為你機構內的電腦設定 FileVault 復原密鑰

當使用者忘記 Mac 登入密碼時,機構復原密鑰 (IRK) 可讓你為有關使用者復原經 FileVault 加密的資料。

以下這些進階步驟,主要供系統管理員及其他熟悉命令列的人士使用。

建立 FileVault 主鑰匙圈

  1. 在 Mac 上開啟「終端機」app,然後輸入以下指令:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. 按系統提示輸入新鑰匙圈的主密碼,然後再按提示再次輸入。當你輸入密碼時,「終端機」不會顯示密碼。
  3. 產生密鑰組合後,名為 FileVaultMaster.keychain 的檔案就會儲存在你的桌面上。請將此檔案複製到安全的地方,例如置於外置磁碟的加密磁碟映像檔。此安全副本,是可以為任何設定使用 FileVault 主鑰匙圈的 Mac 解鎖啟動磁碟的專用復原密鑰。請勿將此副本分發出去。

在下一部分,你將要更新仍在桌面上的 FileVaultMaster.keychain 檔案。然後,你便可以為你機構的 Mac 電腦部署該鑰匙圈。

從主鑰匙圈移除專用密鑰

建立 FileVault 主鑰匙圈後,請按照下列步驟準備副本以作部署:

  1. 按兩下桌面上的 FileVaultMaster.keychain 檔案。「鑰匙圈存取」app 就會開啟。
  2. 在「鑰匙圈存取」側邊欄中,選擇 FileVaultMaster。如果右邊列出多於兩個項目,請在側邊欄中選擇另一個鑰匙圈,然後再次選擇 FileVaultMaster 來重新整理列表。
  3. 如果 FileVaultMaster 鑰匙圈已鎖上,請按一下「鑰匙圈存取」左上角的 圖示,然後輸入你建立的主密碼。
  4. 從右邊顯示的兩個項目中,選擇在「種類」欄顯示為「專用密鑰」的那個項目。
    「鑰匙圈存取」,顯示已選擇的專用 FileVault Master Password Key
  5. 刪除專用密鑰:在選單列中選擇「編輯」>「刪除」,並輸入鑰匙圈主密碼,然後在系統要求確認時按一下「刪除」。
  6. 結束「鑰匙圈存取」app。

現在,桌面上的主鑰匙圈不再載有專用密鑰,並可供隨時部署。

在每部 Mac 上部署已更新的主鑰匙圈

從鑰匙圈移除專用密鑰後,請在你想以專用密鑰解鎖的每部 Mac 上,按照下列步驟操作。

  1. 在 /資源庫/Keychains/ 資料夾中加入更新後的 FileVaultMaster.keychain 檔案副本。
  2. 開啟「終端機」app,並輸入下列兩項指令。這些指令可確保檔案權限設為 -rw-r--r--,而且檔案由 root 擁有並指定給名為「wheel」的群組。
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. 如已啟用 FileVault,請在「終端機」輸入以下指令:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. 如已關閉 FileVault,則請開啟「安全性與隱私」偏好設定,並啟用 FileVault。系統訊息應該會顯示「你的公司、學校或機構已設定復原密鑰」。請按一下「繼續」。
    「安全性與隱私」偏好設定正顯示「復原密鑰」訊息

步驟至此完成。如有使用者忘記其 macOS 使用者帳戶密碼且無法登入 Mac,你便可使用專用密鑰為其磁碟解鎖

 

使用專用密鑰來為使用者的啟動磁碟解鎖

如有使用者忘記其帳戶密碼且無法登入 Mac,你便可使用專用復原密鑰為其解鎖啟動磁碟,並存取經 FileVault 加密的資料。

  1. 請啟動用戶端 Mac 並同時按住 Command-R,以透過「macOS 復原」模式進行啟動。
  2. 如果你不知道啟動磁碟的名稱 (例如 Macintosh HD) 和格式,請在 macOS 工具程式視窗中開啟「磁碟工具程式」,然後檢查「磁碟工具程式」右邊顯示的卷宗資料。如看到「CoreStorage 邏輯卷宗群組」而非「APFS 卷宗」或「Mac OS 擴充格式」,即表示格式屬「Mac OS 擴充格式」。你在稍後的步驟會用到這項資料,完成後請結束「磁碟工具程式」。
  3. 連接載有專用復原密鑰的外置磁碟。
  4. 在「macOS 復原」的選單列中,選擇「工具程式」>「終端機」。
  5. 如果你將專用復原密鑰儲存在加密磁碟映像檔中,請在「終端機」使用以下指令裝載該映像檔。請將 /path改為磁碟映像檔路徑 (包括 .dmg 副檔名):
    hdiutil attach /path
    
    範例:名為 PrivateKey.dmg 的磁碟映像檔位於名為 ThumbDrive 的卷宗內:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. 請使用以下指令解鎖 FileVault 主鑰匙圈。請將/path改為外置磁碟機上的 FileVaultMaster.keychain 路徑。在此步驟和餘下所有步驟,如果鑰匙圈儲存在加密磁碟映像檔中,請記住在路徑中加入該映像檔的名稱。
    security unlock-keychain /path
    
    範例:名為 ThumbDrive 的卷宗:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. 輸入主密碼以解鎖啟動磁碟。如果系統接受此密碼,就會回到指令提示字元。

請根據使用者啟動磁碟的格式化方式,如下方所述繼續執行所需步驟。

APFS

 如果啟動磁碟已格式化為 APFS,請完成下列附加步驟:

  1. 輸入下列指令以解鎖加密啟動磁碟。請將「name」改為開機卷宗的名稱,並將/path改為外置磁碟或磁碟映像檔上的 FileVaultMaster.keychain 路徑:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    範例:名為 Macintosh HD 的開機卷宗及名為 ThumbDrive 的復原密鑰卷宗:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. 請輸入主密碼,以解鎖鑰匙圈並裝載啟動磁碟。
  3. 使用 ditto 等命令列工具來備份磁碟上的資料,或結束「終端機」並使用「磁碟工具程式」。

Mac OS 擴充格式 (HFS Plus)

如果啟動磁碟已格式化為 Mac OS 擴充格式,請完成下列附加步驟:

  1. 輸入以下指令,以查看磁碟機和 CoreStorage 卷宗的清單:
    diskutil cs list
    
  2. 選取並複製「Logical Volume (邏輯卷宗)」後面的 UUID,以在稍後的步驟使用。
    範例: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. 請使用下列指令來為加密啟動磁碟解鎖。請將UUID改為你在上個步驟複製的 UUID,並將/path改為外置磁碟或磁碟映像檔上的 FileVaultMaster.keychain 路徑:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    範例:名為 ThumbDrive 的復原密鑰卷宗:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. 請輸入主密碼,以解鎖鑰匙圈並裝載啟動磁碟。
  5. 使用 ditto 等命令列工具來備份磁碟上的資料,或結束「終端機」並使用「磁碟工具程式」;又或使用以下指令解密已解鎖的磁碟並用於啟動。
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    範例:名為 ThumbDrive 的復原密鑰卷宗:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
發佈日期: