為機構內的電腦設定 FileVault 復原密鑰

若您的使用者不記得自己的 Mac 登入密碼,您可以使用機構復原密鑰(IRK, institutional recovery key),來復原他們以 FileVault 加密的資料。

這些進階步驟適用於系統管理者及其他熟悉命令列的人員。

建立 FileVault 主鑰匙圈

  1. 在 Mac 上開啟「終端機」app,並輸入以下指令:
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. 出現提示時,請輸入新鑰匙圈的主要密碼,看到重新輸入的提示時,請再輸入一次。當您輸入密碼時,「終端機」不會顯示密碼。
  3. 系統會產生密鑰對,並將名為 FileVaultMaster.keychain 的檔案儲存到您的桌面上。請將這個檔案拷貝到安全的位置,例如外接磁碟上的加密磁碟映像檔。該安全檔案就是專用復原密鑰,可為任何設定使用 FileVault 主鑰匙圈的 Mac 解鎖啟動磁碟。請勿散佈給他人。

在下一節中,您將要更新仍在您桌面上的 FileVaultMaster.keychain 檔案。更新之後,您即可將該鑰匙圈部署給機構內的 Mac 電腦。

從主鑰匙圈移除專用密鑰

建立 FileVault 主鑰匙圈後,請依照下列步驟來準備該檔案,以供部署之用:

  1. 按兩下桌面上的 FileVaultMaster.keychain 檔案,「鑰匙圈存取」app 就會開啟。
  2. 在「鑰匙圈存取」側邊欄中,選擇「FileVaultMaster」。如果看到右側列出兩個以上的項目,請選擇側邊欄中另一個鑰匙圈,然後再次選擇「FileVaultMaster」以重整列表。
  3. 如果 FileVaultMaster 鑰匙圈為鎖定狀態,請按一下「鑰匙圈存取」左上角的 ,接著輸入您建立的主要密碼。
  4. 從右側顯示的兩個項目中,選擇在「種類」直欄中被列為「專用密鑰」的項目。
    「鑰匙圈存取」,顯示已選取專用的 FileVault Master Password Key
  5. 刪除專用密鑰:從選單列選擇「編輯」>「刪除」,輸入鑰匙圈主要密碼,然後在系統要求確認時按一下「刪除」。
  6. 結束「鑰匙圈存取」。

現在,您桌面上的主鑰匙圈已不再包含專用密鑰,並可用於部署。

在每部 Mac 上部署更新的主鑰匙圈

從鑰匙圈移除專用密鑰後,請在每部您想要使用專用密鑰解鎖的 Mac 上依照下列步驟操作:

  1. 將更新後的 FileVaultMaster.keychain 檔案放在「/資源庫/Keychains/」檔案夾中。
  2. 開啟「終端機」app,並輸入以下兩行指令。這些指令可確保檔案權限是設為 -rw-r--r--,且檔案是為根使用者所有,並指派給名為 wheel 的群組。
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. 如果 FileVault 已開啟,請在「終端機」中輸入以下指令:
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. 如果 FileVault 為關閉狀態,請開啟「安全性與隱私」偏好設定並開啟 FileVault。您應該會看到您的公司、學校或機構已設定復原密鑰的訊息。按一下「繼續」。
    「安全性與隱私」偏好設定,顯示「復原密鑰」訊息

整個程序到此完成。如果使用者忘記自己的 macOS 使用者帳號密碼而無法登入 Mac,您可以使用專用密鑰來解鎖他們的磁碟

 

使用專用密鑰來解鎖使用者的啟動磁碟

如果使用者忘記自己的帳號密碼而無法登入 Mac,您可以使用專用復原密鑰來解鎖他們的啟動磁碟,並存取其中以 FileVault 加密的資料。

  1. 在用戶端 Mac 上,在啟動時按住 Command-R,從「macOS 復原」啟動。
  2. 如果您不知道啟動磁碟的名稱(如 Macintosh HD)和格式,請從「macOS 工具程式」視窗開啟「磁碟工具程式」,然後查看「磁碟工具程式」在右側顯示的該卷宗資訊。如果您看到的是「CoreStorage 邏輯卷宗群組」,而不是「APFS 卷宗」或「Mac OS 擴充格式」,表示格式為「Mac OS 擴充格式」。之後的設定會用到這項資訊。完成後,結束「磁碟工具程式」。
  3. 連接包含專用復原密鑰的外接磁碟。
  4. 從「macOS 復原」的選單列選擇「工具程式」>「終端機」。
  5. 如果您之前是將專用復原密鑰儲存在加密的磁碟映像檔中,請在「終端機」裡使用下列指令裝載該映像檔。請將 /path 換成磁碟映像檔的路徑(包含副檔名 .dmg):
    hdiutil attach /path
    
    如果在 ThumbDrive 這個卷宗上有個名為 PrivateKey.dmg 的磁碟映像檔,則指令為:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. 使用下列指令解鎖 FileVault 主鑰匙圈。請將 /path 換成外接磁碟上 FileVaultMaster.keychain 的路徑。在這項設定和所有其餘步驟中,如果鑰匙圈是儲存在加密的磁碟映像檔中,請記得在路徑中加入該映像檔的名稱。
    security unlock-keychain /path
    
    以 ThumbDrive 這個卷宗為例:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. 輸入主要密碼以解鎖啟動磁碟。如果系統接受這個密碼,就會回到指令提示字元。

請根據使用者的啟動磁碟格式,繼續按下述步驟操作。

APFS

 如果啟動磁碟是格式化為 APFS,請完成下列額外步驟:

  1. 輸入下列指令來解鎖加密的啟動磁碟。請將 "name" 換成啟動卷宗的名稱,並將 /path 換成外接磁碟或磁碟映像檔上 FileVaultMaster.keychain 的路徑:
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    如果啟動卷宗是 Macintosh HD,而復原密鑰卷宗是 ThumbDrive,則指令為:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. 輸入主要密碼,以解鎖鑰匙圈並裝載啟動磁碟。
  3. 使用 ditto 之類的命令列工具來備份磁碟上的資料,或結束「終端機」並使用「磁碟工具程式」。

Mac OS 擴充格式(HFS Plus)

如果啟動磁碟是格式化為「Mac OS 擴充格式」,請完成下列額外步驟:

  1. 輸入以下指令,以取得磁碟和 CoreStorage 卷宗列表:
    diskutil cs list
    
  2. 選取並拷貝出現在「Logical Volume」後面的 UUID,以供後面的步驟使用。
    範例: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. 使用下列指令解鎖加密的啟動磁碟。請將 UUID 換成您在前一個步驟拷貝的 UUID,並將 /path 換成外接磁碟或磁碟映像檔上 FileVaultMaster.keychain 的路徑:
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    以 ThumbDrive 這個復原密鑰卷宗為例:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. 輸入主要密碼,以解鎖鑰匙圈並裝載啟動磁碟。
  5. 使用 ditto 之類的命令列工具來備份磁碟上的資料,或結束「終端機」並使用「磁碟工具程式」,或使用以下指令將未鎖定的磁碟解密,並從該磁碟啟動。
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    以 ThumbDrive 這個復原密鑰卷宗為例:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
發佈日期: