如何在基于 Intel 的 Mac 上使用机构恢复密钥

了解如何创建机构恢复密钥 (IRK) 以解锁文件保险箱加密的基于 Intel 的 Mac 电脑并恢复数据。

本文介绍了一种传统的方法,即创建机构恢复密钥 (IRK) 来解锁文件保险箱加密的基于 Intel 的 Mac。如果搭载 Apple 芯片的 Mac 电脑或基于 Intel 的 Mac 使用 MDM,您可以将恢复密钥托管到服务器而不是使用 IRK。

对于无法使用密码访问数据的用户,您可以使用恢复密钥来重新获取文件保险箱加密的数据。在基于 Intel 的 Mac 电脑上,您可以使用机构恢复密钥来解锁文件保险箱加密的 Mac 电脑,并使用“目标磁盘模式”恢复数据。

创建文件保险箱主钥匙串

  1. 在 Mac 上打开“终端”应用,然后输入以下命令:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. 出现提示时,请输入新钥匙串的主密码,然后在系统提示重新键入时,再次输入这个密码。在您键入密码时,“终端”不会显示这个密码。
  3. 系统将生成一个密钥对,并将名为 FileVaultMaster.keychain 的文件存储到桌面。请将这个文件拷贝到一个安全位置,例如,外置驱动器上的加密磁盘映像。这个安全副本是私有恢复密钥,对于使用文件保险箱主钥匙串设置的任何基于 Intel 的 Mac,这个密钥可以解锁其启动磁盘。请勿分发这个密钥。

在下一个部分中,您将更新仍位于桌面上的 FileVaultMaster.keychain 文件。之后,您就可以将这个钥匙串部署到您所在组织的 Mac 电脑上。


从主钥匙串中移除私钥

创建文件保险箱主钥匙串后,请按照以下步骤准备这个钥匙串的副本以进行部署:

  1. 连按桌面上的 FileVaultMaster.keychain 文件。“钥匙串访问”应用将打开。
  2. 在“钥匙串访问”边栏中,选择“FileVaultMaster”。
  3. 如果 FileVaultMaster 钥匙串已锁定,请从菜单栏中选取“文件”>“解锁钥匙串‘FileVaultMaster’”,然后输入您创建的主密码。
  4. 从右侧显示的两个项目中,选择在“种类”栏中标识为“专用密钥”的项目:
    “钥匙串访问”,其中显示了已被选中的私有“FileVault Master Password Key”
  5. 删除这个私钥:从菜单栏中选取“编辑”>“删除”,输入钥匙串主密码,然后在系统提示您确认时点按“删除”。
  6. 退出“钥匙串访问”。

现在,桌面上的主钥匙串不再包含私钥,并且已准备就绪,可进行部署。


在每台 Mac 上部署更新后的主钥匙串

从钥匙串中移除私钥后,请在每台要通过私钥解锁的基于 Intel 的 Mac 上按照以下步骤操作。

  1. 将更新后的 FileVaultMaster.keychain 文件的副本放在“/资源库/Keychains/”文件夹中。
  2. 打开“终端”应用,然后输入以下两个命令。这两个命令可确保将该文件的权限设置为 -rw-r--r--,还可确保该文件由 root 拥有并分配给名为 wheel 的群组。
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. 如果文件保险箱已开启,请在“终端”中输入以下命令:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. 如果文件保险箱已关闭,请打开“安全性与隐私”偏好设置并开启“文件保险箱”。您应该会看到一条信息,表明您的公司、学校或组织已设置了恢复密钥。点按“继续”。
    “安全性与隐私”偏好设置,其中显示了恢复密钥信息

整个过程到此结束。如果用户忘记了自己的 macOS 用户帐户密码,并且无法登录他们的 Mac,您就可以使用私钥解锁他们的磁盘


使用私钥解锁用户的启动磁盘

  1. 在您想要解锁的 Mac 上,在按住 T 键的同时启动电脑。
  2. 看到雷雳标志后,松开 T 键。 
  3. 使用雷雳 3 (USB-C) 线缆将 Mac 连接到另一台 Mac(主机)。
  4. 当系统提示您输入密码以解锁磁盘时,请点按“取消”。
  5. 在主机 Mac 上,连接包含私有恢复密钥的外置驱动器。
  6. 如果您将私有恢复密钥储存在加密磁盘映像中,请连按两次文件以装载映像,并在出现提示时输入密码。
  7. 如果您不知道要解锁的磁盘上启动宗卷的名称(如 Macintosh HD),请打开“磁盘工具”,然后在边栏中找到宗卷名称。在下一步中,您将需要使用此信息。
  8. 打开“终端”,然后输入以下命令以解锁加密的启动磁盘。将“name”替换为启动宗卷的名称,将“/path”替换为外置驱动器或磁盘映像上 FileVaultMaster.keychain 的路径:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    名为“Macintosh HD”的启动宗卷以及名为“ThumbDrive”的恢复密钥宗卷的示例:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. 输入主密码来解锁启动磁盘。如果系统接受了密码,则宗卷将装载到桌面上。
发布日期: