如何在基于 Intel 的 Mac 上使用机构恢复密钥？

对于无法使用密码访问数据的用户，您可以使用恢复密钥来重新获取文件保险箱加密的数据。在基于 Intel 的 Mac 电脑上，您可以使用机构恢复密钥来解锁文件保险箱加密的 Mac 电脑，并使用“目标磁盘模式”恢复数据。如何创建机构恢复密钥 (IRK) 以解锁文件保险箱加密的基于 Intel 的 Mac 电脑并恢复数据。

本文介绍了一种传统的方法，即创建机构恢复密钥 (IRK) 来解锁文件保险箱加密的基于 Intel 的 Mac。如果配备 Apple 芯片的 Mac 电脑或基于 Intel 的 Mac 使用 MDM，您可以将恢复密钥保管到服务器而不是使用 IRK。

创建文件保险箱主钥匙串

1.在 Mac 上打开“终端”应用，然后输入以下命令：

 security create-filevaultmaster-keychAIn ~/Desktop/FileVaultMaster.keychAIn

2.出现提示时，请输入新钥匙串的主密码，然后在系统提示重新键入时，再次输入这个密码。在您键入密码时，“终端”不会显示这个密码。

3.系统将生成一个密钥对，并将名为 FileVaultMaster.keychAIn 的文件存储到桌面。请将这个文件拷贝到一个安全位置，例如，外置驱动器上的加密磁盘映像。这个安全副本是私有恢复密钥，对于使用文件保险箱主钥匙串设置的任何基于 Intel 的 Mac，这个密钥可以解锁其启动磁盘。请勿分发这个密钥。 

在下一个部分中，您将更新仍位于桌面上的 FileVaultMaster.keychAIn 文件。之后，您就可以将这个钥匙串部署到您所在组织的 Mac 电脑上。

从主钥匙串中移除私钥

创建文件保险箱主钥匙串后，请按照以下步骤准备这个钥匙串的副本以进行部署：

1.连按桌面上的 FileVaultMaster.keychAIn 文件。“钥匙串访问”应用将打开。

2.在“钥匙串访问”边栏中，选择“FileVaultMaster”。

3.如果 FileVaultMaster 钥匙串已锁定，请从菜单栏中选取“文件”>“解锁钥匙串‘FileVaultMaster’”，然后输入您创建的主密码。

4.从右侧显示的两个项目中，选择在“种类”栏中标识为“专用密钥”的项目：

5.删除这个私钥：从菜单栏中选取“编辑”>“删除”，输入钥匙串主密码，然后在系统提示您确认时点按“删除”。

6.退出“钥匙串访问”。

现在，桌面上的主钥匙串不再包含私钥，并且已准备就绪，可进行部署。

在每台 Mac 上部署更新后的主钥匙串

从钥匙串中移除私钥后，请在每台要通过私钥解锁的基于 Intel 的 Mac 上按照以下步骤操作。

1.将更新后的 FileVaultMaster.keychAIn 文件的副本放在“/资源库/KeychAIns/”文件夹中。

2.打开“终端”应用，然后输入以下两个命令。这两个命令可确保将该文件的权限设置为 -rw-r--r--，还可确保该文件由 root 拥有并分配给名为 wheel 的群组。 

sudo chown root:wheel /Library/KeychAIns/FileVaultMaster.keychAIn

sudo chmod 644 /Library/KeychAIns/FileVaultMaster.keychAIn

3.如果文件保险箱已开启，请在“终端”中输入以下命令：

sudo fdesetup changerecovery -institutional -keychAIn /Library/KeychAIns/FileVaultMaster.keychAIn

4.如果文件保险箱已关闭，请打开“安全性与隐私”偏好设置并开启“文件保险箱”。您应该会看到一条信息，表明您的公司、学校或组织已设置了恢复密钥。点按“继续”。

整个过程到此结束。如果用户忘记了自己的 macOS 用户帐户密码，并且无法登录他们的 Mac，您就可以使用私钥解锁他们的磁盘。

使用私钥解锁用户的启动磁盘

1.在您想要解锁的 Mac 上，在按住 T 键的同时启动电脑。

2.看到雷雳标志后，松开 T 键。 

3.使用雷雳 3 (USB-C) 线缆将 Mac 连接到另一台 Mac（主机）。

4.当系统提示您输入密码以解锁磁盘时，请点按“取消”。

5.在主机 Mac 上，连接包含私有恢复密钥的外置驱动器。

6.如果您将私有恢复密钥储存在加密磁盘映像中，请连按两次文件以装载映像，并在出现提示时输入密码。

7.如果您不知道要解锁的磁盘上启动宗卷的名称（如 Macintosh HD），请打开“磁盘工具”，然后在边栏中找到宗卷名称。在下一步中，您将需要使用此信息。

8.打开“终端”，然后输入以下命令以解锁加密的启动磁盘。将“name”替换为启动宗卷的名称，将“/path”替换为外置驱动器或磁盘映像上 FileVaultMaster.keychAIn 的路径：

diskutil ap unlockVolume "name" -recoveryKeychAIn /path

名为“Macintosh HD”的启动宗卷以及名为“ThumbDrive”的恢复密钥宗卷的示例：

diskutil ap unlockVolume "Macintosh HD" -recoveryKeychAIn

/Volumes/ThumbDrive/FileVaultMaster.keychAIn

9.输入主密码来解锁启动磁盘。如果系统接受了密码，则宗卷将装载到桌面上。