างไว้
  4. จากสองรายการที่แสดงทางด้านขวา ให้เลือกรายการที่ระบุว่า "กุญแจส่วนตัว" ในคอลัมน์ชนิด
    การเข้าถึงพวงกุญแจที่แสดง FileVault Master Password Key ที่เลือกไว้
  5. ลบกุญแจส่วนตัว โดยเลือกแก้ไข > ลบ จากแถบเมนู ป้อนรหัสผ่านหลักของพวงกุญแจ แล้วคลิกลบเมื่อระบบขอให้ยืนยัน
  6. ออกจากการเข้าถึงพวงกุญแจ

เมื่อพวงกุญแจหลักบนเดสก์ท็อปของคุ๕ณไม่มีกุญแจส่วนตัวอีกต่อไป แสดงว่าพร้อมสำหรับการปรับใช้แล้ว

ปรับใช้พวงกุญแจหลักที่อัพเดทแล้วใน Mac แต่ละเครื่อง

หลังจากลบกุญแจส่วนตัวออกจากพวงกุญแจแล้ว ให้ทำตามขั้นตอนเหล่านี้บน Mac แต่ละเครื่องที่คุณต้องการให้ปลดล็อคได้ด้วยการใช้กุญแจส่วนตัวของคุณ

  1. วางสำเนาของไฟล์ FileVaultMaster.keychain ที่อัพเดทไว้ในโฟลเดอร์ /ไลบรารี/Keychains/
  2. เปิดแอพเทอร์มินัล แล้วป้อนคำสั่งทั้งสองต่อไปนี้ คำสั่งเหล่านี้จะช่วยให้แน่ใจว่ามีการตั้งค่าสิทธิ์ของไฟล์เป็น -rw-r--r-- และไฟล์เป็นของรายการรากและได้รับการมอบหมายให้กับกลุ่มที่ชื่อ wheel
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. หาก FileVault เปิดไว้อยู่แล้ว ให้ป้อนคำสั่งนี้ในเทอร์มินัล
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. หาก FileVault ปิดอยู่ ให้เปิดการตั้งค่าความปลอดภัยและความเป็นส่วนตัว และเปิด FileVault คุณควรจะเห็นข้อความที่บอกว่ากุญแจการกู้คืนได้รับการตั้งค่าโดยบริษัท โรงเรียน หรือสถาบันของคุณ คลิกดำเนินการต่อ
    การตั้งค่าความปลอดภัยและความเป็นส่วนตัวที่แสดงข้อความกุญแจการกู้คืน

ขั้นตอนนี้เป็นการเสร็จสิ้นกระบวนการ หากผู้ใช้ลืมรหัสผ่านบัญชีผู้ใช้ macOS ของตนและไม่สามารถเข้าสู่ระบบ Mac ได้ คุณสามารถใช้กุญแจส่วนตัวในการปลดล็อคดิสก์ของพวกเขาได้

 

ใช้กุญแจส่วนตัวเพื่อปลดล็อคดิสก์เริ่มต้นระบบของผู้ใช้

หากผู้ใช้ลืมรหัสผ่านบัญชีของตน และไม่สามารถเข้าสู่ระบบ Mac ได้ คุณสามารถใช้กุญแจการกู้คืนส่วนตัวเพื่อปลดล็อคดิสก์เริ่มต้นระบบของผู้ใช้ และเข้าใช้ข้อมูลที่เข้ารหัสด้วย FileVault

  1. บน Mac ที่เป็นลูกข่าย ให้เริ่มต้นระบบจากการกู้คืน macOS ด้วยการกดปุ่ม Command-R ค้างไว้ระหว่างการเริ่มต้นระบบ
  2. หากคุณไม่ทราบชื่อ (เช่น Macintosh HD) และรูปแบบของดิสก์เริ่มต้นระบบ ให้เปิดยูทิลิตี้ดิสก์จากหน้าต่างยูทิลิตี้ macOS แล้วตรวจสอบข้อมูลที่ยูทิลิตี้ดิสก์แสดงสำหรับดิสก์โวลุ่มนั้นทางด้านขวา หากคุณเห็น "กลุ่มดิสก์โวลุ่มตรรกะ CoreStorage" แทนที่จะเป็น "ดิสก์โวลุ่ม APFS" หรือ "Mac OS แบบขยาย" แสดงว่ารูปแบบคือ Mac OS แบบขยาย คุณจะต้องใช้ข้อมูลนี้ในขั้นตอนหลังจากนี้ เมื่อเสร็จแล้วให้ออกจากยูทิลิตี้ดิสก์
  3. เชื่อมต่อไดรฟ์ภายนอกที่มีกุญแจการกู้คืนส่วนตัว
  4. จากแถบเมนูในการกู้คืน macOS ให้เลือกยูทิลิตี้ > เทอร์มินัล
  5. หากคุณจัดเก็บกุญแจการกู้คืนส่วนตัวไว้ในดิสก์อิมเมจที่เข้ารหัส ให้ใช้คำสั่งต่อไปนี้ในเทอร์มินัลเพื่อติดตั้งอิมเมจนั้น แทนที่ /path ด้วยพาธไปยังดิสก์อิมเมจ รวมถึงนามสกุลชื่อไฟล์ .dmg
    hdiutil attach /path
    
    ตัวอย่างของดิสก์อิมเมจที่ชื่อ PrivateKey.dmg บนดิสก์โวลุ่มที่ชื่อ ThumbDrive:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. ใช้คำสั่งต่อไปนี้เพื่อปลดล็อคพวงกุญแจหลัก FileVault แทนที่ /path ด้วยพาธไปยัง FileVaultMaster.keychain บนไดรฟ์ภายนอก ในขั้นตอนนี้และขั้นตอนอื่นๆ ที่เหลือ หากพวงกุญแจจัดเก็บอยู่ในดิสก์อิมเมจที่เข้ารหัส โปรดจำไว้ว่าคุณต้องรวมชื่อของอิมเมจนั้นในพาธด้วย
    security unlock-keychain /path
    
    ตัวอย่างสำหรับดิสก์โวลุ่มที่ชื่อ ThumbDrive:
    พวงกุญแจสำหรับปลดล็อคความปลอดภัย /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. ป้อนรหัสผ่านหลักเพื่อปลดดิสก์เริ่มต้นระบบ หากยอมรับรหัสผ่าน พร้อมท์คำสั่งจะแสดงขึ้น

ดำเนินการต่อตามที่อธิบายด้านล่าง ตามวิธีจัดรูปแบบดิสก์เริ่มต้นระบบของผู้ใช้

APFS

 หากดิสก์เริ่มต้นระบบได้รับการจัดรูปแบบสำหรับ APFS ให้ทำตามขั้นตอนเพิ่มเติมเหล่านี้ให้เสร็จสมบูรณ์

  1. ป้อนคำสั่งต่อไปนี้เพื่อปลดล็อคดิสก์เริ่มต้นระบบที่เข้ารหัส แทนที่ "name" ด้วยชื่อของดิสก์โวลุ่มเริ่มต้นระบบ และแทนที่/path ด้วยพาธไปยัง FileVaultMaster.keychain บนไดรฟ์ภายนอกหรือดิสก์อิมเมจ
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    ตัวอย่างสำหรับดิสก์โวลุ่มเริ่มต้นระบบที่ชื่อ Macintosh HD และดิสก์โวลุ่มกุญแจการกู้คืนที่ชื่อ ThumbDrive
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. ป้อนรหัสผ่านหลักเพื่อปลดล็อคพวงกุญแจและติดตั้งดิสก์เริ่มต้นระบบ
  3. ใช้เครื่องมือบรรทัดคำสั่ง เช่น ditto เพื่อสำรองข้อมูลในดิสก์ หรือออกจากเทอร์มินัลและใช้ยูทิลิตี้ดิสก์

Mac OS แบบขยาย (HFS Plus)

หากดิสก์เริ่มต้นระบบได้รับการจัดรูปแบบสำหรับ Mac OS แบบขยาย ให้ทำตามขั้นตอนเพิ่มเติมเหล่านี้ให้เสร็จสมบูรณ์

  1. ป้อนคำสั่งนี้เพื่อรับรายชื่อไดรฟ์และดิสก์โวลุ่ม CoreStorage
    diskutil cs list
    
  2. เลือก UUID ที่ปรากฏขึ้นหลัง "ดิสก์โวลุ่มตรรกะ" แล้วคัดลอกไว้สำหรับใช้ในขั้นตอนหลังจากนี้
    ตัวอย่าง: +-> ดิสก์โวลุ่มตรรกะ 2F227AED-1398-42F8-804D-882199ABA66B
  3. ใช้คำสั่งต่อไปนี้เพื่อปลดล็อคดิสก์เริ่มต้นระบบที่เข้ารหัส แทนที่ UUID ด้วย UUID ที่คุณคัดลอกมาจากขั้นตอนก่อนหน้า และแทนที่ /path ด้วยพาธไปยัง FileVaultMaster.keychain บนไดรฟ์ภายนอกหรือดิสก์อิมเมจ
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    ตัวอย่างสำหรับดิสก์โวลุ่มของกุญแจการกู้คืนที่ชื่อ ThumbDrive:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. ป้อนรหัสผ่านหลักเพื่อปลดล็อคพวงกุญแจและติดตั้งดิสก์เริ่มต้นระบบ
  5. ใช้เครื่องมือบรรทัดคำสั่ง เช่น ditto เพื่อสำรองข้อมูลในดิสก์ หรือออกจากเทอร์มินัลและใช้ยูทิลิตี้ดิสก์ หรือใช้คำสั่งต่อไปนี้เพื่อถอดรหัสดิสก์ที่ปลดล็อค และเริ่มต้นระบบจากดิสก์นั้น
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    ตัวอย่างสำหรับดิสก์โวลุ่มของกุญแจการกู้คืนที่ชื่อ ThumbDrive:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
วันที่เผยแพร่: