Kurumunuzdaki bilgisayarlar için FileVault kurtarma anahtarı ayarlama

Kurumsal kurtarma anahtarı (IRK), kullanıcılarınız Mac oturum açma parolalarını hatırlayamadığında, kullanıcılarınızın FileVault tarafından şifrelenmiş verilerini kurtarmanızı sağlar.

Bu ileri düzey adımlar, sistem yöneticileri ve komut satırını kullanmayı bilen kullanıcılar içindir.

FileVault ana anahtar zinciri oluşturma

  1. Mac'inizde Terminal uygulamasını açın, ardından şu komutu girin:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. İstendiğinde yeni anahtar zinciri için ana parolayı girin ve ardından, yeniden yazmanız istendiğinde parolayı yeniden girin. Yazdığınız parola Terminal'de görünmez.
  3. Bir anahtar çifti oluşturulur ve masaüstünüze FileVaultMaster.keychain adlı bir dosya kaydedilir. Bu dosyayı, harici bir sürücüdeki şifrelenmiş disk görüntüsü gibi güvenli bir konuma kopyalayın. Güvenli kopyanız, FileVault ana anahtar zincirini kullanmak üzere ayarlanmış tüm Mac'lerin başlangıç diskinin kilidini açabilecek gizli kurtarma anahtarıdır. Bu anahtar dağıtım amaçlı değildir. 

Bir sonraki bölümde, hâlâ masaüstünüzde bulunan FileVaultMaster.keychain dosyasını güncelleyeceksiniz. Ardından bu anahtar zincirini kurumunuzdaki Mac bilgisayarlara dağıtabilirsiniz.

Ana anahtar zincirinden gizli anahtarı kaldırma

FileVault ana anahtar zincirini oluşturduktan sonra, dağıtmak üzere bir kopyasını hazırlamak için aşağıdaki adımları izleyin:

  1. Masaüstünüzdeki FileVaultMaster.keychain dosyasını çift tıklayın. Anahtar Zinciri Erişimi uygulaması açılır.
  2. Anahtar Zinciri Erişimi'nin kenar çubuğundan FileVaultMaster'ı seçin. Sağ tarafta ikiden fazla öğe listeleniyorsa kenar çubuğundan başka bir anahtar zinciri seçin ve listeyi yenilemek için FileVaultMaster'ı yeniden seçin.
  3. FileVaultMaster anahtar zinciri kilitliyse Anahtar Zinciri Erişimi'nin sol üst köşesindeki  simgesini tıklayın ve oluşturduğunuz ana parolayı girin.
  4. Sağ tarafta gösterilen iki öğeden, "Tür" sütununda "gizli anahtar" olarak tanımlanan öğeyi seçin:
    Seçilen gizli FileVault Master Password Key girişini gösteren Anahtar Zinciri Erişimi
  5. Gizli anahtarı silin: Menü çubuğundan Düzen > Sil'i seçin, anahtar zinciri ana parolasını girin ve onaylamanız istendiğinde Sil'i tıklayın.
  6. Anahtar Zinciri Erişimi'nden çıkın.

Artık masaüstünüzdeki ana anahtar zinciri gizli anahtarı içermediğinden anahtar zinciri dağıtıma hazırdır.

Güncellenen ana anahtar zincirini tüm Mac'lere dağıtma

Anahtar zincirinden gizli anahtarı kaldırdıktan sonra, gizli anahtarınızla kilidini açmak istediğiniz tüm Mac'lerde aşağıdaki adımları izleyin.

  1. Güncellenen FileVaultMaster.keychain dosyasının bir kopyasını /Kitaplık/Keychains/ klasörüne kaydedin.
  2. Terminal uygulamasını açıp aşağıdaki iki komutu girin. Bu komutlar, dosya izinlerinin -rw-r--r-- şeklinde ayarlanmasını sağlar. Dosyanın sahibi root kullanıcısı olur ve dosya, wheel adlı gruba atanır.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. FileVault zaten açıksa Terminal'de şu komutu girin:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. FileVault kapalıysa Güvenlik ve Gizlilik tercihlerine gidip FileVault'u açın. Şirketiniz, okulunuz veya kurumunuz tarafından bir kurtarma anahtarı ayarlandığını belirten bir ileti görürsünüz. Sürdür'ü tıklayın.
    Kurtarma Anahtarı iletisini gösteren Güvenlik ve Gizlilik tercihleri

İşlem bu noktada sona erer. Bir kullanıcı macOS kullanıcı hesabının parolasını unutur ve Mac'inde oturum açamazsa kullanıcının diskinin kilidini açmak için gizli anahtarı kullanabilirsiniz.

 

Kullanıcının başlangıç diskinin kilidini açmak için gizli anahtarı kullanma

Bir kullanıcı hesap parolasını unutur ve Mac'inde oturum açamazsa kullanıcının başlangıç diskinin kilidini açmak ve FileVault tarafından şifrelenmiş verilere erişmek için gizli kurtarma anahtarını kullanabilirsiniz.

  1. Başlatma sırasında Komut-R tuşlarını basılı tutarak istemci Mac'ini macOS Kurtarma'dan başlatın.
  2. Başlangıç diskinin adını (Macintosh HD gibi) ve biçimini bilmiyorsanız macOS İzlenceleri penceresinden Disk İzlencesi'ni açın, ardından Disk İzlencesi'nin sağ tarafında o disk bölümü için görüntülenen bilgilere göz atın. "APFS Disk Bölümü" veya "Mac OS Genişletilmiş" yerine "CoreStorage Mantıksal Disk Bölümü Grubu" ifadesini görürseniz disk bölümü, Mac OS Genişletilmiş biçimine sahiptir. Bu bilgiye sonraki bir adımda ihtiyacınız olacak. Bu işlem bittiğinde Disk İzlencesi'nden çıkın.
  3. Gizli kurtarma anahtarını içeren harici diski bağlayın.
  4. macOS Kurtarma'daki menü çubuğundan İzlenceler > Terminal'i seçin.
  5. Gizli kurtarma anahtarını şifrelenmiş bir disk görüntüsünde saklıyorsanız bu görüntüyü bağlamak için Terminal'de aşağıdaki komutu kullanın. Komuttaki /path ifadesinin yerine, .dmg dosya adı uzantısıyla birlikte disk görüntüsünün yolunu yazın.
    hdiutil attach /path
    
    ThumbDrive adlı bir disk bölümündeki PrivateKey.dmg adlı disk görüntüsü için örnek :
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. FileVault ana anahtar zincirinin kilidini açmak için aşağıdaki komutu kullanın. Komuttaki /path ifadesinin yerine, harici diskteki FileVaultMaster.keychain dosyasının yolunu yazın. Anahtar zinciri şifrelenmiş bir disk görüntüsünde saklanıyorsa bu adımda ve sonraki adımlarda, yol kısmına görüntünün adını yazmayı unutmayın.
    security unlock-keychain /path
    
    ThumbDrive adlı disk bölümü için örnek:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. Başlangıç diskinin kilidini açmak için ana parolayı girin. Parola kabul edilirse komut istemine dönülür.

Kullanıcının başlangıç diskinin nasıl biçimlendirildiğine bağlı olarak aşağıda açıklandığı gibi devam edin.

APFS

 Başlangıç diski APFS için biçimlendirilmişse aşağıdaki ek adımları tamamlayın:

  1. Şifrelenmiş başlangıç diskinin kilidini açmak için aşağıdaki komutu girin. Komuttaki "name" ifadesinin yerine başlangıç disk bölümünün adını, /path ifadesinin yerine ise harici diskteki veya disk görüntüsündeki FileVaultMaster.keychain dosyasının yolunu yazın:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Macintosh HD adlı başlangıç disk bölümü ve ThumbDrive adlı kurtarma anahtarı disk bölümü için örnek:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Anahtar zincirinin kilidini açmak ve başlangıç diskini bağlamak için ana parolayı girin.
  3. Diskteki verileri yedeklemek için ditto gibi komut satırı araçlarını kullanın veya Terminal'den çıkıp Disk İzlencesi'ne gidin.

Mac OS Genişletilmiş (HFS Plus)

Başlangıç diski Mac OS Genişletilmiş için biçimlendirilmişse aşağıdaki ek adımları tamamlayın:

  1. Sürücülerin ve CoreStorage disk bölümlerinin listesini almak için şu komutu girin:
    diskutil cs list
    
  2. "Mantıksal Disk Bölümü" ifadesinden sonra görünen UUID'yi seçin ve sonraki bir adımda kullanmak üzere kopyalayın.
    Örnek: +-> Mantıksal Disk Bölümü 2F227AED-1398-42F8-804D-882199ABA66B
  3. Şifrelenmiş başlangıç diskinin kilidini açmak için aşağıdaki komutu kullanın. Komuttaki UUID ifadesinin yerine, önceki adımda kopyaladığınız UUID'yi; /path ifadesinin yerine ise harici diskteki veya disk görüntüsündeki FileVaultMaster.keychain dosyasının yolunu yazın:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    ThumbDrive adlı kurtarma anahtarı disk bölümü için örnek:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Anahtar zincirinin kilidini açmak ve başlangıç diskini bağlamak için ana parolayı girin.
  5. Diskteki verileri yedeklemek için ditto gibi komut satırı araçlarını kullanın. Bunun yerine Terminal'den çıkıp Disk İzlencesini de kullanabilirsiniz. Ya da aşağıdaki komutu kullanarak, kilidi açılan diskin şifresini çözebilir ve bilgisayarı bu diskten başlatabilirsiniz. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    ThumbDrive adlı kurtarma anahtarı disk bölümü için örnek:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Yayın Tarihi: