为您所在机构的电脑设置文件保险箱恢复密钥

通过机构恢复密钥 (IRK),您可以在用户忘记 Mac 登录密码时恢复他们的文件保险箱加密数据。

以下高级步骤适用于系统管理员以及熟悉命令行的其他人员。

创建文件保险箱主钥匙串

  1. 在 Mac 上打开“终端”应用,然后输入以下命令:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. 出现提示时,请输入新钥匙串的主密码,然后在系统提示重新键入时,再次输入这个密码。在您键入密码时,“终端”不会显示这个密码。
  3. 系统将生成一个密钥对,并将名为 FileVaultMaster.keychain 的文件存储到桌面。请将这个文件拷贝到一个安全位置,例如,外置驱动器上的加密磁盘映像。这个安全副本是私有恢复密钥,可以解锁任何设置为使用文件保险箱主钥匙串的 Mac 的启动磁盘。请勿分发这个密钥。

在下一个部分中,您将更新仍位于桌面上的 FileVaultMaster.keychain 文件。之后,您可以将这个钥匙串部署到您所在机构的 Mac 电脑上。

从主钥匙串中移除私钥

创建文件保险箱主钥匙串后,请按照以下步骤准备这个钥匙串的副本以进行部署:

  1. 连按桌面上的 FileVaultMaster.keychain 文件。“钥匙串访问”应用将打开。
  2. 在“钥匙串访问”边栏中,选择“FileVaultMaster”。如果您看到右侧列出了两个以上的项目,请在边栏中选择另一个钥匙串,然后再次选择“FileVaultMaster”以刷新列表。
  3. 如果 FileVaultMaster 钥匙串已锁定,请点按“钥匙串访问”左上角的 ,然后输入您创建的主密码。
  4. 从右侧显示的两个项目中,选择在“种类”栏中标识为“专用密钥”的项目:
    “钥匙串访问”,其中显示了已被选中的私有“FileVault Master Password Key”
  5. 删除这个私钥:从菜单栏中选取“编辑”>“删除”,输入钥匙串主密码,然后在系统提示您确认时点按“删除”。
  6. 退出“钥匙串访问”。

现在,桌面上的主钥匙串不再包含私钥,并且已准备就绪,可进行部署。

在每台 Mac 上部署更新后的主钥匙串

从钥匙串中移除私钥后,请在每台要通过您的私钥解锁的 Mac 上按照以下步骤操作。

  1. 将更新后的 FileVaultMaster.keychain 文件的副本放在“/资源库/Keychains/”文件夹中。
  2. 打开“终端”应用,然后输入以下两个命令。这两个命令可确保将该文件的权限设置为 -rw-r--r--,还可确保该文件由 root 拥有并分配给名为 wheel 的群组。
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. 如果文件保险箱已开启,请在“终端”中输入以下命令:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. 如果文件保险箱已关闭,请打开“安全性与隐私”偏好设置并开启“文件保险箱”。您应该会看到一条信息,表明您的公司、学校或机构已设置了恢复密钥。点按“继续”。
    “安全性与隐私”偏好设置,其中显示了恢复密钥信息

整个过程到此结束。如果用户忘记了自己的 macOS 用户帐户密码,并且无法登录他们的 Mac,您就可以使用私钥解锁他们的磁盘

 

使用私钥解锁用户的启动磁盘

如果用户忘记了自己的帐户密码并且无法登录他们的 Mac,您可以使用私有恢复密钥来解锁他们的启动磁盘,并访问这个磁盘的文件保险箱加密数据。

  1. 在客户端 Mac 上,在启动期间按住 Command-R,以从 macOS 恢复功能启动。
  2. 如果您不知道启动磁盘的名称(例如 Macintosh HD)和格式,请从“macOS 实用工具”窗口中打开“磁盘工具”,然后查看“磁盘工具”在右侧针对该宗卷显示的信息。如果您看到“CoreStorage 逻辑宗卷组”而非“APFS 宗卷”或“Mac OS 扩展”,则说明格式为“Mac OS 扩展”。在后面的步骤中,您将需要使用此信息。完成后,退出“磁盘工具”。
  3. 连接包含私有恢复密钥的外置驱动器。
  4. 从“macOS 恢复”的菜单栏中,选取“实用工具”>“终端”。
  5. 如果您将私有恢复密钥储存在加密磁盘映像中,请在“终端”中使用以下命令装载该映像。将 /path 替换为磁盘映像的路径(包括 .dmg 文件扩展名):
    hdiutil attach /path
    
    名为 ThumbDrive 的宗卷上名为 PrivateKey.dmg 的磁盘映像的示例:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. 使用以下命令解锁文件保险箱主钥匙串。将 /path 替换为外置驱动器上 FileVaultMaster.keychain 的路径。在这个步骤以及余下的所有步骤中,如果钥匙串储存在加密的磁盘映像中,请务必在路径中包含这个映像的名称。
    security unlock-keychain /path
    
    名为 ThumbDrive 的宗卷的示例:
    security unlock-keychain /Volumes/ThumbDrive/文件保险箱 Master.keychain

  7. 输入主密码来解锁启动磁盘。系统接受密码后,将会返回命令提示符。

根据用户启动磁盘的格式,请按照如下所述继续操作。

APFS

如果启动磁盘针对 APFS 进行了格式化,请完成以下额外步骤:

  1. 输入以下命令以解锁加密的启动磁盘。将 "name" 替换为启动宗卷的名称,并将 /path 替换为外置驱动器或磁盘映像上 filevaultmaster.keychain 的相应路径:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    名为 Macintosh HD 的启动宗卷以及名为 ThumbDrive 的恢复密钥宗卷的示例:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. 输入主密码来解锁钥匙串,然后装载启动磁盘。
  3. 使用命令行工具(例如 ditto)备份磁盘上的数据,或者退出“终端”并使用“磁盘工具”。

Mac OS 扩展 (HFS Plus)

如果启动磁盘针对 Mac OS 扩展格式进行了格式化,请完成以下额外的步骤:

  1. 输入以下命令以获取驱动器和 CoreStorage 宗卷的列表:
    diskutil cs list
    
  2. 选择“Logical Volume”后显示的 UUID,然后进行拷贝以供后面的步骤使用。
    示例: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. 使用以下命令解锁加密的启动磁盘。将 UUID 替换为您在上一步中拷贝的 UUID,然后将 /path 替换为外置驱动器或磁盘映像上 filevaultmaster.keychain 的相应路径:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    名为 ThumbDrive 的恢复密钥宗卷的示例:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/文件保险箱 Master.keychain
  4. 输入主密码来解锁钥匙串,然后装载启动磁盘。
  5. 使用命令行工具(例如 ditto)备份磁盘上的数据。或者退出“终端”并使用“磁盘工具”。或使用以下命令来解密已解锁的磁盘并从这个磁盘启动。
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    名为 ThumbDrive 的恢复密钥宗卷的示例:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
发布日期: