本文章已经归档,因此 Apple 将不再对其进行更新。

如何在基于 Intel 的 Mac 上使用机构恢复密钥

了解如何创建机构恢复密钥 (IRK) 以解锁文件保险箱加密的基于 Intel 的 Mac 电脑并恢复数据。

本文介绍了一种传统的方法,即创建机构恢复密钥 (IRK) 来解锁文件保险箱加密的基于 Intel 的 Mac。如果搭载 Apple 芯片的 Mac 电脑或基于 Intel 的 Mac 使用 MDM,你可以将恢复密钥托管到服务器而不是使用 IRK。

对于无法使用密码访问数据的用户,你可以使用恢复密钥来重新获取文件保险箱加密的数据。在基于 Intel 的 Mac 电脑上,你可以使用机构恢复密钥来解锁文件保险箱加密的 Mac 电脑,并使用“目标磁盘模式”恢复数据。

创建文件保险箱主钥匙串

  1. 在 Mac 上打开“终端”App,然后输入以下命令:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. 出现提示时,请输入新钥匙串的主密码,然后在系统提示重新键入时,再次输入这个密码。在你键入密码时,“终端”不会显示这个密码。

  3. 系统将生成一个密钥对,并将名为 FileVaultMaster.keychain 的文件存储到桌面。请将这个文件拷贝到一个安全位置,例如,外置驱动器上的加密磁盘映像。这个安全副本是专用恢复密钥,对于使用文件保险箱主钥匙串设置的任何基于 Intel 的 Mac,这个密钥可以解锁其启动磁盘。请勿分发这个密钥。

在下一个部分中,你将更新仍位于桌面上的 FileVaultMaster.keychain 文件。之后,你就可以将这个钥匙串部署到你所在组织的 Mac 电脑上。

从主钥匙串中移除专用密钥

创建文件保险箱主钥匙串后,请按照以下步骤准备这个钥匙串的副本以进行部署:

  1. 连按桌面上的 FileVaultMaster.keychain 文件。“钥匙串访问”App 将打开。

  2. 在“钥匙串访问”边栏中,选择“FileVaultMaster”。

  3. 如果 FileVaultMaster 钥匙串已锁定,请从菜单栏中选取“文件”>“解锁钥匙串‘FileVaultMaster’”,然后输入你创建的主密码。

  4. 从右侧显示的两个项目中,选择在“种类”栏中标识为“专用密钥”的项目:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. 删除这个专用密钥:从菜单栏中选取“编辑”>“删除”,输入钥匙串主密码,然后在系统提示你确认时点按“删除”。

  6. 退出“钥匙串访问”。

现在,桌面上的主钥匙串不再包含专用密钥,并且已准备就绪,可进行部署。

在每台 Mac 上部署更新后的主钥匙串

从钥匙串中移除专用密钥后,请在每台要通过专用密钥解锁且基于 Intel 的 Mac 上按照以下步骤操作。

  1. 将更新后的 FileVaultMaster.keychain 文件的副本放在“/资源库/Keychains/”文件夹中。

  2. 打开“终端”App,然后输入以下两个命令。这两个命令可确保将这个文件的权限设置为-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. 如果文件保险箱已开启,请在“终端”中输入以下命令:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. 如果文件保险箱已关闭,请打开“安全性与隐私”偏好设置并打开“文件保险箱”。你应该会看到一条信息,表明你的公司、学校或组织已设置了恢复密钥。点按“继续”。

    Security & Privacy preferences, showing the Recovery Key message

整个过程到此结束。如果用户忘记了自己的 macOS 用户帐户密码,并且无法登录自己的 Mac,你可以使用专用密钥解锁用户的磁盘

使用专用密钥解锁用户的启动磁盘

  1. 在你想要解锁的 Mac 上,在按住 T 键的同时启动电脑。

  2. 看到雷雳标志后,松开 T 键。

  3. 使用雷雳 3 (USB-C) 线缆将 Mac 连接到另一台 Mac(主机)。

  4. 当系统提示你输入密码以解锁磁盘时,请点按“取消”。

  5. 在主机 Mac 上,连接包含专用恢复密钥的外置驱动器。

  6. 如果你将专用恢复密钥储存在加密磁盘映像中,请连按两次文件以装载映像,并在出现提示时输入密码。

  7. 如果你不知道要解锁的磁盘上启动宗卷的名称(如 Macintosh HD),请打开“磁盘工具”,然后在边栏中找到宗卷名称。在下一步中,你将需要使用此信息。

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. 输入主密码来解锁启动磁盘。如果系统接受了密码,则宗卷将装载到桌面上。

发布日期: