這篇文章已封存,而且 Apple 也不會再更新。

如何在配備 Intel 處理器的 Mac 上使用機構復原密鑰

針對「檔案保險箱」加密的配備 Intel 處理器的 Mac 電腦,本文將說明如何製作機構復原密鑰(IRK)來加以解鎖並復原資料。

本文說明如何以舊方法製作機構復原密鑰(IRK),來解鎖「檔案保險箱」加密的配備 Intel 處理器的 Mac。如果配備 Apple 晶片的 Mac 電腦或配備 Intel 處理器的 Mac 使用 MDM,你可以將復原密鑰交由伺服器託管,而非使用 IRK。

對於無法使用密碼存取資料的使用者,可以使用復原密鑰重新存取以「檔案保險箱」加密的資料。在配備 Intel 處理器的 Mac 電腦上,你可以使用機構復原密鑰解鎖「檔案保險箱」加密的 Mac 電腦,並使用「目標磁碟模式」復原資料。

製作「檔案保險箱」主鑰匙圈

  1. 在 Mac 上開啟「終端機」App,然後輸入以下指令:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. 出現提示時,請輸入新鑰匙圈的主要密碼,看到重新輸入的提示時,請再輸入一次。當你輸入密碼時,「終端機」不會顯示密碼。

  3. 系統會產生密鑰對,並將名為 FileVaultMaster.keychain 的檔案儲存到桌面。請將這個檔案拷貝到安全的位置,例如外接磁碟上的加密磁碟映像檔。此安全檔案就是專用復原密鑰,可為任何設定使用「檔案保險箱」主鑰匙圈的配備 Intel 處理器的 Mac 解鎖啟動磁碟。請勿散佈給他人。

在下一節中,你將要更新仍在桌面上的 FileVaultMaster.keychain 檔案。更新之後,你即可將該鑰匙圈部署到組織內的 Mac 電腦。

從主鑰匙圈移除專用密鑰

製作「檔案保險箱」主鑰匙圈後,請依照下列步驟來準備副本,以供部署之用:

  1. 按兩下桌面上的 FileVaultMaster.keychain 檔案,「鑰匙圈存取」App 就會開啟。

  2. 在「鑰匙圈存取」側邊欄中,選取「FileVaultMaster」。

  3. 如果 FileVaultMaster 鑰匙圈已鎖定,請從選單列選擇「檔案」>「解鎖鑰匙圈『FileVaultMaster』」,然後輸入你製作的主要密碼。

  4. 從右側顯示的兩個項目中,選取在「種類」欄中列為「專用密鑰」的項目:

    Keychain Access, showing the private FileVault Master Password Key selected

  5. 刪除專用密鑰:從選單列選擇「編輯」>「刪除」,輸入鑰匙圈主要密碼,然後在系統要求確認時按一下「刪除」。

  6. 結束「鑰匙圈存取」。

現在,你桌面上的主鑰匙圈已不再包含專用密鑰,並可用於部署。

在每部 Mac 上部署更新的主鑰匙圈

鑰匙圈移除專用密鑰後,請在每部你想要使用專用密鑰解鎖的配備 Intel 處理器的 Mac 上依照下列步驟操作。

  1. 在 /Library/Keychains/ 檔案夾中放入一份更新後 FileVaultMaster.keychain 檔案的副本。

  2. 開啟「終端機」App,並輸入以下兩行指令。這些指令可確保檔案權限是設為-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. 如果「檔案保險箱」已開啟,請在「終端機」中輸入以下指令:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. 如果「檔案保險箱」為關閉狀態,請開啟「安全性與隱私權」偏好設定並開啟「檔案保險箱」。你應該會看到你的公司、學校或組織已設定復原密鑰的訊息。按一下「繼續」。

    Security & Privacy preferences, showing the Recovery Key message

整個程序到此完成。如果使用者忘記自己的 macOS 使用者帳號密碼而無法登入 Mac,你可以使用專用密鑰來解鎖他們的磁碟

使用專用密鑰來解鎖使用者的啟動磁碟

  1. 在你要解鎖的 Mac 上,按住 T 鍵的同時啟動電腦。

  2. 看到 Thunderbolt 標誌後,放開 T 鍵。

  3. 使用 Thunderbolt 3(USB-C)連接線將 Mac 連接至另一部 Mac(主機)。

  4. 當系統提示輸入密碼以解鎖磁碟時,請按一下「取消」。

  5. 在主機 Mac 上,連接包含專用復原密鑰的外接磁碟。

  6. 如果你將專用復原密鑰儲存在加密的磁碟映像檔中,請按兩下映像檔以進行裝載,並在出現提示時輸入密碼。

  7. 如果不知道欲解鎖磁碟上的啟動卷宗名稱(例如 Macintosh HD),請開啟「磁碟工具程式」,然後在側邊欄中找出卷宗名稱。你將在下一步驟中用到這項資訊。

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. 輸入主要密碼以解鎖啟動磁碟。如果系統接受這個密碼,卷宗就會裝載於桌面上。

發佈日期: