分类筛选

Mac FileVault 加密

大多数组织都要求对员工计算机中存储的信息进行加密。加密确保这些计算机上的信息只能被授权用户访问。用户使用其登录凭据验证身份，进而解密信息以供访问。

FileVault 是 mac 机器上最受欢迎的数据加密工具。它提供两种加密系统数据的方法。

使用 iCloud 密码加密
使用机构恢复密钥加密

使用 Mobile Device Manager Plus 加密

虽然用户可以手动加密其系统，但始终建议使用设备管理解决方案对受管系统进行加密。这样可确保使用统一的加密流程，并且所有用户的设备都已加密。使用 Mobile Device Manager Plus 对 Mac 机器执行 FileVault 加密还有以下优点：

一次性设置- 您只需创建并分发配置文件给组一次，所有设备将被加密。
无用户依赖- 管理员创建配置文件并应用到设备后，设备在下一次登录时会自动开始加密，无需用户干预。
强制加密- 组织管理员可以确保所有所需系统都采用所需的加密方法强制执行加密。
密钥存储在服务器中- 如果用户忘记密码，无需他们记住个人恢复密钥。
简化的设置流程- 用户只需选择加密方法，启用并上传证书即可完成设置。

使用 Mobile Device Manager Plus，Mac 系统可以用以下任一方法加密：

个人恢复密钥
机构恢复密钥
个人和机构恢复密钥

使用个人恢复密钥加密

FileVault 允许用户生成个人恢复密钥，除登录凭据外可用于访问其加密数据。如果用户忘记登录密码，系统将提示用户输入此生成的恢复密钥以解密系统。

Mobile Device Manager Plus 支持使用恢复密钥加密。加密过程中生成的恢复密钥可上传至 Mobile Device Manager Plus 服务器。这样用户可以向组织的 IT 管理员请求恢复密钥以访问数据。由于个人恢复密钥针对特定用户，防止了恢复密钥的未经授权使用。

按照此处步骤使用个人恢复密钥加密数据。

在 MDM 控制台，导航至设备管理 -> Apple 配置文件
输入配置文件名称并选择FileVault 加密
启用选项，使用个人恢复密钥加密用户的 Mac 系统。
您可以选择向用户显示生成的密钥，方便其记录。
保存并发布配置文件。
然后，您可以将此配置文件关联到组或设备.

管理员在设置 FileVault 时可能遇到以下几种情况：

情况 1：

FileVault 状态：已禁用。
重启设备，或请求用户注销以管理 FileVault。

如果 FileVault 配置文件已分发至设备，但 MDM 服务器上显示的 FileVault 状态为 已禁用，则表示设备仍未由 MDM 管理 FileVault。要使用 Mobile Device Manager Plus 管理设备上的 FileVault 加密，请执行以下步骤：

通过导航至 资产>设备>操作>重启，远程重启设备。

（或）

通知用户重启设备。

（或）

请求用户注销设备。

用户重新登录设备后，系统会提示其输入用户名和密码。设备解锁后，MDM 会自动启动设备扫描，获取 FileVault 恢复密钥，从而实现对设备上 FileVault 的管理。

情况 2：

FileVault 状态：已禁用。

当设备上已禁用 FileVault 加密且未分发 FileVault 配置文件时，将显示该状态。要启用并管理 FileVault 加密，请创建 FileVault 配置文件，并为设备启用恢复密钥。

旋转 FileVault 恢复密钥：

为确保用户数据、文件和设备驱动器上重要信息的额外安全，MDM 允许管理员更新 FileVault 恢复密钥。这样可确保旧密钥不能再被使用。要旋转/更新 FileVault 恢复密钥，请执行以下步骤：

在 资产标签页，点击设备并选择已分发 FileVault 加密配置文件的 macOS 设备。
选择设备后，点击 安全设置。 如果 FileVault 已启用，点击操作并选择 旋转恢复密钥。
弹出框将显示，点击 旋转密钥 以更新 MDM 服务器上的 FileVault 恢复密钥。

旋转后的恢复密钥将显示，同时显示更新时间。

情况 3：

管理已启用 FileVault 的设备：

FileVault 状态：已启用。
密钥不可用。导入个人恢复密钥并向设备分发 FileVault 配置文件。

在某些情况下，FileVault 可能通过其他/之前的 MDM 解决方案或用户本人启用。若要使用 Mobile Device Manager Plus 管理设备上的 FileVault，请执行以下操作：

从设备导入 现有的 FileVault 恢复密钥。
恢复密钥导入 MDM 服务器后，向设备分发 FileVault 加密配置文件。
导入密钥后，向设备分发 FileVault 加密配置文件。
从服务器重启设备，或通知用户重启设备或注销设备。

用户使用用户名和密码登录设备后，MDM 会自动启动设备扫描。扫描完成后，MDM 将接收更新的 FileVault 恢复密钥，以管理设备上的 FileVault。

导入个人恢复密钥：

如果 FileVault 是通过其他 MDM 解决方案启用的，个人恢复密钥可能未存储在 MDM 服务器上。需导入密钥才能使其在 MDM 服务器上可用。

要导入单个设备的个人恢复密钥，导航至 资产>设备>设备详情>安全设置>现有 FileVault 恢复密钥。

要批量导入设备的个人恢复密钥，导航至资产并点击设备标签。
选择 批量编辑设备详情，点击浏览并上传 包含现有 FileVault 恢复密钥详情的 CSV 文件。 详细信息输入完成后。

恢复密钥导入后，创建并分发 FileVault 加密配置文件到设备。

使用机构恢复密钥加密

组织也可以选择仅使用单个密钥或证书来加密员工的 mac 系统。要使用证书加密系统，管理员必须先创建证书并上传到 MDM 服务器。

要使用机构恢复密钥加密系统，管理员需要执行以下步骤：

创建加密证书
将证书上传至 Mobile Device Manager Plus

创建证书

本节说明如何创建并导出机构恢复密钥——

在管理员计算机上打开终端，执行以下命令： sudo security create-filevaultmaster-keychain /Library/Keychains/FileVaultMaster.keychain
输入登录密码/凭据。
系统提示时为新钥匙串创建密码。此密码将用于访问接下来创建的钥匙串证书。 钥匙串 FileVaultMaster.keychain 创建于以下位置
/Library/Keychains/您需解锁钥匙串以复制或编辑，终端输入以下命令解锁钥匙串——
security unlock-keychain /Library/Keychains/FileVaultMaster.keychain
输入之前创建的钥匙串密码以解锁钥匙串。
打开钥匙串访问。 从菜单栏选择
文件 -> 添加钥匙串按 Cmd+上箭头
逐级上移目录层级，直到到达最后一页，选择磁盘，然后导航至 /Library/Keychains/ 找到创建的钥匙串。 钥匙串 选择位于此文件夹内的
选择 FileVaultMaster 在侧边栏的 钥匙串 标题下，然后选择侧边栏中的 所有项目 在侧边栏的分类标题。
验证证书是否关联了私钥，选择证书和私钥。
打开钥匙串访问。 文件 -> 导出项目 并将其保存为 .p12 文件.
.p12 文件是包含 FileVault 恢复密钥 与私钥.
的捆绑文件。 创建并验证另一个密码以保护文件，然后点击.
确定 上传恢复密钥时，系统会提示您 输入此密码。
删除您创建的钥匙串。
退出钥匙串访问。

FileVault 恢复密钥和私钥保存在您指定位置的 .p12 文件中。此文件可用于加密用户计算机。

在 Mobile Device Manager Plus 中上传证书

一旦创建好所需的证书，管理员需将证书上传至 Mobile Device Manager Plus 控制台，并分发至需加密的系统。按照以下步骤上传并分发机构恢复密钥。

在 MDM 控制台，导航至设备管理 -> 配置文件
选择 Apple 从点击后出现的下拉框中创建配置文件.
点击 FileVault 加密.
选择 机构恢复密钥 证书作为加密方法
浏览并上传创建的 .p12 文件证书。保存并发布配置文件。

然后可以将此配置文件分发给所需的组和设备。

使用个人和机构恢复密钥双重加密

Mobile Device Manager Plus 还允许管理员使用个人恢复密钥和机构恢复密钥对系统进行加密。这在需要解密数据时非常有用，用户可以选择使用哪种方法解密他们的数据。

使用个人和机构恢复密钥加密的步骤。

在 MDM 控制台，导航至设备管理 -> 配置文件
选择 Apple 从点击后出现的下拉框中创建配置文件.
点击 FileVault 加密.
选择 个人和机构恢复密钥 作为加密方法
上传证书，如有需要，允许用户访问个人恢复密钥。
保存并发布配置文件。
将配置文件分发给所需的组和设备。

当用户忘记密码时解密 mac 系统

如果用户忘记密码，用户可以联系管理员解密他们的系统。管理员可以通过导航到 Inventory，选择设备名称并点击 FileVault Encryption 标签检查用于加密系统的加密方法。根据所使用的加密类型，管理员有两种选择来解密系统。

个人恢复密钥- 如果用户手头有恢复密钥，可以在登录页面提示时输入此密钥。用户也可以从 Mobile Device Manager Plus 服务器中获取此密钥，该页面显示加密方法的详细信息。输入恢复密钥后，系统将要求用户设置新密码。
机构恢复密钥- 如果使用机构恢复密钥，则系统无法直接解密，用户只能检索加密文件。然后必须擦除系统并将文件恢复到系统中。管理员可以通过导航到 Inventory ->设备名称 -> FileVault Encryption 访问用于加密的证书。下载证书。要解密使用机构恢复密钥加密的系统，管理员必须遵循以下步骤-

将 p12 转换为钥匙串格式

在 Mac 机器上，导航到 钥匙串访问
通过导航到 文件->新建钥匙串
输入 FileVaultMaster 作为钥匙串名称并使用密码保护
选择创建的钥匙串并导航到 文件->导入项目
选择 .p12 证书 从 Mobile Device Manager Plus 下载
输入下载时 Mobile Device Manager Plus 指定的证书密码

使用机构恢复密钥解锁 FileVault 2 加密卷

需求

运行 OS 10.9 或更高版本的 macOS
外接硬盘或 USB 驱动器

步骤

在管理员系统上，存储最初创建的钥匙串（机构恢复密钥）的地方。复制 FileVaultMaster.keychain-db 以及私钥到外接硬盘或 USB 驱动器
以恢复模式启动需要解密的机器，启动时按住 command-R。

解锁钥匙串

将包含 FileVaultMaster 钥匙串的 USB 或外接驱动器插入要解密的设备。进入恢复模式后，驱动器应自动挂载。也可以使用磁盘工具挂载。
打开终端，导航到 实用工具->终端
在终端中运行命令解锁钥匙串 security unlock-keychain /Volumes/[驱动器名称]/[路径]/FileVaultMaster.keychain。出现提示时，输入创建钥匙串时使用的密码。
输入正确密码后钥匙串将被解锁。

解锁加密卷

运行 macOS High Sierra (10.13) 的 MacOS 设备可能已升级到 Apple 的新 APFS。请按以下步骤解锁加密卷

如果您的设备正在使用 APFS，请使用 diskutil apfs list 查找 APFS 磁盘角色。
使用 diskutil apfs unlockVolume [APFS 磁盘角色] -recoverykeychain /Volumes/[驱动器名称]/FileVaultMaster.keychain 解锁加密卷
现在您可以浏览解锁驱动器的目录，或者可以解密驱动器并关闭。
然后可以使用 diskutil apfs decryptVolume /dev/[APFS 磁盘角色] 解密文件。您可以通过再次运行 diskutil apfs list 检查进度。

如果您仍使用低于 10.13 版本的 mac，请按照以下步骤解锁和解密卷

如果您的设备使用 macOS Extended (HFS+)，请使用 diskutil cs list 查找 CoreStorage 卷 (UUID)
运行命令查找加密驱动器的逻辑卷 UUIDdiskutil corestorage list
使用以下命令解锁卷 diskutil corestorage unlockVolume [UUID] -recoveryKeyChain /Volumes/[驱动器名称]/[路径]/FileVaultMaster.keychain
卷应解锁并挂载，您现在可以检索文件。
使用以下命令解密文件diskutil corestorage revert [UUID] -recoveryKeychain /Volumes/[驱动器名称]/[路径]/FileVaultMaster.keychain

故障排除提示

您的电脑启用 FileVault 时出现问题。您应使用系统偏好设置中的“安全性与隐私”查看或更改 FileVault。
当为移动账户或没有服务器令牌的用户账户配置 FileVault 时会显示此消息。要检查特定账户是否拥有服务器令牌，请在 Mac 终端中输入以下命令：
sysadminctl -secureTokenStatus username_goes_here
要向特定账户添加服务器令牌，请使用：
sysadminctl -secureTokenOn username_which_needs_secure_token_goes_here -password password_goes_here

跳转到

< Previous

下一页 >